JPCERT-WR-2009-1801
2009-05-13
2009-04-26
2009-05-09
Adobe Reader および Acrobat に脆弱性
Adobe Reader および Acrobat の JavaScript の処理に脆弱性がありま
す。結果として、遠隔の第三者が細工した PDF ファイルをユーザに閲
覧させることで任意のコードを実行する可能性があります。なお、攻撃
コードが公開されていることが確認されています。
対象となる製品およびバージョンは以下のとおりです。
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 9.1 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 8.1.4 およびそれ以前
- Adobe Reader および Acrobat (Pro、Pro Extended、および
Standard) 7.1.1 およびそれ以前
また、PDF ドキュメントを閲覧するためのプラグインも影響を受ける可
能性があります。
2009年5月12日現在、この問題に対する解決策は提供されていません。
回避策としては、Adobe Reader および Acrobat で JavaScript を無効
化するなどの方法があります。なお、Adobe は 米国時間 2009年5月12
日に対策版の公開を予定しています。
Japan Vulnerability Notes JVNVU#970180
Adobe Reader および Acrobat における customDictionaryOpen() と getAnnots() に脆弱性
http://jvn.jp/cert/JVNVU970180/index.html
Adobe Security bulletin APSA09-02
Buffer overflow issues in Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-02.html
Adobe Product Security Incident Response Team (PSIRT)
Adobe Reader Issue Update
http://blogs.adobe.com/psirt/2009/05/adobe_reader_issue_update.html
Adobe Flash Media Server に脆弱性
Adobe Flash Media Server には、脆弱性があります。結果として、遠
隔の第三者がリモートプロシージャを実行する可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- Adobe Flash Media Streaming Server 3.5.1 およびそれ以前
- Adobe Flash Media Interactive Server 3.5.1 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。
Adobe Security bulletin APSB09-05
Updates available to address Flash Media Server privilege escalation issue
http://www.adobe.com/support/security/bulletins/apsb09-05.html
Linux カーネルに複数の脆弱性
Linux カーネルには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、権限を昇格したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。
Red Hat Security Advisory RHSA-2009:0451-2
Important: kernel-rt security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0451.html
Red Hat Security Advisory RHSA-2009:0473-1
Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0473.html
DSA-1794-1
linux-2.6 -- denial of service/privilege escalation/information leak
http://www.debian.org/security/2009/dsa-1794
CGI RESCUE の複数の製品に脆弱性
CGI RESCUE の複数の製品には、脆弱性があります。結果として、遠隔
の第三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ
上で任意のスクリプトを実行したりする可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- 簡易BBS22 v.1.00
- 簡易BBS v10系 10.31 およびそれ以前のバージョン
- 簡易BBS v9系 9.07 およびそれ以前のバージョン
- 簡易BBS v8系 8.94 およびそれ以前のバージョン
- 簡易BBS v8t系 8.93t およびそれ以前のバージョン
- フォームメール v.1.41 およびそれ以前
- Webメーラー v1.03 およびそれ以前
この問題は CGI RESCUE が提供する修正済みのバージョンに、該当する
製品を更新することで解決します。
CGI RESCUE
フォームメール、簡易BBS22、簡易BBS(普及版)の脆弱性情報
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20081213132937
CGI RESCUE
Webメーラー v1.04 セキュリティ修正版
http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20090209180123
Mort Bay Jetty にディレクトリトラバーサルの脆弱性
Java ベースの Web サーバ Jetty には、ディレクトリトラバーサルの
脆弱性があります。結果として、遠隔の第三者が細工した URL を処理
させることで、機密情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Jetty 6.1.16 およびそれ以前
- Jetty 7.0.0.M2 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに Jetty を更新
することで解決します。
Mort Bay Consulting
Jetty
http://jetty.mortbay.org/jetty/
Mort Bay Consulting
Vulnerability in ResourceHandler and DefaultServlet with aliases
http://jira.codehaus.org/browse/JETTY-1004
C/C++ セキュアコーディングセミナー資料公開
2008年度に「C/C++ セキュアコーディング トワイライトセミナー」お
よび「C/C++ セキュアコーディング ハーフデイキャンプ」と題して開
催した C/C++ セキュアコーディングセミナーの講義資料 (2008年度版)
を公開しました。
全7回 (文字列、整数、動的メモリ管理、File I/O part1、File I/O
part2、File I/O part3、書式指定文字列) の資料を各回ごとにまとめ
たものです。
書籍「C/C++ セキュアコーディング」とともに、セキュアコーディング
の自習や社内セミナーの資料としてご活用ください。
JPCERT/CC
C/C++ セキュアコーディング
https://www.jpcert.or.jp/securecoding_book.html
第7回迷惑メール対策カンファレンス
5/19 コクヨホールにて「第7回迷惑メール対策カンファレンス」が開
催されます。今回のカンファレンスでは、前回 11月のカンファレンス
での主題だった昨年 12月の改正法施行以降の最新の状況や、送信ドメ
イン認証技術に関する話題がとりあげられます。
皆さまのご参加をお待ちしております。
財団法人インターネット協会事務局
迷惑メール対策委員会
http://www.iajapan.org/anti_spam/index.html
クロスサイトスクリプティング
クロスサイトスクリプティングは、攻撃者がスクリプトをウェブページ
に埋め込むこと等により、そのウェブ管理者の意図しない動作をユーザ
のウェブブラウザ上で実行させる手法のひとつです。
攻撃者は、外部からスクリプトを埋め込むことのできるウェブページを
踏み台として使用することで、ユーザのウェブブラウザ上で悪意あるス
クリプトを実行させることが可能になります。結果として、ユーザの認
証情報や入力内容を第三者のサイトに送信してしまうなどの可能性があ
ります。
ウェブ管理者は、自身が管理するコンテンツにクロスサイトスクリプティ
ングの脆弱性が潜んでいないか注意し、新しいコンテンツを公開する際
には事前にチェックしましょう。
独立行政法人 情報処理推進機構 セキュリティセンター
「安全なウェブサイトの作り方 改訂第3版」を公開
http://www.ipa.go.jp/security/vuln/websecurity.html
財団法人 地方自治情報センター (LASDEC)
ウェブ健康診断
http://www.lasdec.nippon-net.ne.jp/cms/12,1284.html
JPCERT/CC
ウェブサイト運営者のための脆弱性対応ガイド 付録6抜粋編
https://www.jpcert.or.jp/vh/vuln_website_guide.pdf
JPCERT/CC
技術メモ - 安全な Web ブラウザの使い方
https://www.jpcert.or.jp/ed/2008/ed080002_1104.pdf