-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2201 JPCERT/CC 2009-06-10 <<< JPCERT/CC WEEKLY REPORT 2009-06-10 >>> ―――――――――――――――――――――――――――――――――――――― ■05/31(日)〜06/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple QuickTime および iTunes に複数の脆弱性 【2】Apache Tomcat に複数の脆弱性 【今週のひとくちメモ】.ORG ドメインで DNSSEC 運用開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr092201.html http://www.jpcert.or.jp/wr/2009/wr092201.xml ============================================================================ 【1】Apple QuickTime および iTunes に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iTunes 8.2 and QuickTime 7.6.2 http://www.us-cert.gov/current/archive/2009/06/05/archive.html#apple_releases_itunes_8_2 DOE-CIRC Technical Bulletin T-152 Apple QuickTime JP2 Image Handling Heap Buffer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-152.shtml 概要 Apple QuickTime および iTunes には、複数の脆弱性があります。結果 として、遠隔の第三者が細工したファイルや画像を開かせることで任意 のコードを実行するなどの可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - QuickTime 7.6.2 より前のバージョン - iTunes 8.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。 関連文書 (日本語) Apple Support HT3591 QuickTime 7.6.2 のセキュリティコンテンツについて http://support.apple.com/kb/HT3591?viewlocale=ja_JP Apple Support HT3592 iTunes 8.2 のセキュリティコンテンツについて http://support.apple.com/kb/HT3592?viewlocale=ja_JP 【2】Apache Tomcat に複数の脆弱性 情報源 Apache Tomcat Security Updates http://tomcat.apache.org/security.html 概要 Apache Tomcat には、複数の脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行ったり、機密情報を取得した りする可能性があります。 対象となるバージョンは以下のとおりです。 - Apache Tomcat 4.1.0 から 4.1.39 まで - Apache Tomcat 5.5.0 から 5.5.27 まで - Apache Tomcat 6.0.0 から 6.0.18 まで この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Apache Tomcat を更新することで解決します。詳細につ いては、各ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVN#87272440 Apache Tomcat におけるサービス運用妨害(DoS)の脆弱性 http://jvn.jp/jp/JVN87272440/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○.ORG ドメインで DNSSEC 運用開始 2009年6月2日、.ORG のレジストリ Public Interest Registry が .ORG ドメインにおいて DNSSEC の運用を開始しました。 これは DNS キャッシュポイズニングなどへの対策として、2008年6月に 計画がアナウンスされていたものです。gTLD としては、今回の .ORG ドメインが初めての DNSSEC 運用開始となります。 また、DNSSEC 導入に向けた問題点とその解決策について議論するシン ポジウムが計画されており、その内容は一般に公開される予定です。 参考文献 (日本語) JPCERT/CC REPORT 2008-09-18 【今週のひとくちメモ】DNSSEC の導入に向けた動き http://www.jpcert.or.jp/wr/2008/wr083601.html#Memo 参考文献 (英語) Public Interest Regisry .ORG is the First Open Top-Level Domain to be Signed with Domain Name Security Extensions http://www.pir.org/index.php?db=content/News&tbl=Press&id=25 DNSSEC Industry Coalition Deploying a Signed Root: Issues and Proposed Solutions http://dnsseccoalition.org/website/?p=69 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSi77/Ix1ay4slNTtAQi76AP/dgFX/RxHWCCGqc8oP8sP5k6EIoo/z5nb vKhznpJnRKRPxvLf9BZMr6Z+5Zdq3QARuNjOUD0UHTAn93CbrH2RfEyxFbYFYVPY TqFgUGA0yjlJa98drk/I2WYZg00vaR9jvi9iSyu3jQds53FxWNW1RuHotNgyUkVp kPDaM4bvu60= =Caex -----END PGP SIGNATURE-----