-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2301 JPCERT/CC 2009-06-17 <<< JPCERT/CC WEEKLY REPORT 2009-06-17 >>> ―――――――――――――――――――――――――――――――――――――― ■06/07(日)〜06/13(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2009年6月 Microsoft セキュリティ情報について 【2】Adobe Reader および Acrobat に複数の脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】Safari に複数の脆弱性 【5】Ruby にサービス運用妨害の脆弱性 【6】eBay Enhanced Picture Uploader ActiveX コントロールに脆弱性 【7】A51 D.O.O. の activeCollab にクロスサイトスクリプティングの脆弱性 【8】JPCERT/CC PGP 鍵更新のお知らせ 【今週のひとくちメモ】Windows 2000 延長サポート期間の終了について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2009/wr092301.html http://www.jpcert.or.jp/wr/2009/wr092301.xml ============================================================================ 【1】2009年6月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA09-160A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-160A.html US-CERT Cyber Security Alert SA09-160A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-160A.html DOE-CIRC Technical Bulletin T-160 Microsoft Windows Print Spooler 'EnumeratePrintShares()' Remote Stack Buffer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-160.shtml 概要 Microsoft Windows、Office、Internet Explorer および関連コンポー ネントには、複数の脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、権限を昇格したりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2009-05-27【1】で紹介した問題に 対する解決策も含まれています。 関連文書 (日本語) 2009 年 6 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jun.mspx マイクロソフト セキュリティ情報 MS09-018 - 緊急 Active Directory の脆弱性により、リモートでコードが実行される (971055) http://www.microsoft.com/japan/technet/security/bulletin/MS09-018.mspx マイクロソフト セキュリティ情報 MS09-019 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (969897) http://www.microsoft.com/japan/technet/security/bulletin/MS09-019.mspx マイクロソフト セキュリティ情報 MS09-020 - 重要 インターネット インフォメーション サービス (IIS) の脆弱性により、特権が昇格される (970483) http://www.microsoft.com/japan/technet/security/bulletin/MS09-020.mspx マイクロソフト セキュリティ情報 MS09-021 - 緊急 Microsoft Office Excel の脆弱性により、リモートでコードが実行される (969462) http://www.microsoft.com/japan/technet/security/bulletin/MS09-021.mspx マイクロソフト セキュリティ情報 MS09-022 - 緊急 Windows 印刷スプーラーの脆弱性により、リモートでコードが実行される (961501) http://www.microsoft.com/japan/technet/security/bulletin/MS09-022.mspx マイクロソフト セキュリティ情報 MS09-023 - 警告 Windows サーチの脆弱性により、情報漏えいが起こる (963093) http://www.microsoft.com/japan/technet/security/bulletin/MS09-023.mspx マイクロソフト セキュリティ情報 MS09-024 - 緊急 Microsoft Works コンバーターの脆弱性により、リモートでコードが実行される (957632) http://www.microsoft.com/japan/technet/security/bulletin/MS09-024.mspx マイクロソフト セキュリティ情報 MS09-025 - 重要 Windows カーネルの脆弱性により、特権が昇格される (968537) http://www.microsoft.com/japan/technet/security/bulletin/MS09-025.mspx マイクロソフト セキュリティ情報 MS09-026 - 重要 RPC の脆弱性により、特権が昇格される (970238) http://www.microsoft.com/japan/technet/security/bulletin/MS09-026.mspx マイクロソフト セキュリティ情報 MS09-027 - 緊急 Microsoft Office Word の脆弱性により、リモートでコードが実行される (969514) http://www.microsoft.com/japan/technet/security/bulletin/MS09-027.mspx Japan Vulnerability Notes JVN#70858401 Microsoft Works コンバーターにおけるバッファオーバーフローの脆弱性 http://jvn.jp/jp/JVN70858401/index.html Japan Vulnerability Notes JVNTA09-160A Microsoft 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA09-160A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター 「Microsoft Works コンバーター」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200906_msworks.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-018,019,020,021,022,023,024,025,026,027) http://www.cyberpolice.go.jp/important/2009/20090610_121329.html JPCERT/CC Alert 2009-06-10 2009年6月 Microsoft セキュリティ情報 (緊急 6件含) に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090011.txt JPCERT/CC WEEKLY REPORT 2009-05-27 【1】Microsoft IIS の WebDAV 機能に脆弱性 http://www.jpcert.or.jp/wr/2009/wr092001.html#1 【2】Adobe Reader および Acrobat に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA09-161A Adobe Acrobat and Reader Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-161A.html US-CERT Cyber Security Alert SA09-161A Adobe Acrobat and Reader Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-161A.html US-CERT Vulnerability Note VU#568153 Adobe Reader contains multiple vulnerabilities in the processing of JPX data http://www.kb.cert.org/vuls/id/568153 DOE-CIRC Technical Bulletin T-159 Adobe Reader and Acrobat 9.1.1 and Prior Multiple Remote Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-159.shtml 概要 Adobe Reader および Acrobat には、複数の脆弱性があります。結果と して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ とで、アプリケーションをクラッシュさせたり、任意のコードを実行し たりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 9.1.1 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 8.1.5 およびそれ以前 - Adobe Reader および Acrobat (Pro、Pro Extended、および Standard) 7.1.2 およびそれ以前 また、PDF ファイルを閲覧するためのプラグインも影響を受ける可能性 があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNTA09-161A Adobe Reader および Acrobat における脆弱性 http://jvn.jp/cert/JVNTA09-161A/index.html Japan Vulnerability Notes JVNVU#568153 Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性 http://jvn.jp/cert/JVNVU568153/index.html @police アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて http://www.cyberpolice.go.jp/important/2009/20090610_122253.html 関連文書 (英語) Adobe Security Bulletin APSB09-07 Security Updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb09-07.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Foundation Releases Firefox 3.0.11 http://www.us-cert.gov/current/archive/2009/06/12/archive.html#mozilla_foundation_releases_firefox_34 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、機密情報を取得したり、ユー ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.11 2009年6月16日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.11 - 2009/06/11 リリース http://mozilla.jp/firefox/3.0.11/releasenotes/ Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 関連文書 (英語) Red Hat Security Advisory RHSA-2009:1095-1 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2009-1095.html Red Hat Security Advisory RHSA-2009:1096-1 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2009-1096.html 【4】Safari に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-157 Apple Safari Prior to 4.0 Multiple Security Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-157.shtml 概要 Safari には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、権限を昇格したり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 4.0 より前のバージョン (Mac OS X 版、Windows 版) この問題は、Apple が提供する修正済みのバージョン Safari 4.0 に更 新することで解決します。詳細については、Apple が提供する情報を参 照してください。 関連文書 (日本語) Apple Support HT3613 Safari 4.0 のセキュリティコンテンツについて http://support.apple.com/kb/HT3613?viewlocale=ja_JP Apple Support Download Safari 4 http://support.apple.com/downloads/Safari_4?viewlocale=ja_JP 【5】Ruby にサービス運用妨害の脆弱性 情報源 Ruby BigDecimal の DoS 脆弱性 http://www.ruby-lang.org/ja/news/2009/06/10/dos-vulnerability-in-bigdecimal/ 概要 Ruby の標準ライブラリには、脆弱性があります。 結果として、遠隔の 第三者がサービス運用妨害 (DoS) 攻撃を行なう可能性があります。 対象となるバージョンは以下の通りです。 - 1.8.6-p368 およびそれ以前のバージョン - 1.8.7-p160 およびそれ以前のバージョン Ruby on Rails が使用している ActiveRecord ライブラリに影響がある ため、多くの Rails アプリケーションはこの脆弱性の影響を受けます。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) Riding Rails DoS Vulnerability in Ruby http://weblog.rubyonrails.org/2009/6/10/dos-vulnerability-in-ruby 【6】eBay Enhanced Picture Uploader ActiveX コントロールに脆弱性 情報源 US-CERT Vulnerability Note VU#983731 eBay Enhanced Picture Uploader ActiveX control vulnerable to arbitrary command execution http://www.kb.cert.org/vuls/id/983731 概要 eBay Enhanced Picture Uploader ActiveX コントロールには、脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書をユーザ に閲覧させることで、そのユーザの権限で任意のコマンドを実行する可 能性があります。 対象となるバージョンは以下の通りです。 - eBay Enhanced Picture Uploader ActiveX コントロール 1.0.27 より前のバージョン この問題は、eBay が提供する修正済みのバージョンに eBay Enhanced Picture Uploader ActiveX コントロールを更新することで解決します。 詳細については、eBay が提供する情報を参照してください。 関連文書 (英語) eBay Special Alert eBay Enhanced Picture Services ActiveX Control Update http://pages.ebay.com/securitycenter/activex/index.html Microsoft TechNet Microsoft Security Advisory (969898) Update Rollup for ActiveX Kill Bits http://www.microsoft.com/technet/security/advisory/969898.mspx 【7】A51 D.O.O. の activeCollab にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#55752635 A51 D.O.O. 製 activeCollab におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN55752635/index.html 概要 A51 D.O.O. のプロジェクト管理ソフトウェア activeCollab のログイ ン画面には、クロスサイトスクリプティングの脆弱性があります。結果 として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - activeCollab 0.7.1 およびそれ以前 A51 D.O.O. の情報によると、activeCollab 0.x 系は開発およびサポー トが終了しています。A51 D.O.O. は、activeCollab 2.1 への移行を推 奨しています。詳しくは A51 D.O.O. が提供する情報を参照してくださ い。 関連文書 (英語) A51 D.O.O. activeCollab http://www.activecollab.com/ A51 D.O.O. activeCollab 2.1.2 http://www.activecollab.com/docs/manuals/admin/release-notes/activecollab-2-1-2 A51 D.O.O. Upgrading to activeCollab 2.1.2 http://www.activecollab.com/docs/manuals/admin/upgrade/activecollab-2-1 【8】JPCERT/CC PGP 鍵更新のお知らせ 情報源 JPCERT/CC JPCERT/CC PGP 鍵更新のお知らせ https://www.jpcert.or.jp/pr/2009/pr090004.txt 概要 JPCERT/CC は、2009年6月18日に PGP 鍵の更新を行います。JPCERT/CC WEEKLY REPORT についても、今後は新しい鍵で署名して配信します。 新しい公開鍵については、下記関連文書の URL から入手してください。 関連文書 (日本語) JPCERT/CC PGP 公開鍵 https://www.jpcert.or.jp/jpcert-pgp.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows 2000 延長サポート期間の終了について Microsoft は Windows 2000 の延長サポートを 2010年7月13日に終了し ます。延長サポート終了後は新たなセキュリティの問題について修正は 行われません。 1年後のサポート終了に備え、Windows 2000 のクライアントやサーバ製 品が存在していないか確認し、サポートが提供される製品への移行を計 画的に行いましょう。 2009年10月中旬には Windows 7 や Windows Server 2008 R2 のリリー スが予定されています。 参考文献 (日本語) Microsoft サポートオンライン プロダクト サポート ライフサイクル - 製品一覧 http://support.microsoft.com/gp/lifeselect Microsoft サポートオンライン マイクロソフトプロダクトサポートライフサイクル http://support.microsoft.com/lifecycle/?p1=3071 Microsoft サポートオンライン マイクロソフトプロダクトサポートライフサイクル http://support.microsoft.com/lifecycle/?p1=7274 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSjhEyox1ay4slNTtAQjY3wP/Q1fogncp3NzY8g+b7F92NO4Cn+/6LduB mWDrywDYHcUB5WtsD8/+kqn52sBUbTFzr+RmEc2Kj5rTfEJ6dh7sIxYJf99U8KNk IexFCkvZj1GEYtOWDRcH+BFT/EHKP5OmJgAD34Y6MOq6uBcjB+dIAPYkGsfhG/Oe 9/FhnNQpFgU= =VhTd -----END PGP SIGNATURE-----