-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2401 JPCERT/CC 2009-06-24 <<< JPCERT/CC WEEKLY REPORT 2009-06-24 >>> ―――――――――――――――――――――――――――――――――――――― ■06/14(日)〜06/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Java for Mac OS X に複数の脆弱性 【2】iPhone OS に複数の脆弱性 【3】Foxit Reader に複数の脆弱性 【4】XOOPS マニアの PukiWikiMod にクロスサイトスクリプティングの脆弱性 【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏」参加者募集のお知らせ 【6】IT セキュリティ予防接種調査報告書公開 【7】USB メモリ経由の感染機能を持つマルウエア調査報告書公開 【今週のひとくちメモ】Linuxサーバー構築標準教科書 (Ver1.0.1) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092401.html https://www.jpcert.or.jp/wr/2009/wr092401.xml ============================================================================ 【1】Java for Mac OS X に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Java Updates for Mac OS X 10.4 and 10.5 http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_java_updates_for1 DOE-CIRC Technical Bulletin T-164 Sun Java Runtime Environment Aqua Look and Feel Privilege Escalation Vulnerability http://www.doecirc.energy.gov/bulletins/t-164.shtml 概要 Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - Java for Mac OS X 10.5 Update 4 より前のバージョン - Java for Mac OS X 10.4 Release 9 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、Java for Mac OS X を更新することで解決します。詳細については、Apple が提供す る情報を参照してください。 関連文書 (日本語) JPCERT/CC REPORT 2009-04-01 【2】Java Runtime Environment (JRE) に複数の脆弱性 https://www.jpcert.or.jp/wr/2009/wr091301.html#2 関連文書 (英語) Apple Support HT3632 About the security content of Java for Mac OS X 10.5 Update 4 http://support.apple.com/kb/HT3632?viewlocale=en_US Apple Support HT3633 About the security content of Java for Mac OS X 10.4 Release 9 http://support.apple.com/kb/HT3633?viewlocale=en_US Apple Support Download Java for Mac OS X 10.5 Update 4 http://support.apple.com/downloads/Java_for_Mac_OS_X_10_5_Update_4 Apple Support Download Java for Mac OS X 10.4, Release 9 http://support.apple.com/downloads/Java_for_Mac_OS_X_10_4__Release_9 【2】iPhone OS に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iPhone OS 3.0 http://www.us-cert.gov/current/archive/2009/06/19/archive.html#apple_releases_iphone_os_3 概要 iPhone OS には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行った りする可能性があります。 対象となるバージョンは以下のとおりです。 - iPhone OS 1.0 から 2.2.1 まで - iPhone OS for iPod touch 1.1 から 2.2.1 まで この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。 関連文書 (日本語) Apple Support HT3639 iPhone OS 3.0 ソフトウェアアップデートのセキュリティコンテンツについて http://support.apple.com/kb/HT3639?viewlocale=ja_JP Japan Vulnerability Notes JVN#87239696 iPhone OS におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/jp/JVN87239696/index.html 独立行政法人 情報処理推進機構 セキュリティセンター 「iPhone OS」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200906_iphone.html 【3】Foxit Reader に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#251793 Foxit Reader contains multiple vulnerabilities in the processing of JPX data http://www.kb.cert.org/vuls/id/251793 概要 Foxit Software の Foxit Reader には、JPX (JPEG2000) ストリームの 処理に起因する複数の脆弱性があります。結果として、遠隔の第三者が 細工した PDF 文書を閲覧させることで、任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、 JPEG2000 / JBIG Decoder アドオンがインストールされていなければ、 この問題の影響は受けません。 対象となるバージョンは以下のとおりです。 - Foxit Reader 3.0 Build 1817 より前のバージョン この問題は、Foxit Software が提供する修正済みのバージョンに Foxit Reader を更新することで解決します。 関連文書 (英語) Foxit Software Two Security Vulnerabilities Fixed in Foxit Reader 3.0 and JPEG2000/JBIG2 Decoder http://www.foxitsoftware.com/pdf/reader/security.htm#0602 【4】XOOPS マニアの PukiWikiMod にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#12244807 XOOPS マニア製 PukiWikiMod におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN12244807/index.html 概要 XOOPS マニアの PukiWikiMod には、クロスサイトスクリプティングの 脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で 任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - PukiWikiMod 1.6.6.2 およびそれ以前 この問題は、XOOPS マニアが提供する修正済みのバージョンに PukiWikiMod を更新することで解決します。 関連文書 (日本語) XOOPS マニア Ver 1.6.7 XSS脆弱性の修正 http://xoops.hypweb.net/wiki/6005.html 【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏」参加者募集のお知らせ 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を前回と同じく、全3回コースにて開催いたします。 このセミナーはソフトウエア等の脆弱性対策に関する事業の一環として 開催しており、一人でも多くのプログラム開発者の方々に受講していた だけるよう、今年も参加費を無料としております。 第1回は 2009年7月16日開催予定です。 日時: part1 <文字列・整数> 2009年7月16日 (木) 13:00〜18:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名 関連文書 (日本語) JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html 【6】IT セキュリティ予防接種調査報告書公開 情報源 JPCERT/CC IT セキュリティ予防接種実施調査報告書 概要 https://www.jpcert.or.jp/research/2009/inoculation-summary_20090619.pdf JPCERT/CC IT セキュリティ予防接種実施調査報告書 https://www.jpcert.or.jp/research/2009/inoculation_20090619.pdf 概要 これまで JPCERT/CC では、企業や地方公共団体に対し、電子メールに 起因する脅威への適切な対応をおこなうための訓練「IT セキュリティ 予防接種」を実施してきました。 のべ約 2600人に予防接種を実施した結果から、企業の組織形態や従業 員の属性に応じ効果を高める実施方法を考察し、報告書にとりまとめま した。セキュリティ教育の一環としてご活用ください。 関連文書 (日本語) JPCERT/CC 標準的攻撃対策手法に関する調査報告書 https://www.jpcert.or.jp/research/2008/inoculation_200808.pdf JPCERT/CC 標的型攻撃についての調査 https://www.jpcert.or.jp/research/2007/targeted_attack.pdf 【7】USB メモリ経由の感染機能を持つマルウエア調査報告書公開 情報源 JPCERT/CC USB メモリ経由の感染機能を持つマルウエア調査報告書 https://www.jpcert.or.jp/research/2009/usbmalware_20090619.pdf 概要 近年、USB メモリをはじめとするリムーバブルメディアを経由して感染 を広げるマルウエアが観測されるようになりました。 2008年末頃から世界的に話題となった Downad (あるいは Conficker、 Kido) と呼ばれるマルウエアも、変化の過程でリムーバブルメディアを 経由して感染する手段を持ち、さらに感染を広げてきたと言われていま す。 このようなリムーバブルメディアを経由して感染するマルウエアの特徴 や被害実態を、事例や分析結果の紹介をまじえて調査報告書にまとめま した。リムーバブルメディアの安全な運用を検討する際の参考にしてく ださい。 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Linuxサーバー構築標準教科書 (Ver1.0.1) 特定非営利活動法人エルピーアイジャパンは「Linuxサーバー構築標準 教科書(Ver1.0.1)」を公開しました。 このドキュメントは Linux 技術者教育に使われることを想定し、Linux 初心者が実際に Linux を導入して Web サーバやメールサーバの設定を 行って動作を理解するためのテキストです。設定などを含めてステップ バイステップで記述されているので、Linux 初心者にとって、サーバの 設定を行い、動作を理解する上ではよい参考になるでしょう。 実際にインターネットで利用するサーバの構築については、各サーバの 動作を理解した後、このドキュメントでは省略されているセキュリティ の設定を行い、公開前にセキュリティ上の問題がないかテストを行いま しょう。また、公開後も情報収集を継続し、必要な対策を講じていくこ とが重要です。 参考文献 (日本語) 特定非営利活動法人エルピーアイジャパン 『Linuxサーバー構築標準教科書』開発プロジェクト http://www.lpi.or.jp/linuxservertext/ 日本の Linux 情報 Linux 関連リンク/セキュリティ http://www.linux.or.jp/link/security.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSkGAFzF9l6Rp7OBIAQgsQQgAgytWVIAR5BgiEa/U4WoefakbdrqhcbY5 uM74BerLG6LFUEGXy01EvkQQYt6mHXmylSaCTcZBTolP7EARdcvUdH+KLt9R3u/V Fz2v9KehveD0vnDYBH75kEB1C9ERP/WyerQbVVe72pyiOkKRfOB32R6Pj4fRXv1B GPpSwy078DYrIvKdVv3FwUvyaSTxa62zrD7Dh9yPEIRwrYte0dl9vEAEEHbrgTIm n2hpUZn/noDrgy/Zon/Qd/rLSfiIKfLEp58FMQGEcnf/FJ01XlNR3BdGuxCgyPZQ BRgPgzDFM9m+YDc/gwohbAOLr8YBVrU23FxbzoryLzXeLWl2Jiz6zg== =97OQ -----END PGP SIGNATURE-----