-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2501 JPCERT/CC 2009-07-01 <<< JPCERT/CC WEEKLY REPORT 2009-07-01 >>> ―――――――――――――――――――――――――――――――――――――― ■06/21(日)〜06/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Shockwave Player に脆弱性 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 【3】Movable Type に複数の脆弱性 【4】レッツPHP! の複数の製品に脆弱性 【今週のひとくちメモ】JPNIC の lame delegation への取り組み再開のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092501.html https://www.jpcert.or.jp/wr/2009/wr092501.xml ============================================================================ 【1】Adobe Shockwave Player に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Update for Shockwave Player http://www.us-cert.gov/current/archive/2009/06/26/archive.html#adobe_releases_update_for_shockwave 概要 Adobe Shockwave Player には、脆弱性があります。結果として、遠隔 の第三者が細工したファイルを処理させることで任意のコードを実行す る可能性があります。 対象となるバージョンは以下のとおりです。 - Adobe Shockwave Player 11.5.0.596 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Shockwave Player を更新することで解決します。詳細については、Adobe が提供 する情報を参照してください。 関連文書 (英語) Adobe Security Bulletin APSB09-08 Security Update available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb09-08.html 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 情報源 Mozilla Japan Thunderbird リリースノート - Thunderbird 2.0.0.22 での変更点 http://mozilla.jp/thunderbird/2.0.0.22/releasenotes/ Mozilla Security Advisories for SeaMonkey 1.1 http://www.mozilla.org/security/known-vulnerabilities/seamonkey11.html#seamonkey1.1.17 概要 JPCERT/CC REPORT 2009-06-17 号【3】で紹介した「Mozilla 製 品群に複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みバージョン 2.0.0.22 および、SeaMonkey の修 正済みバージョン 1.1.17 が提供されました。詳細については、OS の ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2009-06-17 【3】Mozilla 製品群に複数の脆弱性 https://www.jpcert.or.jp/wr/2009/wr092301.html#3 【3】Movable Type に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#08369659 Movable Type におけるアクセス制限回避の脆弱性 https://jvn.jp/jp/JVN08369659/index.html Japan Vulnerability Notes JVN#86472161 Movable Type におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN86472161/index.html 概要 Movable Type には、複数の脆弱性があります。結果として、遠隔の第 三者が任意の宛先へ不正にメールを送信したり、ユーザのブラウザ上で 任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Movable Type 4.25 Enterprise およびそれ以前 - Movable Type 4.25 (Professional Pack, Community Pack を同梱) およびそれ以前 - Movable Type Commercial 4.25 (Professional Pack を同梱) および それ以前 - Movable Type 4.25 (Open Source) およびそれ以前 この問題は、シックス・アパートが提供する修正済みのバージョンに Movable Type を更新することで解決します。詳細については、シック ス・アパートが提供する情報を参照してください。なお、本脆弱性は 4.26 で修正されていますが、2009年6月30日現在、最新版として 4.261 が公開されています。 関連文書 (日本語) シックス・アパート Movable Type 4.26 の出荷を開始します http://www.movabletype.jp/blog/movable_type_426.html シックス・アパート Movable Type 4.261 の出荷を開始します http://www.movabletype.jp/blog/movable_type_4261.html 【4】レッツPHP! の複数の製品に脆弱性 情報源 Japan Vulnerability Notes JVN#93827000 レッツPHP! 製 Tree BBS におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN93827000/index.html Japan Vulnerability Notes JVN#20219071 レッツPHP! 製 PHP-I-BOARD におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN20219071/index.html Japan Vulnerability Notes JVN#32788272 レッツPHP! 製 PHP-I-BOARD におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN32788272/index.html 概要 レッツPHP! の複数の製品には、脆弱性があります。結果として、遠隔 の第三者がサーバ内にある任意のファイルを閲覧したり、ユーザのブラ ウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Tree BBS 2004/11/23 公開版およびそれ以前 - PHP-I-BOARD v1.2 およびそれ以前 この問題は、レッツPHP! が提供する修正済みのバージョンに、該当す る製品を更新することで解決します。 関連文書 (日本語) レッツPHP! Tree BBS http://php.s3.to/bbs/bbs6.php レッツPHP! PHP-I-BOARD http://php.s3.to/bbs/bbs8.php ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPNIC の lame delegation への取り組み再開のお知らせ JPNIC は、適切に設定されていない (lame delegation) ネームサーバ の担当者への通知と委任停止の取り組みを 2009年7月7日(火) より再開 するとアナウンスしています。 逆引きネームサーバを適切に設定していない状態が 15日間連続した場 合、JPNIC からネームサーバ管理者へ通知を行い、また適切に設定して いない状態が 45日間連続した場合、委任を停止するとのことです。 lame delegation 状態はインターネット上に無駄なトラフィックを発生 させ、ネームサーバへの負荷を高めるなどの悪影響を及ぼします。 ネームサーバ管理者は設定を確認するとともに lame delegation に関 する通知を受け取った場合には、速やかに状況の確認と対処を行ってく ださい。 参考文献 (日本語) 社団法人日本ネットワークインフォメーションセンター 適切に設定されていない逆引きネームサーバの通知と委任停止の取り組み再開のお知らせ http://www.nic.ad.jp/ja/topics/2009/20090525-01.html 社団法人日本ネットワークインフォメーションセンター インターネット10分講座:lame delegation http://www.nic.ad.jp/ja/newsletter/No36/0800.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSkq4wTF9l6Rp7OBIAQg8vQf+PN3eTwawRQlv161wXJsGZWzRfjKikEx1 +HWWLhWAbYtJ1/lIcZch004VRCAQkqb1PIvOtMqcVqAoccHxA1ddQtvo8JJK9Ynh op9ASsYpgoXpVDjbUlFUTyHpdcuHRXE5cafb4FV6zzCPshJxuZ/1rKGnaEPlgG+f PtjIcWKFZ2U6rtCAS8o4+j7ltPt88TCO9Moz0YFERaPXC/vDHLDEQY7wF0r8hd5S JWD0OWd0KjlNVETYzjYeDoDDmWPBf0ghyB6mgQpb28aJTLPAmuugs8XiSMjW5yA4 TZ58O+rQKva2s9Ez55EB3h4W+IIuwaR6HC7BQMQoZ9yguRcYXsOrlQ== =2Wa+ -----END PGP SIGNATURE-----