-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2801 JPCERT/CC 2009-07-23 <<< JPCERT/CC WEEKLY REPORT 2009-07-23 >>> ―――――――――――――――――――――――――――――――――――――― ■07/12(日)〜07/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2009年7月 Microsoft セキュリティ情報について 【2】Microsoft Office Web コンポーネントの ActiveX コントロールに脆弱性 【3】2009年7月 Oracle Critical Patch Update について 【4】Mozilla Firefox 3.5 に脆弱性 【5】ISC DHCP dhclient にバッファオーバーフローの脆弱性 【6】VMware ESX に複数の脆弱性 【7】Nagios にコマンドインジェクションの脆弱性 【8】XML 署名の検証に認証回避の問題 【9】shiromuku(fs6)DIARY にクロスサイトスクリプティングの脆弱性 【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者募集のお知らせ 【今週のひとくちメモ】夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092801.html https://www.jpcert.or.jp/wr/2009/wr092801.xml ============================================================================ 【1】2009年7月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA09-195A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-195A.html US-CERT Cyber Security Alert SA09-195A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-195A.html DOE-CIRC Technical Bulletin T-184 Microsoft Monthly Updates http://www.doecirc.energy.gov/bulletins/t-184.shtml 概要 Microsoft Windows、DirectShow、Virtual PC、Office Publisher、ISA Server および関連コンポーネントには、複数の脆弱性があります。結 果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 詳細については、マイクロソフトが提供する情報を参照してください。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2009-06-03【1】および JPCERT/CC WEEKLY REPORT 2009-07-15【1】で紹介した問題に対する解決策も含ま れています。 関連文書 (日本語) 2009 年 7 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx マイクロソフト セキュリティ情報 MS09-028 - 緊急 Microsoft DirectShow の脆弱性により、リモートでコードが実行される (971633) http://www.microsoft.com/japan/technet/security/bulletin/ms09-028.mspx マイクロソフト セキュリティ情報 MS09-029 - 緊急 Embedded OpenType フォント エンジンの脆弱性により、リモートでコードが実行される (961371) http://www.microsoft.com/japan/technet/security/bulletin/ms09-029.mspx マイクロソフト セキュリティ情報 MS09-030 - 重要 Microsoft Office Publisher の脆弱性により、リモートでコードが実行される (969516) http://www.microsoft.com/japan/technet/security/bulletin/ms09-030.mspx マイクロソフト セキュリティ情報 MS09-031 - 重要 Microsoft ISA Server 2006 の脆弱性により、特権が昇格される (970953) http://www.microsoft.com/japan/technet/security/bulletin/ms09-031.mspx マイクロソフト セキュリティ情報 MS09-032 - 緊急 ActiveX の Kill Bit の累積的なセキュリティ更新プログラム (973346) http://www.microsoft.com/japan/technet/security/bulletin/ms09-032.mspx マイクロソフト セキュリティ情報 MS09-033 - 重要 Virtual PC および Virtual Server の脆弱性により、特権が昇格する (969856) http://www.microsoft.com/japan/technet/security/bulletin/ms09-033.mspx Japan Vulnerability Notes JVNTA09-195A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA09-195A/index.html Japan Vulnerability Notes JVNTA09-187A Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNTA09-187A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Microsoft DirectShow の脆弱性(MS09-028)について http://www.ipa.go.jp/security/ciadr/vul/20090715-ms09-028.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-028,029,030,031,032,033)(7/15) http://www.cyberpolice.go.jp/important/2009/20090715_105545.html JPCERT/CC Alert 2009-07-15 2009年7月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起 http://www.jpcert.or.jp/at/2009/at090013.txt JPCERT/CC WEEKLY REPORT 2009-06-03 【1】Microsoft DirectShow に脆弱性 http://www.jpcert.or.jp/wr/2009/wr092101.html#1 JPCERT/CC WEEKLY REPORT 2009-07-15 【1】Microsoft Video ActiveX コントロールにバッファオーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2009/wr092701.html#1 【2】Microsoft Office Web コンポーネントの ActiveX コントロールに脆弱性 情報源 US-CERT Vulnerability Note VU#545228 Microsoft Office Web Components Spreadsheet ActiveX control vulnerability http://www.kb.cert.org/vuls/id/545228 DOE-CIRC Technical Bulletin T-183 Vulnerability in Microsoft Office Web Components Control Could Allow Remote Code Execution http://www.doecirc.energy.gov/bulletins/t-183.shtml 概要 Microsoft Office Web コンポーネントの ActiveX コントロールには、 脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書を 閲覧させることで、ユーザの権限で任意のコードを実行する可能性があ ります。なお、本脆弱性を使用した攻撃活動が確認されています。 対象となる製品は以下の通りです。 - Microsoft Office XP Service Pack 3 - Microsoft Office 2003 Service Pack 3 - Microsoft Office XP Web コンポーネント Service Pack 3 - Microsoft Office 2003 Web コンポーネント Service Pack 3 - 2007 Microsoft Office system Service Pack 1 用の Microsoft Office 2003 Web コンポーネント - Microsoft Internet Security and Acceleration Server 2004 Standard Edition Service Pack 3 - Microsoft Internet Security and Acceleration Server 2004 Enterprise Edition Service Pack 3 - Microsoft Internet Security and Acceleration Server 2006 - Internet Security and Acceleration Server 2006 Supportability Update - Microsoft Internet Security and Acceleration Server 2006 Service Pack 1 - Microsoft Office Small Business Accounting 2006 2009年7月22日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。また、マイクロソフトは Office Web コンポーネントの ActiveX コントロールを無効にする回避策として「Fix it」を公開しています。 詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (973472) Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/973472.mspx マイクロソフト サポート技術情報 (973472) マイクロソフト セキュリティ アドバイザリ: Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行される http://support.microsoft.com/kb/973472/ja Japan Vulnerability Notes JVNVU#545228 Microsoft Office Web コンポーネントのスプレッドシート ActiveX コントロールに脆弱性 https://jvn.jp/cert/JVNVU545228/index.html 【3】2009年7月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for July 2009 http://www.us-cert.gov/current/archive/2009/07/16/archive.html#oracle_releases_critical_patch_update7 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。詳細については Oracle が提供する情報を参照してくだ さい。 なお、次回の Oracle Critical Patch Update は、2009年10月にリリー スされる予定です。 関連文書 (日本語) Oracle internet Support Center [CPUJuly2009] Oracle Critical Patch Update Advisory - July 2009 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=135413 Oracle Technology Network Critical Patch Update - July 2009 http://www.oracle.com/technology/global/jp/security/090717_87/top.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html 【4】Mozilla Firefox 3.5 に脆弱性 情報源 US-CERT Vulnerability Note VU#443060 Mozilla Firefox 3.5 TraceMonkey JavaScript engine uninitialized memory vulnerability http://www.kb.cert.org/vuls/id/443060 DOE-CIRC Technical Bulletin T-185 Two Remote Code Execution Vulnerabilities in Firefox http://www.doecirc.energy.gov/bulletins/t-185.shtml DOE-CIRC Technical Bulletin T-186 Mozilla Firefox 3.5 'Tracemonkey' Component Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-186.shtml 概要 Mozilla Firefox 3.5 の JavaScript エンジンには、脆弱性があります。 結果として、遠隔の第三者が細工した HTML 文書を処理させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 3.5 この問題は、Mozilla が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。Mozilla からは、この問題の修正とし て以下のバージョンが公開されています。 - Firefox 3.5.1 詳細については、Mozilla 提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.1 - 2009/07/16 リリース http://mozilla.jp/firefox/3.5.1/releasenotes/ Japan Vulnerability Notes JVNVU#443060 Mozilla Firefox 3.5 に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU443060/index.html 関連文書 (英語) Mozilla Foundation Security Advisory 2009-41 Corrupt JIT state after deep return from native function http://www.mozilla.org/security/announce/2009/mfsa2009-41.html 【5】ISC DHCP dhclient にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#410676 ISC DHCP dhclient stack buffer overflow http://www.kb.cert.org/vuls/id/410676 概要 ISC DHCP dhclient には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が細工したパケットを送信することで、DHCP クライアントが動作するシステムの root 権限で任意のコードを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - ISC DHCP 4.1 系 - ISC DHCP 4.0 系 - ISC DHCP 3.1 系 - ISC DHCP 3.0 系 - ISC DHCP 2.0 系 なお、ISC によると 3.0 系および 2.0 系はサポート対象外です。詳細 については、ISC が提供する情報を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに DHCP クライアントを更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#410676 ISC DHCP dhclient におけるバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU410676/index.html 関連文書 (英語) Internet Systems Consortium DHCP Stack Overflow in 'dhclient' script_write_params() https://www.isc.org/node/468 Red Hat Security Advisory RHSA-2009:1136-1 Critical: dhcp security update https://rhn.redhat.com/errata/RHSA-2009-1136.html Red Hat Security Advisory RHSA-2009:1154-1 Critical: dhcp security update https://rhn.redhat.com/errata/RHSA-2009-1154.html Debian Security Advisory DSA-1833-1 dhcp3 -- several vulnerabilities http://www.debian.org/security/2009/dsa-1833.en.html 【6】VMware ESX に複数の脆弱性 情報源 US-CERT Current Activity Archive VMware Releases Security Advisory VMSA-2009-0009 and Updates Security Advisory VMSA-2009-0008.1 http://www.us-cert.gov/current/archive/2009/07/16/archive.html#vmware_releases_security_advisory_vmsa3 概要 VMware ESX には、複数の脆弱性があります。結果として、ローカルユー ザが権限を昇格したり、遠隔の第三者が任意のコマンドを実行したりす る可能性があります。 対象となるバージョンは以下の通りです。 - ESX 4.0.0 (ESX400-200906411-SG、ESX400-200906406-SG、 ESX400-200906407-SG 未適用のもの) この問題は、VMware が提供する修正済みのバージョンに VMware ESX を更新することで解決します。詳細については、VMware が提供する情 報を参照してください。 関連文書 (英語) VMware Security Advisories (VMSAs) VMSA-2009-0009 ESX Service Console updates for udev, sudo, and curl http://www.vmware.com/security/advisories/VMSA-2009-0009.html 【7】Nagios にコマンドインジェクションの脆弱性 情報源 DOE-CIRC Technical Bulletin T-182 Nagios 'statuswml.cgi' Remote Arbitrary Shell Command Injection Vulnerability http://www.doecirc.energy.gov/bulletins/t-182.shtml 概要 Nagios には、コマンドインジェクションの脆弱性があります。結果と して、遠隔の第三者が細工したリクエストを処理させることで、任意の コマンドを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - Nagios 3.1.1 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Nagios を更新することで解決します。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1825-1 nagios2, nagios3 -- 入力の不十分な検証 http://www.debian.org/security/2009/dsa-1825.ja.html 関連文書 (英語) Nagios 3 Version History 3.1.1 - 06/22/2009 http://www.nagios.org/development/history/core-3x 【8】XML 署名の検証に認証回避の問題 情報源 US-CERT Vulnerability Note VU#466161 XML signature HMAC truncation authentication bypass http://www.kb.cert.org/vuls/id/466161 概要 XML 署名 (XMLDsig) には、HMAC truncation に起因する認証回避の問 題があります。詳細については、下記関連文書を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#466161 XML 署名の検証において認証回避が可能な問題 https://jvn.jp/cert/JVNVU466161/index.html 関連文書 (英語) World Wide Web Consortium - Errata for XML Signature 2nd Edition E03: HMAC truncation (CVE-2009-0217) http://www.w3.org/2008/06/xmldsigcore-errata.html#e03 IBM Possible security exposure with XML digital signature with IBM WebSphere Application Server (PK80596 and PK80627) http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg21384925 Sun SECURITY BLOG US-CERT Vulnerability Note VU#466161 - XML signature HMAC truncation authentication bypass http://blogs.sun.com/security/entry/cert_vulnerability_note_vu_466161 Oracle Technology Network Oracle Critical Patch Update Advisory - July 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2009.html 【9】shiromuku(fs6)DIARY にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#31110006 shiromuku(fs6)DIARY におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN31110006/index.html 概要 Perl CGI's By Mrs.Shiromuku のウェブ日記作成支援ソフトウェア shiromuku(fs6)DIARY には、クロスサイトスクリプティングの脆弱性が あります。結果として、遠隔の第三者がユーザのブラウザ上で任意のス クリプトを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - shiromuku(fs6)DIARY バージョン 2.40 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに shiromuku(fs6)DIARY を更新することで解決します。 関連文書 (日本語) Perl CGI's By Mrs.Shiromuku shiromuku(fs6)DIARYをご利用の方へバージョンアップのお願い http://www.t-okada.com/cgi-bin/s_news/s_news.cgi?action=show_detail&txtnumber=log&mynum=345 【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者募集のお知らせ 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 7月16日に開催した part1 はおかげさまで定員を超えるご応募を頂きま した。次回 part2 もふるってお申込み下さい。多くの方のご参加をお 待ちしております。 日時: part2 <ファイル入出力 part1,part2,part3> 2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名 関連文書 (日本語) JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意 マイクロソフトの 8月度のセキュリティ更新プログラムが 8月12日に予 定されています。日本のお盆休みの時期に重なっており、業務上利用し ている PC の管理には注意が必要です。 休み中に重要なセキュリティ更新プログラムがリリースされる可能性が あります。休み明けには、新しいセキュリティ更新プログラムがリリー スされていないか確認し、必要に応じてネットワークから隔離した状態 でセキュリティ更新プログラムを適用することも検討してください。 また、最近は多くのソフトウエアベンダも、セキュリティ更新プログラ ムを定期的にリリースするようになってきています。利用しているソフ トウエアの情報を確認しましょう。 参考文献 (日本語) JPCERT/CC WEEKLY REPORT 2009-04-30 【今週のひとくちメモ】マイクロソフトセキュリティ更新プログラムの ISO イメージ http://www.jpcert.or.jp/wr/2009/wr091701.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSme26TF9l6Rp7OBIAQgzbQf9H6Kp2EQ/EBKCXBFulYiglmFEXr1a5GZE nkhWBzCFFm0ESUpjBUd9GBWV5S0qeB+nbauHumZk4dIoi8EXCuNNqHD8BEHp5VlP UzPc9im8VxCtaZOjLd+e0HlMPGwTQF96CXtfXfjtMsn0aXLeXoos+ojyqVQVDW1U qflNwtXmNzbF4eIkKQ/DB3BL90lp8u+FBnjIilXATGiNa7dgIDMA73DwEaMbJXNJ wbWJk+lyQ8+KamfckmYC+XOe2r6ZxTUWmF5KlQBx99iN0azemjD533TIl8BVfAJg TAXsSuibJoAmjqstuWsdV3F4ERIajUBQC4nV9zocAhrC7W/xG6phNQ== =lA1i -----END PGP SIGNATURE-----