-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3001 JPCERT/CC 2009-08-05 <<< JPCERT/CC WEEKLY REPORT 2009-08-05 >>> ―――――――――――――――――――――――――――――――――――――― ■07/26(日)〜08/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性 【2】ISC BIND 9 に脆弱性 【3】「複数の Adobe 製品に脆弱性」に関する追加情報 【4】Apple iPhone OS に脆弱性 【5】MySQL Connector/J に SQL インジェクションの脆弱性 【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性 【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起 【今週のひとくちメモ】夏休みに備えて: 休暇中の自宅 PC での作業について ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093001.html https://www.jpcert.or.jp/wr/2009/wr093001.xml ============================================================================ 【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性 情報源 US-CERT Technical Cyber Security Alert TA09-209A Microsoft Windows, Internet Explorer, and Active Template Library (ATL) Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-209A.html US-CERT Cyber Security Alert SA09-209A Microsoft Windows and Internet Explorer Vulnerabilities http://www.us-cert.gov/cas/alerts/SA09-209A.html US-CERT Vulnerability Note VU#456745 ActiveX controls built with Microsoft ATL fail to properly handle initialization data http://www.kb.cert.org/vuls/id/456745 DOE-CIRC Technical Bulletin T-196 Critical Cumulative Security Update for Internet Explorer http://www.doecirc.energy.gov/bulletins/t-196.shtml 概要 Microsoft Internet Explorer、Active Template Library (ATL) およ び関連コンポーネントには、複数の脆弱性があります。結果として、遠 隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で 任意のコードを実行する可能性があります。 詳細については、マイクロソフトが提供する情報を参照してください。 マイクロソフト製品の問題については、Microsoft Update などを用い て、セキュリティ更新プログラムを適用することで解決します。 なお、ATL の問題については、ソフトウエア開発元が修正したソフトウ エアに更新する必要があります。Adobe や Cisco など複数のベンダが ATL の問題を修正した製品をリリースする予定です。 詳細については、下記関連文書を参照してください。 関連文書 (日本語) 2009 年 7 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspx マイクロソフト セキュリティ情報 MS09-034 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (972260) http://www.microsoft.com/japan/technet/security/bulletin/ms09-034.mspx マイクロソフト セキュリティ情報 MS09-035 - 警告 Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706) http://www.microsoft.com/japan/technet/security/bulletin/ms09-035.mspx マイクロソフト セキュリティ アドバイザリ (973882) Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/973882.mspx Japan Vulnerability Notes JVNTA09-209A Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性 https://jvn.jp/cert/JVNTA09-209A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS09-034,035)(7/29) http://www.cyberpolice.go.jp/important/2009/20090729_112353.html JPCERT/CC Alert 2009-07-29 Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2009/at090014.txt 関連文書 (英語) Adobe Security Bulletin APSB09-11 Security update available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb09-11.html Cisco Security Advisory cisco-sa-20090728-activex Active Template Library (ATL) Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml 【2】ISC BIND 9 に脆弱性 情報源 US-CERT Vulnerability Note VU#725188 ISC BIND 9 vulnerable to denial of service via dynamic update request http://www.kb.cert.org/vuls/id/725188 DOE-CIRC Technical Bulletin T-197 ISC BIND Denial of Service Vulnerability http://www.doecirc.energy.gov/bulletins/t-197.shtml 概要 ISC BIND 9 には、dynamic update パケットの処理に起因する脆弱性が あります。結果として、遠隔の第三者が細工したパケットを処理させる ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、 本脆弱性を使用した攻撃活動が国内でも確認されています。 対象となるバージョンは以下の通りです。 - BIND 9 全てのバージョン ISC はこの問題への修正版として以下のバージョンを公開しています。 - BIND 9.4.3-P3 - BIND 9.5.1-P3 - BIND 9.6.1-P1 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND 9 を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター DNSサーバ BIND の脆弱性について http://www.ipa.go.jp/security/ciadr/vul/20090731-bind.html JPCERT/CC Alert 2009-07-31 ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2009/at090016.txt 関連文書 (英語) Internet Systems Consortium BIND Dynamic Update DoS https://www.isc.org/node/474 Red Hat Security Advisory RHSA-2009:1179-2 Important: bind security update https://rhn.redhat.com/errata/RHSA-2009-1179.html Red Hat Security Advisory RHSA-2009:1180-1 Important: bind security and bug fix update https://rhn.redhat.com/errata/RHSA-2009-1180.html Red Hat Security Advisory RHSA-2009:1181-1 Important: bind security and bug fix update https://rhn.redhat.com/errata/RHSA-2009-1181.html Sun Alert 264828 A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS) http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1 Debian Security Advisory DSA-1847-1 bind9 -- improper assert http://www.debian.org/security/2009/dsa-1847 The FreeBSD Project Security Advisory FreeBSD-SA-09:12.bind BIND named(8) dynamic update message remote DoS http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.asc OpenBSD 4.5 errata 007: RELIABILITY FIX: July 29, 2009 http://www.openbsd.org/errata45.html#007_bind 【3】「複数の Adobe 製品に脆弱性」に関する追加情報 情報源 Adobe Security Bulletin APSB09-10 Security updates available for Adobe Flash Player, Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb09-10.html 概要 JPCERT/CC WEEKLY REPORT 2009-07-29 号【1】で紹介した「複数の Adobe 製品に脆弱性」に関する追加情報です。 Adobe 製品の修正済みバージョンが提供されました。詳細については、 Adobe が提供する情報を参照してください。なお、複数のブラウザを利 用している場合は、それぞれのプラグインを更新する必要がありますの で注意してください。 関連文書 (日本語) JPCERT/CC Alert 2009-07-31 Adobe Flash Player および Adobe Acrobat/Reader の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2009/at090015.txt JPCERT/CC REPORT 2008-01-17 【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意 https://www.jpcert.or.jp/wr/2008/wr080201.html#Memo JPCERT/CC WEEKLY REPORT 2009-07-29 【1】複数の Adobe 製品に脆弱性 https://www.jpcert.or.jp/wr/2009/wr092901.html#1 関連文書 (英語) Adobe Security Bulletin APSA09-04 Security advisory for Adobe Flash Player http://www.adobe.com/support/security/advisories/apsa09-04.html US-CERT Technical Cyber Security Alert TA09-204A Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products http://www.us-cert.gov/cas/techalerts/TA09-204A.html 【4】Apple iPhone OS に脆弱性 情報源 Apple Support HT3754 About the security content of iPhone OS 3.0.1 http://support.apple.com/kb/HT3754 概要 Apple iPhone OS には、SMS メッセージの処理に起因する脆弱性があり ます。結果として遠隔の第三者が細工した SMS メッセージを送りつけ ることで、処理を中断させたり、任意のコードを実行したりする可能性 があります。 対象となるバージョンは以下の通りです。 - iPhone OS 1.0 から 3.0 まで この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。 関連文書 (英語) Apple security-announce Mailing List APPLE-SA-2009-07-31-1 iPhone OS 3.0.1 http://lists.apple.com/archives/security-announce/2009/Jul/msg00001.html 【5】MySQL Connector/J に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#59748723 MySQL Connector/J における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN59748723/index.html 概要 Sun の MySQL Connector/J には、SQL インジェクションの脆弱性があ ります。結果として、遠隔の第三者がデータベース内のコンテンツを取 得したり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - MySQL Connector/J 5.1.7 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに MySQL Connector/J を更新することで解決します。 関連文書 (英語) Sun MySQL Bug #41730 SQL Injection when using U+00A5 http://bugs.mysql.com/bug.php?id=41730 【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#80436657 株式会社ディーアイシー製 yoyaku_v41 における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN80436657/index.html 概要 ディーアイシーの施設予約管理ソフトウェア yoyaku_v41 には、OS コ マンドインジェクションの脆弱性があります。結果として、遠隔の第三 者が Web サーバの権限で任意の OS コマンドを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - yoyaku_v41 バージョン 1.0 以前 この問題は、ディーアイシーが提供する修正済みのバージョンに yoyaku_v41 を更新することで解決します。 関連文書 (日本語) 株式会社ディーアイシー yoyaku_v41 http://www.d-ic.com/free/06/yoyaku_v41.html 【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起 情報源 独立行政法人 情報処理推進機構 セキュリティセンター 「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html 概要 独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ ンの EC-CUBE を使用しているウェブサイトに対する注意喚起を発行し ました。古いバージョンの EC-CUBE には、クロスサイトスクリプティ ングや、SQL インジェクションの脆弱性などを含んだものがあり、任意 のスクリプト実行や情報漏えいなどの可能性があります。対策版へのバー ジョンアップ、もしくは個別にファイル修正を行ってください。 関連文書 (日本語) 株式会社ロックオン EC-CUBE旧バージョンの脆弱性についての注意喚起(2009/07/27) http://www.ec-cube.net/news/detail.php?news_id=100 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○夏休みに備えて: 休暇中の自宅 PC での作業について 8月に入り、本格的な夏休みのシーズンとなりました。 休暇中に、業務データを持ち帰り自宅で作業される方もいらっしゃると 思います。業務データを持ち出す必要がある場合には、自組織のポリシー に従い、その取り扱いや情報漏えいには十分に注意してください。 特に、以下のような危険があることを認識して行動することが重要です。 - 家族と共有している PC で作業する場合 家族がファイル共有ソフトウエアを利用していることなどにより、 意図せずに情報漏えいする可能性があること - USB メモリを使ってデータの移動をしている場合 USB メモリや、デジカメで使われるフラッシュメモリなどを経由し て感染する Conficker などのマルウエアの被害を受ける可能性が あること - 自宅の PC がウイルス感染している場合 持ち出したデータを社内へ持ち帰る際に、社内にウイルス感染を拡 大させる可能性があること また、Adobe Reader、Flash プラグインなど、多くの PC にインストー ルされているソフトウエアについて、7月末にアップデートが公開され ています。お使いのソフトウエアが最新版にアップデートされているか、 確認してください。 参考文献 (日本語) Microsoft TechNet あんしん処 セキュリ亭 休暇の前はご用心 http://technet.microsoft.com/ja-jp/security/dd793045.aspx JPCERT/CC WEEKLY REPORT 2009-07-23 【今週のひとくちメモ】夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意 https://www.jpcert.or.jp/wr/2009/wr092801.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSnjbxDF9l6Rp7OBIAQgkGAgAoYDSlnC3yza6Fy2kYw8G2X0ZbFPAo+vt +CNyKt9sQAIqj0KYCvDV8X5a3GAw5bkRXL6EMfatspCSbN9s4CBg5MVy9huawZAQ +1CUHf4Ui8C22PsxiVLZuvjORqmUvGUtNGyyR7m1Rs8LrbcRs7TU4DlGX0K6XKXR TFtTlFqmRl0K3UrY2EZhgIbHOBMa8mSwMoY6S3dhaIPst3o5J3zrE+WlH4a9z7p8 Szdy8oUlejIHTksHK0g62+c26FoGIZQ0qQtIO8hSVrbLAaMrShaMpuJ073xumk3X hW4CHkl0Pcimfv+JqhfJviB64VVrMhJYP0nPrRa8Y06te3z5K+G8pw== =O2Sn -----END PGP SIGNATURE-----