-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3501 JPCERT/CC 2009-09-09 <<< JPCERT/CC WEEKLY REPORT 2009-09-09 >>> ―――――――――――――――――――――――――――――――――――――― ■08/30(日)〜09/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Information Services (IIS) の FTP サーバ機能にバッファオーバーフローの脆弱性 【2】Java for Mac OS X に複数の脆弱性 【3】ATOK にスクリーンロックの制限回避が可能な脆弱性 【4】VMware の VMnc AVI コーデックにバッファオーバーフローの脆弱性 【5】「C/C++ セキュアコーディングハーフデイキャンプ 2009秋 @大阪」参加者募集中 【6】JPCERT/CC、VRDA の有効性検証報告書 英語版を公開 【今週のひとくちメモ】J2SE 5.0 サポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093501.html https://www.jpcert.or.jp/wr/2009/wr093501.xml ============================================================================ 【1】Microsoft Internet Information Services (IIS) の FTP サーバ機能にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#276653 Microsoft Internet Information Server (IIS) FTP server NLST stack buffer overflow http://www.kb.cert.org/vuls/id/276653 概要 Microsoft Internet Information Services (IIS) の FTP サーバ機能 には、バッファオーバーフローの脆弱性があります。結果として、FTP サーバに対する書き込み権限のある遠隔の第三者が任意のコードを実行 する可能性があります。なお、この脆弱性を使用した攻撃コードが公開 されています。 対象となるバージョンは以下の通りです。 - Microsoft Internet Information Services 5.0 (FTP サービス5.0) - Microsoft Internet Information Services 5.1 (FTP サービス5.1) - Microsoft Internet Information Services 6.0 (FTP サービス6.0) - Microsoft Internet Information Services 7.0 (FTP サービス6.0) 2009年9月8日現在、この問題に対するセキュリティ更新プログラムは提 供されていません。 回避策としては、FTP サーバに対する匿名ユーザでの書き込み権限を無 効にするなどの方法があります。詳細については、マイクロソフトが提 供する情報を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (975191) インターネット インフォメーション サービスの FTP サービスの脆弱性 http://www.microsoft.com/japan/technet/security/advisory/975191.mspx Japan Vulnerability Notes JVNVU#276653 Microsoft Internet Information Services FTP サーバにおけるバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU276653/index.html 【2】Java for Mac OS X に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Java Updates for Mac OS X 10.5 http://www.us-cert.gov/current/archive/2009/09/04/archive.html#apple_releases_java_updates_for2 概要 Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が権限を昇格したり、任意のコードを実行したりする可能性が あります。 対象となるバージョンは以下のとおりです。 - Java for Mac OS X 10.5 Update 5 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、Java for Mac OS X を更新することで解決します。詳細については、Apple が提供す る情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2009-08-12 【3】Java Runtime Environment (JRE) に複数の脆弱性 https://www.jpcert.or.jp/wr/2009/wr093101.html#3 Apple Support HT3649 Java for Mac OS X 10.5 Update 5 について http://support.apple.com/kb/HT3649?viewlocale=ja_JP Apple Support Download Java for Mac OS X 10.5 Update 5 http://support.apple.com/kb/DL924?viewlocale=ja_JP&locale=ja_JP 関連文書 (英語) Apple Support HT3851 About the security content of Java for Mac OS X 10.5 Update 5 http://support.apple.com/kb/HT3851 Apple Mailing List APPLE-SA-2009-09-03-1 Java for Mac OS X 10.5 Update 5 http://lists.apple.com/archives/security-announce/2009/Sep/msg00000.html 【3】ATOK にスクリーンロックの制限回避が可能な脆弱性 情報源 Japan Vulnerability Notes JVN#57040664 ATOK におけるスクリーンロックの制限回避が可能な脆弱性 https://jvn.jp/jp/JVN57040664/index.html 概要 日本語入力システム ATOK には、外部アプリケーションの起動制御に起 因するスクリーンロックの制限回避が可能な脆弱性があります。結果と して、ローカルシステムアカウントの権限で、任意のコマンドやプログ ラムを実行する可能性があります。 対象となる製品は以下の通りです。 - ATOK for Windows - ATOKスマイル なお、上記製品を搭載した一太郎シリーズ、JUST Suite シリーズなど も含みます。 この問題は、ジャストシステムが提供するセキュリティ更新モジュール、 アップデートモジュールを該当する製品に適用することで解決します。 詳細については、ジャストシステムが提供する情報を参照してください。 関連文書 (日本語) ジャストシステム セキュリティ情報 [JS09003] ATOKの脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js09003.html 独立行政法人 情報処理推進機構 セキュリティセンター 「ATOK」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200909_atok.html 【4】VMware の VMnc AVI コーデックにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#444513 VMware VMnc AVI video codec image height heap overflow http://www.kb.cert.org/vuls/id/444513 概要 VMware の VMnc AVI コーデックには、AVI ファイルの処理に起因する バッファオーバーフローの脆弱性があります。結果として、遠隔の第三 者が細工した Web ページまたは細工した AVI ファイルを閲覧させるこ とで、任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - VMware Movie Decoder 6.5.3 より前のバージョン - VMware Workstation 6.5.3 より前のバージョン - VMware Player 2.5.3 より前のバージョン - VMware ACE 2.5.3 より前のバージョン この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。 関連文書 (英語) VMware Security Advisory VMSA-2009-0012 VMware Movie Decoder, VMware Workstation, VMware Player, and VMware ACE resolve security issues. http://www.vmware.com/security/advisories/VMSA-2009-0012.html VMware Security Announcements VMSA-2009-0012 VMware Movie Decoder, VMware Workstation, VMware Player, and VMware ACE resolve security issues. http://lists.vmware.com/pipermail/security-announce/2009/000065.html 【5】「C/C++ セキュアコーディングハーフデイキャンプ 2009秋 @大阪」参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングハーフデイキャンプ 2009秋 @大阪のご案内 https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html 概要 JPCERT コーディネーションセンターは、経済産業省の委託によるソフ トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア コーディングセミナー」を開催しています。 「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」 は、関西エリアのプログラム開発者の方々に受講いただけるよう、大阪 を会場とし、2009年10月6日から隔週で全3回コースにて開催します。皆 様のご参加をお待ちしております。 日時: part1 <文字列・整数> 2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜) part2 <ファイル入出力> 2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜) part3 <動的メモリ管理・書式指定文字列> 2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜) 会場: クリスタルタワー 20階 会議室 F 大阪市中央区城見 1-2-27 受講料: 無料 定員: 70名/1回のセミナー (参加者多数の場合はお申し込み先着順となります) 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングハーフデイキャンプ 2009秋@大阪お申し込み https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html 【6】JPCERT/CC、VRDA の有効性検証報告書 英語版を公開 情報源 JPCERT/CC Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) の有効性検証報告書 https://www.jpcert.or.jp/research/index.html#VRDA2 概要 Vulnerability Response Decision Assistance (脆弱性対応意思決定支 援システム、略称:VRDA、読み:ヴァーダ) は、組織が、脆弱性情報に関 し、効率よく、一貫した対応ができるように支援すべく、JPCERT/CC と CERT/CC が共同でデザインした脆弱性対応コンセプトです。 本報告書は、VRDA コンセプトを実装したシステムである KENGINE (試 行運用中) を用い、各組織において実施すべき脆弱性対応を、どの程度 正しく提示することができるかについて、CERT/CC を含む 3つの異なる 組織の協力を得て評価した結果をまとめたものです。 関連文書 (日本語) JPCERT/CC Vulnerability Response Decision Assistance (脆弱性対応意思決定支援システム) https://www.jpcert.or.jp/research/index.html#VRDA ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○J2SE 5.0 サポート終了 以前から告知されているとおり、J2SE 5.0 のサポートが、2009年10月 30日に終了します。 Java を使用したサービス提供者や開発者の方は、J2SE 5.0 を使用した システムが残っていないか確認し、サポート終了日までに移行を完了す るようにしましょう。 参考文献 (日本語) JPCERT/CC REPORT 2008-07-16 【今週のひとくちメモ】J2SE 5.0 サポート終了移行期間について https://www.jpcert.or.jp/wr/2008/wr082701.html#Memo 参考文献 (英語) Sun Developer Network Java SE & Java SE for Business Support Road Map http://java.sun.com/products/archive/eol.policy.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSqb9PTF9l6Rp7OBIAQggUgf9EGr78FvImFCbloerRN8+E6KjykXPu9oM iOn0WQy14Z6y1JrGiwdlKdnf+dvHaNv4LkKO7+GT2hkG2ou1mYbdZjh/75V07COL Bzo4M6w2IQMVb9gunUISg6qkZnXHhNsU65OPiENfQzl+n42LgT0meef8/1SN27Qu Fg4h4tS2iVxLrmTCJZGovrFhW4jNisK3UsF2eyLqU1kaJizLbK3riv/FJdJ5cyul 4DQboxR/aiRCLPBj1+9f+PaSK4dW9SHmeZ85OybijEs56drvb7Z2XwSmjmA+jx6C VzVl76i6KkB7bhjCT48l/IOEZ6gQbL2Aq+WBbBsAIB/EBEX0ew3iSA== =SVT4 -----END PGP SIGNATURE-----