-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-4501 JPCERT/CC 2009-11-26 <<< JPCERT/CC WEEKLY REPORT 2009-11-26 >>> ―――――――――――――――――――――――――――――――――――――― ■11/15(日)〜11/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft Internet Explorer に脆弱性 【2】VMware 製品群に脆弱性 【3】Google Chrome に脆弱性 【4】Redmine に複数の脆弱性 【5】SecurityDay2009 のお知らせ 【今週のひとくちメモ】Mac OS X のセキュリティアップデートの提供期間に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr094501.html https://www.jpcert.or.jp/wr/2009/wr094501.xml ============================================================================ 【1】Microsoft Internet Explorer に脆弱性 情報源 マイクロソフト セキュリティ アドバイザリ(977981) Internet Explorer の脆弱性により、リモートでコードが実行される http://www.microsoft.com/japan/technet/security/advisory/977981.mspx 概要 Microsoft Internet Explorer には脆弱性があります。結果として遠隔 の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Internet Explorer 6 - Microsoft Internet Explorer 7 なお、Internet Explorer 5.01 SP4 及び Internet Explorer 8 はこの 問題の影響を受けません。 2009年11月25日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。回避策としては、Windows のデータ実行防止 (DEP) 機能を有効にする、アクティブスクリプトを無効にするなどの方 法があります。詳細はマイクロソフトのアドバイザリを参照してくださ い。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#515749 Microsoft Internet Explorer に脆弱性 http://jvn.jp/cert/JVNVU515749/index.html 関連文書 (英語) US-CERT Vulnerability Note VU#515749 Microsoft Internet Explorer CSS style element vulnerability http://www.kb.cert.org/vuls/id/515749 Microsoft Help and Support Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution http://support.microsoft.com/kb/977981/en-us/ 【2】VMware 製品群に脆弱性 情報源 VMware Security Announcements VMSA-2009-0016 VMware vCenter and ESX update release and vMA patch release address multiple security issue in third party components http://lists.vmware.com/pipermail/security-announce/2009/000070.html 概要 VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意 のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware vCenter Server 4.0 (Update 1 より前のバージョン) - VMware ESXi 4.0 (ESXi400-200911201-UG 未適用のもの) - VMware ESX 4.0 (ESX400-200911201-UG、ESX400-200911223-UG、 ESX400-200911232-SG、ESX400-200911233-SG、ESX400-200911234-SG、 ESX400-200911235-SG、ESX400-200911237-SG、ESX400-200911238-SG 未適用のもの) - VMware vMA 4.0 (patch 02 より前のバージョン) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細については、VMware が提供する情報を参照してく ださい。 【3】Google Chrome に脆弱性 情報源 DOE-CIRC Technical Bulletin T-272 Google Chrome prior to 3.0.195.32 Multiple Security Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-272.shtml 概要 Google Chrome には、脆弱性があります。結果として、遠隔の第三者が、 攻撃を意図したリンクをユーザにクリックさせることで、ユーザの権限 で任意のコードを実行したり、ブラウザをクラッシュさせたりする可能 性があります。 対象となるバージョンは以下の通りです。 - Google Chrome 3.0.195.32 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョ ンに更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.html chromium Issue 22205: Chrome: Crash Report - Stack Signature: WebKit::WebURL::WebURL(WebKit::WebURL const &)-3DB0FD http://code.google.com/p/chromium/issues/detail?id=22205 【4】Redmine に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#01245481 Redmine におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN01245481/index.html Japan Vulnerability Notes JVN#87341298 Redmine におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN87341298/index.html 概要 オープンソースのプロジェクト管理ソフトウェア Redmine には、複数 の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ 上で任意のスクリプトを実行したり、ログインしているユーザに、細工 した Web ページを読み込ませることで Redmine のデータの改ざんを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Redmine 0.8.5 およびそれ以前 この問題は、Redmine を修正済みのバージョンに更新することで解決し ます。なお、Redmine の開発元では、別の脆弱性を修正した Redmine 0.8.7 を公開しています。 関連文書 (英語) Redmine Redmine 0.8.6 released http://www.redmine.org/news/29 Redmine Redmine 0.8.7 security release http://www.redmine.org/news/30 Redmine Changelog - v0.8.6 (2009-11-04) http://www.redmine.org/wiki/redmine/Changelog Redmine Changelog - v0.8.7 (2009-11-15) http://www.redmine.org/wiki/redmine/Changelog 【5】SecurityDay2009 のお知らせ 情報源 JPCERT/CC イベント情報 SecurityDay2009 https://www.jpcert.or.jp/event/securityday2009.html 概要 2009年12月16日(水) 13時 (開場12時30分) より工学院大学 (新宿キャ ンパス) において SecurityDay2009 (JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、JCAF 主催) が開催されます。 SecurityDay2009 では、情報セキュリティに関わる方を対象に参加者と 一緒に議論をするパネルディスカッションによって、情報提供、情報共 有をする場として考えています。今回扱うテーマは、古くて新しい問題 であり、すぐには結論が出せないものもありますが、このような問題に 正面から向き合い、参加者全員の意識の共有を行い、どこがクリティカ ルポイントで、どのような対応が考えられるのか、課題は何か、等々に ついて忌憚の無い意見交換を行い、次の時代を造るきっかけにしたいと 考えています。 参加費は無料ですが、事前参加申込みが必要です。事前参加申込みは、 JNSA 提供のサイトからお申し込みいただけます。 関連文書 (日本語) SecurityDay2009 SecurityDay2009 開催概要 http://securityday.jp/ SecurityDay2009 参加申し込み方法 http://securityday.jp/?register NPO日本ネットワークセキュリティ協会 Security Day 2009 参加申し込み https://www.jnsa.org/seminar/2009/1216/entry.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Mac OS X のセキュリティアップデートの提供期間に注意 Apple Mac OS X のセキュリティアップデートは、多くの場合、最新お よびひとつ前のバージョンを対象としています。例えば、前回の Weekly Report でご紹介したセキュリティアップデートは Mac OS X 10.6 および 10.5 を対象としており、Mac OS X 10.4 は対象外となっ ています。 現在のところ Apple 社からは、セキュリティアップデートの提供ポリ シーに関する情報は公開されていません。 Mac OS X のシステムを運用する場合には、使用しているソフトウエア のバージョンを確認し、セキュリティアップデートはすみやかに適用で きるように、運用体制を整えることをお勧めします。 参考文献 (日本語) Apple アップルセキュリティアップデート (Apple Security Update) http://support.apple.com/kb/HT1222?viewlocale=ja_JP ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLDdffAAoJEDF9l6Rp7OBIx9MH/3jIY/XzYFPp/lnFqkM8o0UR Lx92dXz6kdiH3R3JljCNOjBlCJVAarsrCOa3SELWuk1zYQgH1Xi0DJo6ocMh+xxM Bomao1JHGd44gnROK3K24bHIdxgUGQWkYT1i9nBn7eM7yaDRArmT8g20sxllMryZ rmYDRgdZc4kMT6oheYn6flD7myyIdy+pct014dblAjbotDaMjHQ4yYWmJ8yTpBxM IeaAS4PgUopfGf5RUOl5HGH79HGfvb0002kFElg8VsTG0KQ0r1wmiCyWTPrQ8KjK j9gYYnAuDvuoZ301b4/xjD0chhsLj2BfY02OqsnFEhnVWEp9EQGQVf6spZ73d3E= =jB2h -----END PGP SIGNATURE-----