-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-1301 JPCERT/CC 2010-04-07 <<< JPCERT/CC WEEKLY REPORT 2010-04-07 >>> ―――――――――――――――――――――――――――――――――――――― ■03/28(日)〜04/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Internet Explorer に複数の脆弱性 【2】Oracle Sun Java に複数の脆弱性 【3】Mozilla 製品群に複数の脆弱性 【4】VMware 製品群に複数の脆弱性 【5】Foxit Reader に脆弱性 【6】Compiere に複数のクロスサイトスクリプティングの脆弱性 【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性 【8】HL-SiteManager に SQL インジェクションの脆弱性 【今週のひとくちメモ】DNS-CERT の設立提案 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr101301.html https://www.jpcert.or.jp/wr/2010/wr101301.xml ============================================================================ 【1】Internet Explorer に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA10-089A Microsoft Internet Explorer Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-089A.html US-CERT Cyber Security Alert SA10-089A Microsoft Internet Explorer Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-089A.html 概要 Microsoft Internet Explorer および関連コンポーネントには、複数の 脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書や Microsoft Office 文書を読み込ませることで、ユーザの権限で任意の コードを実行する可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2010-03-17【2】で紹介した問題に 対する解決策も含まれています。 関連文書 (日本語) マイクロソフト セキュリティ情報 MS10-018 - 緊急 Internet Explorer 用の累積的なセキュリティ更新プログラム (980182) http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspx Japan Vulnerability Notes JVNTA10-089A Internet Explorer に複数の脆弱性 http://jvn.jp/cert/JVNTA10-089A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Internet Explorer の脆弱性(MS10-018)について http://www.ipa.go.jp/security/ciadr/vul/20100331-ms10-018.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-018) http://www.npa.go.jp/cyberpolice/topics/?seq=3132 JPCERT/CC Alert 2010-03-31 JPCERT-AT-2010-0007 Microsoft Internet Explorer の脆弱性 (MS10-018) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100007.txt JPCERT/CC WEEKLY REPORT 2010-03-17 【2】Internet Explorer に解放済みメモリを使用する脆弱性 https://www.jpcert.or.jp/wr/2010/wr101001.html#2 【2】Oracle Sun Java に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#507652 Oracle Sun Java fails to properly validate Java applet signatures http://www.kb.cert.org/vuls/id/507652 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for Java SE and Java for Business http://www.us-cert.gov/current/archive/2010/04/02/archive.html#oracle_releases_critical_patch_update10 概要 Oracle Sun Java には、複数の脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を おこなったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 18 およびそれ以前 - JDK/JRE 5.0 Update 23 およびそれ以前 - SDK/JRE 1.4.2_25 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#507652 Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性 https://jvn.jp/cert/JVNVU507652/index.html 関連文書 (英語) Java SE 6 Update Release Notes http://java.sun.com/javase/6/webnotes/6u19.html Oracle Java for Business - Get It http://www.sun.com/software/javaforbusiness/getit_download.jsp Oracle Technology Network Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010 http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.html Red Hat Security Advisory RHSA-2010:0339-1 Important: java-1.6.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2010-0339.html 【3】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox V3.6.3 http://www.us-cert.gov/current/archive/2010/04/02/archive.html#mozilla_releases_firefox_3_61 DOE-CIRC Technical Bulletin T-339 Mozilla Firefox Use-After-Free Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-339.shtml 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 3.6 系、Firefox 3.5 系、Firefox 3.0 系 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (日本語) Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.3 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.3 Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.9 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.9 Firefox 3.0 セキュリティアドバイザリ Firefox 3.0.19 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.19 Thunderbird 3.0 セキュリティアドバイザリ Thunderbird 3.0.4 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.4 SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.4 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.4 【4】VMware 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive VMware Releases Security Advisory for ESX Service Console Updates http://www.us-cert.gov/current/archive/2010/04/02/archive.html#vmware_releases_security_advisory_for 概要 VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が認証を回避したり、任意のコードを実行したり、ユーザのブラウ ザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年4月6日現在、一部の問題につい ては修正版が提供されていません。詳細については、VMware が提供す る情報を参照してください。 関連文書 (英語) VMware Security Advisories (VMSAs) VMSA-2010-0005 VMware products address vulnerabilities in WebAccess http://www.vmware.com/security/advisories/VMSA-2010-0005.html VMware Security Advisories (VMSAs) VMSA-2010-0006 ESX Service Console updates for samba and acpid http://www.vmware.com/security/advisories/VMSA-2010-0006.html 【5】Foxit Reader に脆弱性 情報源 US-CERT Vulnerability Note VU#570177 Foxit Reader vulnerable to arbitrary command execution http://www.kb.cert.org/vuls/id/570177 概要 Foxit Software の Foxit Reader には、脆弱性があります。結果とし て、遠隔の第三者が細工した PDF 文書を閲覧させることで、任意のコー ドを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - Foxit Reader 3.2.0.0303 この問題は、Foxit Software が提供する修正済みのバージョンに Foxit Reader を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#570177 Foxit Reader に任意のコード実行が可能な脆弱性 https://jvn.jp/cert/JVNVU570177/index.html 関連文書 (英語) Foxit Software Authorization Bypass When Executing An Embedded Executable http://www.foxitsoftware.com/pdf/reader/security.htm#0401 【6】Compiere に複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#57963254 Compiere におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN57963254/index.html Japan Vulnerability Notes JVN#38687002 Compiere におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN38687002/index.html 概要 アルマスの ERP/CRM ソフトウエア Compiere には、複数のクロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Compiere J300_A02 およびそれ以前 この問題は、アルマスが提供するパッチを Compiere に適用するか、修 正済みのバージョンに Compiere を更新することで解決します。詳細に ついては、アルマスが提供する情報を参照してください。 関連文書 (日本語) 株式会社アルマス Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ http://www.compiere-japan.com/products/release/patch.html 【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#41842181 PrettyFormMail におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN41842181/index.html 概要 フォームに入力された内容を電子メールで送信する PrettyFormMail に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となる製品は以下の通りです。 - PrettyFormMail この問題に対する解決策の提供は予定されていないため、 PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。 関連文書 (日本語) PrettyBook <cgi配布停止のお知らせ> http://www.prettybook.com/index3.html 【8】HL-SiteManager に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#60969543 HL-SiteManager における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN60969543/index.html 概要 Heartlogic のコンテンツ管理システム HL-SiteManager には、SQL イ ンジェクションの脆弱性があります。結果として、遠隔の第三者が、当 該製品で管理している情報を閲覧したり、変更したりする可能性があり ます。 対象となる製品は以下の通りです。 - HL-SiteManager この問題に対する解決策の提供は予定されていないため、 HL-SiteManager の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。 関連文書 (日本語) Heartlogic HL-SiteManagerの脆弱性と公開停止のお知らせ http://www.heartlogic.jp/docs/free_cgi/hl-sitemanager.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○DNS-CERT の設立提案 DNS は、インターネット通信を行うアプリケーションで必要となる名前 解決を行うインターネットの基幹技術です。 一方、DNS サーバに対する DoS 攻撃や、キャッシュポイズニングの問 題など、社会に大きな影響を及ぼすインシデントも発生しています。 DNS に関係する問題の解決や安定運用には、DNS ソフトウエア開発者や DNS サーバ運用者、さらにはドメイン名を管理するレジストリなど、様々 な組織が協調して活動することが重要です。 ICANN では、DNS の継続した発展と安定運用を目指し、今後の活動計画 として、DNS に関する脅威分析・危機管理計画の検討・インシデント対 応の演習を検討・実現していくことを提案しています。また、あわせて 様々な関係組織間の調整を行うDNS-CERT の設立を提案しています。 参考文献 (英語) ICANN Proposed Strategic Initiatives for Improved DNS Security, Stability and Resiliency (SSR) http://www.icann.org/en/topics/ssr/strategic-ssr-initiatives-09feb10-en.pdf ICANN Global DNS-CERT Business Case http://www.icann.org/en/topics/ssr/dns-cert-business-case-19mar10-en.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJLu9k6AAoJEDF9l6Rp7OBIVD4H/ibt6YMnfnGGS3gFqyBQtfns IC84+sF7y8zg6+B8Om1H8SXHkB0LxUvb5iAcWxPP200qG5GtgDhu/oStCUEYKv1o Ifg/rzN5hf7eUSDDnL847a96Hk4CQVMixgqwKCvNuobyN10XNGG8O1srWKkClFG2 mQmZ0XybkmioFAOkfELZBmkFOlZ5sOyfeLkNY4j1CWiQ8hFx6nko+xe7nOZC2d+1 YynG5+rF/ZR6NDLglpT/IxaNrLZkDM9xm43TfQLqflMlA6iX/m3aBuV8reqqSxGl TDR9vs1+bJZQ/56IELi9AScgeb/rNVKRqxtXtoh1kx8OApftV6AnKhjLsUPCxx4= =lHFx -----END PGP SIGNATURE-----