-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-2001 JPCERT/CC 2010-06-02 <<< JPCERT/CC WEEKLY REPORT 2010-06-02 >>> ―――――――――――――――――――――――――――――――――――――― ■05/23(日)〜05/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】MySQL に複数の脆弱性 【2】Google Chrome に複数の脆弱性 【3】Cisco Network Building Mediator の Mediator Framework に複数の脆弱性 【4】ネットメディアの信頼性向上対策ワークショップ開催のご案内 【5】C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内 【今週のひとくちメモ】CSS visited selector のプライバシー対策 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr102001.html https://www.jpcert.or.jp/wr/2010/wr102001.xml ============================================================================ 【1】MySQL に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-373 Oracle MySQL 'COM_FIELD_LIST' Command Packet Security Bypass Vulnerability http://www.doecirc.energy.gov/bulletins/t-373.shtml 概要 MySQL には、複数の脆弱性があります。結果として、認証済みのユーザ が権限チェックを回避したり、任意のコードを実行したり、遠隔の第三 者がサービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - MySQL 5.0.x 系および 5.1.x 系 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに MySQL を更新することで解決します。詳細について は、下記関連文書を参照してください。 なお、各バージョンのサポート期間については、関連文書の MySQL Lifecycle Policy を参照してください。 関連文書 (英語) MySQL C.1.1. Changes in MySQL 5.1.47 (06 May 2010) http://dev.mysql.com/doc/refman/5.1/en/news-5-1-47.html MySQL C.1.1. Changes in MySQL 5.0.91 (05 May 2010) http://dev.mysql.com/doc/refman/5.0/en/news-5-0-91.html MySQL MySQL Lifecycle Policy http://www.mysql.com/about/legal/lifecycle/ 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 5.0.375.55 http://www.us-cert.gov/current/archive/2010/05/28/archive.html#google_releases_chrome_5_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 5.0.375.55 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html 【3】Cisco Network Building Mediator の Mediator Framework に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Network Building Manager Vulnerabilities http://www.us-cert.gov/current/archive/2010/05/28/archive.html#cisco_network_building_manager_vulnerabilities 概要 Cisco Network Building Mediator の Mediator Framework には、複数 の脆弱性があります。結果として、遠隔の第三者が機密情報を取得した り、認証済みのユーザが権限を昇格したりする可能性があります。なお、 旧 Richards-Zeta Mediator もこの問題の影響を受けます。 対象となるバージョンは以下の通りです。 - 以下の各製品で動作する Mediator Framework 3.1.1 より前のバー ジョン - Cisco Network Building Mediator NBM-2400 モデル - Cisco Network Building Mediator NBM-4800 モデル - Richards-Zeta Mediator 2500 この問題は、Cisco が提供する修正済みのバージョンに Mediator Framework を更新することで解決します。詳細については、Cisco が提 供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory 111014 Multiple Vulnerabilities in Cisco Network Building Mediator http://www.cisco.com/warp/public/707/cisco-sa-20100526-mediator.shtml Cisco Applied Mitigation Bulletin 111993 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Network Building Mediator http://www.cisco.com/warp/public/707/cisco-amb-20100526-mediator.shtml 【4】ネットメディアの信頼性向上対策ワークショップ開催のご案内 情報源 財団法人日本情報処理開発協会 ネットメディアの信頼性向上対策ワークショップ http://www.jipdec.or.jp/dupc/event/20100616_workshop.html 概要 インターネット上では、様々な脅威が新たに発生し、利用者はそれらに 対する備えを常に求められています。 本ワークショップでは、各種のネットメディアを利用する上での様々な 脅威と事例を、なりすまし問題という視点から捉え、一般利用者、情報 発信企業、政治家を始めとする著名人の立場など様々なネット利用者に とって、なりすまし問題の考え方その対策を、セキュリティの専門家の 立場から議論し、現状可能な対策を総括しご紹介します。JPCERT/CC は、 本セミナーで講演します。 [日時] 2010年6月16日(水)13:30〜16:10 [会場] TKP東京駅日本橋ビジネスセンター ホール2A (東京都中央区日本橋1-3-13 日本橋中央ビル) http://tkptn.net/access/ [費用] 参加費無料 【5】C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @大阪 のご案内 https://www.jpcert.or.jp/event/securecoding-OSK-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 5月の福岡に続き、関西地区のプログラム開発者の方々に受講いただけ るよう、大阪を会場として、7月1日、2日の2回コースで開催します。 ふるってご参加ください。 [日時] part 1 <セキュアコーディング概論・文字列>     2010年7月1日(木) 10:00 〜 17:15 (受付 9:30〜)     part 2 <整数・コードレビュー>     2010年7月2日(金) 9:30 〜 17:15 (受付 9:10〜) [会場] クリスタルタワー 20階 E会議室 大阪市中央区城見1-2-27 (MAP) http://www4.ocn.ne.jp/~crystalt/map.html [受講料] 無料 [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロジェ クトマネージャ、コードレビュアー、品質管理担当者、プログラ マ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @大阪 お申し込み https://www.jpcert.or.jp/event/securecoding-OSK-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○CSS visited selector のプライバシー対策 CSS (Cascading Style Sheet) の visited selector の機能には、 ユー ザの閲覧履歴をユーザの意図しない形で外部から取得できる問題が指摘 されています。Mozilla では、その対策として、この機能を一部制限す る提案と実装を行なっています。 参考文献 (日本語) mozilla developer street CSS の :visited に行われるプライバシー対策 https://dev.mozilla.jp/hacksmozillaorg/privacy-related-changes-coming-to-css-vistited/ Mozilla Japan ブログ CSS によるブラウザ履歴の漏えいを防ぐ取り組み http://mozilla.jp/blog/entry/5421/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMBbJmAAoJEDF9l6Rp7OBIeiwH/0ngrqT2gj8AsOY4Cd3+dh5i uWr/eEYx+hEtlRS01wiuwxxFAbYxCN5bzHFxSl129NTxmyIhMbX1Jv/rebZSd2xb VDnTRLH9b5GR2KIOJxaqvw+j/3fve7f8ts7ykQ6HX+DmXSOKI2aXOjtobneskspZ L3RacxrKIerJ2jotUdP0ChAtT2Afv5wxpd0UGA5fpkNXSM7UEs3fwOzhyIHBBaUd NrcRmsVRZ/c6fq5m3CmETSSTei0J4xhxQvub42Kdm1vtfGHlJKfsHb6fSVcSFIJg 7efJfxMtosZzFbQtHTxrN62Rgen2Uq+tzm1Fzbco3pcyDF0vi6IuktKLlFZxgm8= =fSwC -----END PGP SIGNATURE-----