-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-2401 JPCERT/CC 2010-06-30 <<< JPCERT/CC WEEKLY REPORT 2010-06-30 >>> ―――――――――――――――――――――――――――――――――――――― ■06/20(日)〜06/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】Apple iOS に複数の脆弱性 【3】Google Chrome に複数の脆弱性 【4】Explzh にバッファオーバーフローの脆弱性 【5】S2 NetBox に脆弱性 【今週のひとくちメモ】Firefox 3.5 のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr102401.html https://www.jpcert.or.jp/wr/2010/wr102401.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 3.6.4 http://www.us-cert.gov/current/archive/2010/06/25/archive.html#mozilla_releases_firefox_3_62 DOE-CIRC Technical Bulletin T-387 Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2010-26/27/28/29/30/32 Remote Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-387.shtml 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 3.6 系、Firefox 3.5 系 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、Mozilla プロジェクトからは、Firefox のクラッシュ防止機能の 修正を行なった 3.6.6 が公開されています。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 3.6.6 - 2010/06/26 リリース http://mozilla.jp/firefox/3.6.6/releasenotes/ Mozilla Japan Firefox リリースノート - バージョン 3.6.4 - 2010/06/22 リリース http://mozilla.jp/firefox/3.6.4/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.4 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.4 Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.10 - 2010/06/22 リリース http://mozilla.jp/firefox/3.5.10/releasenotes/ Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.10 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.10 SeaMonkey Project SeaMonkey 2.0.5 リリースノート http://www.seamonkey.jp/ja/releases/seamonkey2.0.5/ SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.5 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.5 Mozilla Japan Thunderbird リリースノート - バージョン 3.0.5 - 2010/06/17 リリース http://mozilla.jp/thunderbird/3.0.5/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ Thunderbird 3.0.5 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.5 関連文書 (英語) Red Hat Security Advisory RHSA-2010:0501-2 Critical: firefox security, bug fix, and enhancement update https://rhn.redhat.com/errata/RHSA-2010-0501.html Red Hat Security Advisory RHSA-2010:0500-1 Critical: firefox security, bug fix, and enhancement update https://rhn.redhat.com/errata/RHSA-2010-0500.html Red Hat Security Advisory RHSA-2010:0499-1 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2010-0499.html 【2】Apple iOS に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iOS 4 http://www.us-cert.gov/current/archive/2010/06/25/archive.html#apple_releases_ios_4 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 がアクセス制限を回避したり、任意のコードを実行したり、サービス運 用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS for iPhone 3G 2.0 から 3.1.3 - iOS for iPod touch 2.1 から 3.1.3 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT4225 About the security content of iOS 4 http://support.apple.com/kb/HT4225?viewlocale=ja_JP 関連文書 (英語) Apple Mailing List APPLE-SA-2010-06-21-1 iOS 4 http://lists.apple.com/archives/security-announce/2010/Jun/msg00003.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 5.0.375.86 http://www.us-cert.gov/current/archive/2010/06/28/archive.html#google_releases_chrome_5_02 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 5.0.375.86 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2010/06/stable-channel-update_24.html 【4】Explzh にバッファオーバーフローの脆弱性 情報源 Japan Vulnerability Notes JVN#34729123 Explzh におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN34729123/index.html 概要 Explzh には、バッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が細工した LHA 書庫ファイルを処理させることで、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Explzh Ver.5.62 およびそれ以前 Explzh に含まれている Arcext.dll のバージョンが 2.16.1 およびそ れ以前である場合、本脆弱性の影響を受けます。 この問題は、配布元が提供する修正済みのバージョンに Explzh を更新 することで解決します。 関連文書 (日本語) pon software - 既知の不具合とその回避方法、制限事項、脆弱性情報など Explzh におけるバッファオーバーフローの脆弱性 (2010/6/22) http://www.ponsoftware.com/archiver/bug.htm#lzh_bufover 【5】S2 NetBox に脆弱性 情報源 US-CERT Vulnerability Note VU#251133 S2 NetBox allows unauthenticated HTTP access to node logs, backups, and employee photographs http://www.kb.cert.org/vuls/id/251133 概要 S2 Netbox には、認証が適切に行われない脆弱性が存在します。結果と して、遠隔の第三者によって、ログやバックアップなどを不正にアクセ スされる可能性があります。 対象となるバージョンは以下の通りです。 - S2 Netbox 2.5、3.3、4.0 なお、S2 Netbox をもとに開発されている Linear (旧 IEI) eMerge お よび Sonitrol eAccess も本脆弱性の影響を受ける可能性があります。 この問題は、ベンダが提供する修正済みのバージョンに S2 Netbox を 更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#251133 S2 Netbox に脆弱性 https://jvn.jp/cert/JVNVU251133/ ビデオテクニカ S2 Netbox http://www.videotechnica.co.jp/products/comp_sec_s2.html 関連文書 (英語) S2 Security S2 NetBox http://www.s2sys.com/page/netbox/26 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Firefox 3.5 のサポート終了 Mozilla Firefox の 3.5 に対するセキュリティアップデートの提供は 2010年8月まで、という予定が表明されています。 Firefox 3.6.x へ移行していないユーザは、使用するアドオンの対応状 況や他アプリケーションとの連携などの確認を行い、Firefox 3.6.x へ 移行することをお勧めします。 参考文献 (日本語) Mozilla Japan 次世代ブラウザ Firefox - 旧バージョンのダウンロード Firefox 3.5 http://mozilla.jp/firefox/download/older/#sec-firefox35 JPCERT/CC WEEKLY REPORT 2010-03-25 【今週のひとくちメモ】Firefox 3.0.x のサポート終了 https://www.jpcert.or.jp/wr/2010/wr101101.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMKpYBAAoJEDF9l6Rp7OBIOFQH/RZDZrDhIPOYxQayTykzOvnn ZnTPmaqa1UTQ87IF1AHYWUKDv6kkHfcodCDYQUyAVvhT/BDpIWkmjUw69lrCyxnG xcQiU5NUTJ5/X59tzglUZktblS8+/bkk/aHbhsRUWgMDrxEwAuOSy3uaVIoJ9VcZ FkwyqfwZJeM46vNjDXs7oX7ZjiIGN638o1IXVhTXzsUDNDeQH3S35aPLtYKc7CiA BC8BT2yOgBRQm2DQRtYJcsFF1G7W8JvwlNnrgWAJ+pVhiGsEegPE0Kkwo5SQyPbk Ii4n4goPHKgYERLQNazx2mGm7soPWZaq8e/ZUgukgfB9+t27lSI4XOk6GUu3WnQ= =GsJH -----END PGP SIGNATURE-----