<<< JPCERT/CC WEEKLY REPORT 2010-09-15 >>>
■09/05(日)〜09/11(土) のセキュリティ関連情報
目 次
【1】Adobe Reader および Acrobat に脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】Apple Safari に複数の脆弱性
【4】Apple iOS に複数の脆弱性
【5】Cisco Wireless LAN Controller 製品群に複数の脆弱性
【6】futomi's CGI Cafe の高機能アクセス解析CGI にクロスサイトスクリプティングの脆弱性
【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 のご案内
【今週のひとくちメモ】JP ゾーンへの DNSSEC 導入
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103501.txt
https://www.jpcert.or.jp/wr/2010/wr103501.xml
【1】Adobe Reader および Acrobat に脆弱性
情報源
DOE-CIRC Technical Bulletin T-433
Security Advisory for Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-433.shtml
概要
Adobe Reader および Acrobat には、脆弱性があります。結果として、 遠隔の第三者が細工した PDF ファイルをユーザに閲覧させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。なお、Adobe によると、本脆弱性を使用した攻 撃が報告されているとのことです。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader および Acrobat 9.3.4 およびそれ以前 2010年9月14日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できない PDF ファイルを開かない、Microsoft の Enhanced Mitigation Evaluation Toolkit (EMET) を使用するなど の方法があります。詳細については、下記関連文書が提供する情報を参 照してください。
関連文書 (日本語)
Adobe TechNote
APSA10-02:Adobe Reader と Acrobat に関するセキュリティ情報
http://kb2.adobe.com/jp/cps/866/cpsid_86615.html
関連文書 (英語)
Microsoft Security Research & Defense
Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit
http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx
【2】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.9
http://www.us-cert.gov/current/archive/2010/09/10/archive.html#mozilla_releases_firefox_3_63
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox 3.6.8 およびそれ以前 - Firefox 3.5.11 およびそれ以前 - Thunderbird 3.1.2 およびそれ以前 - Thunderbird 3.0.6 およびそれ以前 - SeaMonkey 2.0.6 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 3.6.9 - 2010/09/07 リリース
http://mozilla.jp/firefox/3.6.9/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.9Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.12 - 2010/09/07 リリース
http://mozilla.jp/firefox/3.5.12/releasenotes/Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.12Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.3 - 2010/09/07 リリース
http://mozilla.jp/thunderbird/3.1.3/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.3 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.3Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.7 - 2010/09/07 リリース
http://mozilla.jp/thunderbird/3.0.7/releasenotes/Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.7SeaMonkey Project
SeaMonkey 2.0.7
http://www.seamonkey.jp/ja/releases/seamonkey2.0.7/SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.7
関連文書 (英語)
SeaMonkey Project
SeaMonkey 2.0.7
http://www.seamonkey-project.org/releases/seamonkey2.0.7/
【3】Apple Safari に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Safari 5.0.2 and Safari 4.1.2
http://www.us-cert.gov/current/archive/2010/09/08/archive.html#apple_releases_safari_5_02
概要
Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 5.0.2 より前のバージョン (Mac OS X 版、Windows 版) - Safari 4.1.2 より前のバージョン (Mac OS X 版) この問題は、Apple が提供する修正済みのバージョンに Safari を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。
関連文書 (日本語)
Apple Support
Safari
http://www.apple.com/jp/support/safari/Japan Vulnerability Notes JVNVU#954431
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU954431/index.html
関連文書 (英語)
Apple Support HT4333
About the security content of Safari 5.0.2 and Safari 4.1.2
http://support.apple.com/kb/HT4333?viewlocale=en_USApple Mailing Lists
APPLE-SA-2010-09-07-1 Safari 5.0.2 and Safari 4.1.2
http://lists.apple.com/archives/security-announce/2010/Sep/msg00001.html
【4】Apple iOS に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#407599
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU407599/index.html
概要
Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、機密情報を取得したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 4.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。
関連文書 (英語)
Apple Support HT4334
About the security content of iOS 4.1 for iPhone and iPod touch
http://support.apple.com/kb/HT4334?viewlocale=en_USApple Mailing Lists
APPLE-SA-2010-09-08-1 iOS 4.1 for iPhone and iPod touch
http://lists.apple.com/archives/security-announce/2010/Sep/msg00002.html
【5】Cisco Wireless LAN Controller 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Updates for Wireless LAN Controller
http://www.us-cert.gov/current/archive/2010/09/10/archive.html#cisco_releases_updates_for_wireless
概要
Cisco Wireless LAN Controller (WLC) 製品群には、複数の脆弱性があ ります。結果として、遠隔の第三者が権限を昇格したり、アクセス制御 を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となる製品は以下の通りです。 - Cisco 2000 シリーズ WLC - Cisco 2100 シリーズ WLC - Cisco 4100 シリーズ WLC - Cisco 4400 シリーズ WLC - Cisco 5500 シリーズ WLC - Cisco Wireless Services Module (WiSM) - Cisco WLC Module for Integrated Services Router (ISR) - Cisco Catalyst 3750G Integrated WLC この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 のソフトウェアを更新することで解決します。詳細については Cisco が提供する情報を参照してください。
関連文書 (日本語)
Cisco Security Advisory 112062
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/JP/support/public/ht/security/109/1091473/cisco-sa-20100908-wlc-j.shtml
関連文書 (英語)
Cisco Security Advisory 112062
Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtmlCisco Applied Mitigation Bulletin 112121
Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-amb-20100908-wlc.shtml
【6】futomi's CGI Cafe の高機能アクセス解析CGI にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#35605523
futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN35605523/index.html
概要
futomi's CGI Cafe の高機能アクセス解析CGI には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - 高機能アクセス解析CGI Professional 版 - 高機能アクセス解析CGI Standard 版 4.0.2 およびそれ以前 この問題は、解析タグの埋め込み方法を変更することで解決します。な お、Standard 版を利用している場合は、配布元が提供する修正済みの バージョンに更新するとともに、解析タグの埋め込み方法を変更してく ださい。詳細については、配布元が提供する情報を参照してください。
関連文書 (日本語)
futomi's CGI Cafe
高機能アクセス解析CGIをご利用の方へバージョンアップおよび解析タグ変更のお願い
http://www.futomi.com/library/info/2010/20100910.html
【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 のご案内
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 10月に東京で開催する part3 の募集を開始しました。part3 では、信 頼性の高い安全なプログラムをつくるためのガイドライン集「CERT C セキュアコーディングスタンダード」をご紹介します。皆様の参加をお 待ちしています。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○JP ゾーンへの DNSSEC 導入
JP ゾーンを管理する JPRS では、JP ゾーンへの DNSSEC 署名の導入予 定を 2010年10月17日、JP ドメイン名サービスの DNSSEC 対応開始予定 を 2011年1月16日と発表しました。 また、「DNSSEC 関連情報」などを通じて、DNSSEC 導入運用に関する技 術情報が提供されています。今後の DNSSEC 対応を検討する際の参考に してください。
参考文献 (日本語)
JPRS
JPドメイン名サービスへのDNSSECの導入予定について
http://jprs.jp/info/notice/20090709-dnssec.htmlJPRS
DNSSEC 関連情報
http://jprs.jp/dnssec/JPRS
JPRS DNS 関連技術情報
http://jprs.jp/tech/JPCERT/CC
【今週のひとくちメモ】ルートゾーンの DNSSEC 正式運用
https://www.jpcert.or.jp/wr/2010/wr102601.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/