-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3501 JPCERT/CC 2010-09-15 <<< JPCERT/CC WEEKLY REPORT 2010-09-15 >>> ―――――――――――――――――――――――――――――――――――――― ■09/05(日)〜09/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Reader および Acrobat に脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】Apple Safari に複数の脆弱性 【4】Apple iOS に複数の脆弱性 【5】Cisco Wireless LAN Controller 製品群に複数の脆弱性 【6】futomi's CGI Cafe の高機能アクセス解析CGI にクロスサイトスクリプティングの脆弱性 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 のご案内 【今週のひとくちメモ】JP ゾーンへの DNSSEC 導入 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103501.html https://www.jpcert.or.jp/wr/2010/wr103501.xml ============================================================================ 【1】Adobe Reader および Acrobat に脆弱性 情報源 DOE-CIRC Technical Bulletin T-433 Security Advisory for Adobe Reader and Acrobat http://www.doecirc.energy.gov/bulletins/t-433.shtml 概要 Adobe Reader および Acrobat には、脆弱性があります。結果として、 遠隔の第三者が細工した PDF ファイルをユーザに閲覧させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。なお、Adobe によると、本脆弱性を使用した攻 撃が報告されているとのことです。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader および Acrobat 9.3.4 およびそれ以前 2010年9月14日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できない PDF ファイルを開かない、Microsoft の Enhanced Mitigation Evaluation Toolkit (EMET) を使用するなど の方法があります。詳細については、下記関連文書が提供する情報を参 照してください。 関連文書 (日本語) Adobe TechNote APSA10-02:Adobe Reader と Acrobat に関するセキュリティ情報 http://kb2.adobe.com/jp/cps/866/cpsid_86615.html 関連文書 (英語) Microsoft Security Research & Defense Use EMET 2.0 to block Adobe Reader and Acrobat 0-day exploit http://blogs.technet.com/b/srd/archive/2010/09/10/use-emet-2-0-to-block-the-adobe-0-day-exploit.aspx 【2】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Mozilla Releases Firefox 3.6.9 http://www.us-cert.gov/current/archive/2010/09/10/archive.html#mozilla_releases_firefox_3_63 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox 3.6.8 およびそれ以前 - Firefox 3.5.11 およびそれ以前 - Thunderbird 3.1.2 およびそれ以前 - Thunderbird 3.0.6 およびそれ以前 - SeaMonkey 2.0.6 およびそれ以前 その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (日本語) Mozilla Japan Firefox リリースノート - バージョン 3.6.9 - 2010/09/07 リリース http://mozilla.jp/firefox/3.6.9/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6.9 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.9 Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.12 - 2010/09/07 リリース http://mozilla.jp/firefox/3.5.12/releasenotes/ Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.12 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.12 Mozilla Japan Thunderbird リリースノート - バージョン 3.1.3 - 2010/09/07 リリース http://mozilla.jp/thunderbird/3.1.3/releasenotes/ Thunderbird 3.1 セキュリティアドバイザリ Thunderbird 3.1.3 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.3 Mozilla Japan Thunderbird リリースノート - バージョン 3.0.7 - 2010/09/07 リリース http://mozilla.jp/thunderbird/3.0.7/releasenotes/ Thunderbird 3.0 セキュリティアドバイザリ Thunderbird 3.0.7 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.7 SeaMonkey Project SeaMonkey 2.0.7 http://www.seamonkey.jp/ja/releases/seamonkey2.0.7/ SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.7 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.7 関連文書 (英語) SeaMonkey Project SeaMonkey 2.0.7 http://www.seamonkey-project.org/releases/seamonkey2.0.7/ 【3】Apple Safari に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Safari 5.0.2 and Safari 4.1.2 http://www.us-cert.gov/current/archive/2010/09/08/archive.html#apple_releases_safari_5_02 概要 Apple Safari には、複数の脆弱性があります。結果として、遠隔の第 三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 5.0.2 より前のバージョン (Mac OS X 版、Windows 版) - Safari 4.1.2 より前のバージョン (Mac OS X 版) この問題は、Apple が提供する修正済みのバージョンに Safari を更新 することで解決します。詳細については、Apple が提供する情報を参照 してください。 関連文書 (日本語) Apple Support Safari http://www.apple.com/jp/support/safari/ Japan Vulnerability Notes JVNVU#954431 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU954431/index.html 関連文書 (英語) Apple Support HT4333 About the security content of Safari 5.0.2 and Safari 4.1.2 http://support.apple.com/kb/HT4333?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-09-07-1 Safari 5.0.2 and Safari 4.1.2 http://lists.apple.com/archives/security-announce/2010/Sep/msg00001.html 【4】Apple iOS に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#407599 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU407599/index.html 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、機密情報を取得したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - iOS 4.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (英語) Apple Support HT4334 About the security content of iOS 4.1 for iPhone and iPod touch http://support.apple.com/kb/HT4334?viewlocale=en_US Apple Mailing Lists APPLE-SA-2010-09-08-1 iOS 4.1 for iPhone and iPod touch http://lists.apple.com/archives/security-announce/2010/Sep/msg00002.html 【5】Cisco Wireless LAN Controller 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Updates for Wireless LAN Controller http://www.us-cert.gov/current/archive/2010/09/10/archive.html#cisco_releases_updates_for_wireless 概要 Cisco Wireless LAN Controller (WLC) 製品群には、複数の脆弱性があ ります。結果として、遠隔の第三者が権限を昇格したり、アクセス制御 を回避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となる製品は以下の通りです。 - Cisco 2000 シリーズ WLC - Cisco 2100 シリーズ WLC - Cisco 4100 シリーズ WLC - Cisco 4400 シリーズ WLC - Cisco 5500 シリーズ WLC - Cisco Wireless Services Module (WiSM) - Cisco WLC Module for Integrated Services Router (ISR) - Cisco Catalyst 3750G Integrated WLC この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 のソフトウェアを更新することで解決します。詳細については Cisco が提供する情報を参照してください。 関連文書 (日本語) Cisco Security Advisory 112062 Multiple Vulnerabilities in Cisco Wireless LAN Controllers http://www.cisco.com/JP/support/public/ht/security/109/1091473/cisco-sa-20100908-wlc-j.shtml 関連文書 (英語) Cisco Security Advisory 112062 Multiple Vulnerabilities in Cisco Wireless LAN Controllers http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml Cisco Applied Mitigation Bulletin 112121 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Wireless LAN Controllers http://www.cisco.com/warp/public/707/cisco-amb-20100908-wlc.shtml 【6】futomi's CGI Cafe の高機能アクセス解析CGI にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#35605523 futomi's CGI Cafe 製高機能アクセス解析CGI におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN35605523/index.html 概要 futomi's CGI Cafe の高機能アクセス解析CGI には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - 高機能アクセス解析CGI Professional 版 - 高機能アクセス解析CGI Standard 版 4.0.2 およびそれ以前 この問題は、解析タグの埋め込み方法を変更することで解決します。な お、Standard 版を利用している場合は、配布元が提供する修正済みの バージョンに更新するとともに、解析タグの埋め込み方法を変更してく ださい。詳細については、配布元が提供する情報を参照してください。 関連文書 (日本語) futomi's CGI Cafe 高機能アクセス解析CGIをご利用の方へバージョンアップおよび解析タグ変更のお願い http://www.futomi.com/library/info/2010/20100910.html 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part3 のご案内 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 10月に東京で開催する part3 の募集を開始しました。part3 では、信 頼性の高い安全なプログラムをつくるためのガイドライン集「CERT C セキュアコーディングスタンダード」をご紹介します。皆様の参加をお 待ちしています。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JP ゾーンへの DNSSEC 導入 JP ゾーンを管理する JPRS では、JP ゾーンへの DNSSEC 署名の導入予 定を 2010年10月17日、JP ドメイン名サービスの DNSSEC 対応開始予定 を 2011年1月16日と発表しました。 また、「DNSSEC 関連情報」などを通じて、DNSSEC 導入運用に関する技 術情報が提供されています。今後の DNSSEC 対応を検討する際の参考に してください。 参考文献 (日本語) JPRS JPドメイン名サービスへのDNSSECの導入予定について http://jprs.jp/info/notice/20090709-dnssec.html JPRS DNSSEC 関連情報 http://jprs.jp/dnssec/ JPRS JPRS DNS 関連技術情報 http://jprs.jp/tech/ JPCERT/CC 【今週のひとくちメモ】ルートゾーンの DNSSEC 正式運用 https://www.jpcert.or.jp/wr/2010/wr102601.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMkBvYAAoJEDF9l6Rp7OBItCkIAIxjO8KfCk/Ku2UiDG4We79H +eF6k/JFa49/gZmPrKA64rGN3Cno+U4qMZA6/GdaQDy+QtoBQWKxnBOjFbV1Frb1 9PsGNgvwYk+BjY8jRo6i8QXK7/5cWrKHN+dEYPML96tn8KR365R6Q3j3k/jtkok4 3sGeZDTNrE6XTKkHBLySwUDZQwHiM1vTGDJsqTXXV6dMGgTp3YJXHfV2fTqKDDaB 4VhiijsN7N7V7UkbiG3lafBnsiHIJVu0HswR2L646F0p0oIsPCZnEx9rp7yFEIVO CyKuvbxPacThElyvaSQw//C865W8ZZGrKlzvDVxIVMZdfPSvUSsVycRQO/pbDmg= =60BS -----END PGP SIGNATURE-----