-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3801 JPCERT/CC 2010-10-06 <<< JPCERT/CC WEEKLY REPORT 2010-10-06 >>> ―――――――――――――――――――――――――――――――――――――― ■09/26(日)〜10/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「Microsoft ASP.NET に脆弱性」に関する追加情報 【2】BIND の ACL の処理に脆弱性 【3】VMware 製品群に複数の脆弱性 【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起 【5】C/C++ セキュアコーディングセミナー 2010 @東京 part3 開催せまる 【今週のひとくちメモ】National Cyber Security Awareness Month 2010 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103801.html https://www.jpcert.or.jp/wr/2010/wr103801.xml ============================================================================ 【1】「Microsoft ASP.NET に脆弱性」に関する追加情報 情報源 US-CERT Current Activity Archive Microsoft Releases Security Bulletin MS10-070 http://www.us-cert.gov/current/archive/2010/09/30/archive.html#microsoft_releases_security_bulletin_ms10 概要 JPCERT/CC WEEKLY REPORT 2010-09-24 号【3】で紹介した「Microsoft ASP.NET に脆弱性」に関する追加情報です。 マイクロソフトは、この問題の対策として 2010年9月29日にセキュリティ 更新プログラムをリリースしました。詳細については、下記関連文書を 参照してください。 関連文書 (日本語) マイクロソフト セキュリティ情報 MS10-070 - 重要 ASP.NET の脆弱性により、情報漏えいが起こる (2418042) http://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-070) http://www.npa.go.jp/cyberpolice/topics/?seq=4857 JPCERT/CC WEEKLY REPORT 2010-09-24 号 【3】Microsoft ASP.NET に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103601.html#3 【2】BIND の ACL の処理に脆弱性 情報源 US-CERT Vulnerability Note VU#784855 Unexpected ACL Behavior in BIND 9.7.2 http://www.kb.cert.org/vuls/id/784855 概要 BIND の ACL の処理には、脆弱性があります。結果として、遠隔の第三 者がアクセス制限を回避して、キャッシュデータにアクセスする可能性 があります。 対象となるバージョンは以下の通りです。 - BIND 9.7.2 から 9.7.2-P1 まで この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#784855 BIND の ACL の処理に問題 https://jvn.jp/cert/JVNVU784855/index.html 関連文書 (英語) Internet Systems Consortium Security Advisory Regarding Unexpected ACL Behavior in BIND 9.7.2 https://lists.isc.org/pipermail/bind-announce/2010-September/000655.html Internet Systems Consortium BIND 9.7.2-P2 Release Note http://ftp.isc.org/isc/bind9/9.7.2-P2/RELEASE-NOTES-BIND-9.7.2-P2.html 【3】VMware 製品群に複数の脆弱性 情報源 VMware Security Advisories (VMSAs) VMSA-2010-0015 VMware ESX third party updates for Service Console http://www.vmware.com/security/advisories/VMSA-2010-0015.html 概要 VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得 したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年10月5日現在、一部の問題につ いては修正版が提供されていません。詳細については、VMware が提供 する情報を参照してください。 関連文書 (英語) VMware Security Announcements [Security-announce] VMSA-2010-0015 VMware ESX third party updates for Service Console http://lists.vmware.com/pipermail/security-announce/2010/000106.html 【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起 情報源 JPCERT/CC 攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100025.txt 概要 JPCERT/CC では、改ざんされた Web サイトを閲覧したユーザの PC を マルウエアに感染させる攻撃を複数確認しています。これらの攻撃では、 Windows、Adobe Reader、Flash Player、Java(JRE) などの製品の脆弱 性を悪用する攻撃用ツールキットが使用されています。 PC にインストールしているソフトウエアが最新であるか確認の上、更 新が必要な場合は適宜アップデートしてください。 【5】C/C++ セキュアコーディングセミナー 2010 @東京 part3 開催せまる 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」の開催まで一週間となりました。ひきつづき参加申し込みを 受け付けております。皆様奮ってご参加ください。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○National Cyber Security Awareness Month 2010 米国では、毎年10月を "National Cyber Security Awareness Month" として、情報セキュリティに関する啓発活動を展開しています。この活 動には、米国国土安全保障省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加 しており、様々なユーザ層に向けた活動が行われています。 これに関連して SANS handler's diary では、「人的セキュリティ」に 着目した内容を掲載しています。社内セキュリティ検討の参考にしてみ てはいかがでしょうか。 参考文献 (英語) National Cyber Security Alliance National Cyber Security Awareness Month (NCSAM) http://www.staysafeonline.org/ncsam 米国国土安全保障省 (DHS) Cybersecurity: Our Shared Responsibility http://www.dhs.gov/files/programs/gc_1158611596104.shtm SANS Internet Storm Center Cyber Security Awareness Month - 2010 https://isc.sans.edu/diary.html?storyid=9640 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMq8dEAAoJEDF9l6Rp7OBIXY4IAIoDJLuVZVJlwj3F/zGcpLB5 hi0xQ61gB1fNdGVn/sNQOkeJ1+Q2Th+494wd8PZ8K7ybyvwELQcswioWZn5DzJO7 ZOiUT5YlzsqF6zF9khWrVs8ZsjhJnoxdmnwRuWlzoQFpbZ2TDi2A+1w9kzdfq3E2 zwdOEB9Vytv54uXVH12NPWuSz3GHJW3j86W9suI2dyNS1eTDhMbJHHtSavH3tccv u8F+pOHaz89gphWmM1tSk+brcF2fRLfBJ5LxKa8SuCHOril+1/CVUqoXq5ceSM+S YR4vA22gEoyF5F1GxGpxwI4V735xcZCqSQnplxU26+o1gxgyt0oMxAUFpZJQ9Zk= =dyoV -----END PGP SIGNATURE-----