-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3901 JPCERT/CC 2010-10-14 <<< JPCERT/CC WEEKLY REPORT 2010-10-14 >>> ―――――――――――――――――――――――――――――――――――――― ■10/03(日)〜10/09(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Reader および Acrobat に複数の脆弱性 【2】Foxit Reader に複数の脆弱性 【3】ActiveCollab のアクセス制御機能に脆弱性 【4】AD-EDIT2 にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】PostgreSQL のサポートポリシー ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103901.html https://www.jpcert.or.jp/wr/2010/wr103901.xml ============================================================================ 【1】Adobe Reader および Acrobat に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA10-279A Adobe Reader and Acrobat Affected by Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-279A.html US-CERT Cyber Security Alert SA10-279A Adobe Reader and Acrobat Affected by Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-279A.html 概要 Adobe Reader および Acrobat には、複数の脆弱性があります。結果と して、遠隔の第三者が細工した PDF ファイルをユーザに閲覧させるこ とで、任意のコードを実行したり、権限を昇格したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Adobe Reader 9.3.4 およびそれ以前 (Windows 版、Macintosh 版、 Unix 版) - Adobe Acrobat 9.3.4 およびそれ以前 (Windows 版、Macintosh 版) - Adobe Reader 8.2.4 およびそれ以前 (Windows 版、Macintosh 版、 Unix 版) - Adobe Acrobat 8.2.4 およびそれ以前 (Windows 版、Macintosh 版) この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。なお、この修正には、JPCERT/CC WEEKLY REPORT 2010-09-15 号【1】および JPCERT/CC WEEKLY REPORT 2010-09-24 号 【2】で紹介した問題に対する解決策も含まれています。 関連文書 (日本語) Adobe Technote APSB10-21: Acrobat および Adobe Reader セキュリティアップデーターの公開 http://kb2.adobe.com/jp/cps/871/cpsid_87135.html Japan Vulnerability Notes JVNTA10-279A Adobe Reader および Acrobat に複数の脆弱性 https://jvn.jp/cert/JVNTA10-279A/index.html 独立行政法人 情報処理推進機構 セキュリティセンター Adobe Reader および Acrobat の脆弱性(APSB10-21)について http://www.ipa.go.jp/security/ciadr/vul/20101006-adobe.html @police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=4875 JPCERT/CC Alert 2010-10-06 JPCERT-AT-2010-0026 Adobe Reader 及び Acrobat の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100026.txt JPCERT/CC WEEKLY REPORT 2010-09-15 号 【1】Adobe Reader および Acrobat に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103501.html#1 JPCERT/CC WEEKLY REPORT 2010-09-24 号 【2】Adobe Flash Player に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103601.html#2 関連文書 (英語) Adobe Security Bulletin APSB10-21 Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-21.html 【2】Foxit Reader に複数の脆弱性 情報源 US-CERT Current Activity Archive Foxit Releases Foxit Reader 4.2 http://www.us-cert.gov/current/archive/2010/10/08/archive.html#foxit_releases_foxit_reader_41 概要 Foxit Software の Foxit Reader には、PDF 署名の問題を含む複数の 脆弱性があります。結果として、遠隔の第三者が任意のコードを実行し たり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Foxit Reader 4.1 およびそれ以前 この問題は、Foxit Software が提供する修正済みのバージョンに Foxit Reader を更新することで解決します。 関連文書 (英語) Foxit Software Fixed identity theft issue caused by the security flaw of the digital signature http://www.foxitsoftware.com/pdf/reader/security_bulletins.php#identity 【3】ActiveCollab のアクセス制御機能に脆弱性 情報源 US-CERT Vulnerability Note VU#236703 ActiveCollab permissions failure http://www.kb.cert.org/vuls/id/236703 概要 ActiveCollab のアクセス制御機能には、脆弱性があります。結果とし て、ログインしているユーザが、許可されていないプロジェクトやファ イルを閲覧したり削除したりする可能性があります。 対象となるバージョンは以下の通りです。 - ActiveCollab 2.3.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに ActiveCollab を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#236703 ActiveCollab のアクセス制御機能における問題 https://jvn.jp/cert/JVNVU236703/index.html 関連文書 (英語) A51 DOO activeCollab 2.3.2 is Available for Download http://www.activecollab.com/news/activecollab-2-3-2-is-available-for-download/ A51 DOO activeCollab 2.3.2 http://www.activecollab.com/docs/manuals/admin/release-notes/activecollab-2-3-2 【4】AD-EDIT2 にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#69191943 AD-EDIT2 におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN69191943/index.html 概要 のれんずプロのコンテンツ管理システム AD-EDIT2 には、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - AD-EDIT2 ver 3.0.8 およびそれ以前 この問題は、のれんずプロが提供する修正済みのバージョンに AD-EDIT2 を更新することで解決します。詳細については、のれんずプ ロが提供する情報を参照してください。 関連文書 (日本語) のれんずプロ AD-EDIT2 におけるクロスサイトスクリプティング(XSS)の脆弱性 http://adedit.blogspot.com/2010/10/ad-edit2-xss.html のれんずプロ セキュリティ修正版search.cgi http://adedit.norenz.net/download/index.cgi?pg=0681 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PostgreSQL のサポートポリシー 2010年10月4日に、PostgreSQL のセキュリティアップデートが公開され、 現在サポートされている各バージョンについて対策版がリリースされま した。このうち、7.4系および 8.0系については、これが最後のアップ デートであることが宣言されています。また、8.1系についても今年中 でサポートを終了する予定です。 PostgreSQL を使ったシステムを運用している場合、現在の最新セキュ リティアップデートを適用するとともに、PostgreSQL の最新バージョ ンへの更新を検討してください。 参考文献 (英語) PostgreSQL PostgreSQL 2010-10-05 Security Update http://www.postgresql.org/about/news.1244 PostgreSQL Wiki PostgreSQL Release Support Policy http://wiki.postgresql.org/wiki/PostgreSQL_Release_Support_Policy ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMtlaEAAoJEDF9l6Rp7OBI7q0H/iFxA6IWw0g0aQLqVraDrZlU 26WKMkodcQA8qyyiNPXS5yoJiP4RyQ0Pzgs2PRBfO34G4UKc6BzWO1jei1f+cWh4 IjaLQ0XgcIseIXjqBVz9Xi3WCw/N0r7N7xUOphYXYDTk2rmnlANUoOeMpbYdY4Qi uPXpdWlDAKebfeoO3bRgY/7R38CFhI8vpU2FlNBl5Qv2RTH+PQHKFoYK6s0JmyDd uG2vpMNyCNwB0Ujl94BKYFvpAq/snjK4VTD9ONJL3XQJ5Rp95FykCNWH5yybHaIS cRdF13LHtPlB6VpxLkHlnH4WZjv7Cjhn5iD0Xsuef+A7q495/9C5hpCeurZr8oE= =sTZk -----END PGP SIGNATURE-----