-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-4001 JPCERT/CC 2010-10-20 <<< JPCERT/CC WEEKLY REPORT 2010-10-20 >>> ―――――――――――――――――――――――――――――――――――――― ■10/10(日)〜10/16(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2010年10月 Microsoft セキュリティ情報について 【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 【3】2010年10月 Oracle Critical Patch Update について 【4】Oracle WebLogic Node Manager に脆弱性 【5】Opera ブラウザに脆弱性 【6】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性 【7】Ghostscript に脆弱性 【8】SAP BusinessObjects Axis2 に脆弱性 【9】Internet Week 2010 のお知らせ 【10】C/C++ セキュアコーディングセミナー 2010 @東京 part4 のご案内 【今週のひとくちメモ】JP ゾーンの DNSSEC 署名開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr104001.html https://www.jpcert.or.jp/wr/2010/wr104001.xml ============================================================================ 【1】2010年10月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA10-285A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-285A.html US-CERT Cyber Security Alert SA10-285A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA10-285A.html 概要 Microsoft Windows、Office、Internet Explorer などの製品および関 連コンポーネントには複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。 関連文書 (日本語) 2010 年 10 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms10-oct.mspx Japan Vulnerability Notes JVNTA10-285A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-285A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS10-071,072,073,074,075,076,077,078,079,080,081,082,083,084,085,086) https://www.npa.go.jp/cyberpolice/topics/?seq=4899 JPCERT/CC Alert 2010-10-13 JJPCERT-AT-2010-0027 2010年10月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起 https://www.jpcert.or.jp/at/2010/at100027.txt 【2】「Windows プログラムの DLL 読み込み処理に脆弱性」に関する追加情報 情報源 Japan Vulnerability Notes JVN#82752978 Lhaplus における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN82752978/index.html Japan Vulnerability Notes JVN#18774708 Lhaplus における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN18774708/index.html Japan Vulnerability Notes JVN#88850043 Lhasa における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN88850043/index.html Japan Vulnerability Notes JVN#04665167 XacRett における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN04665167/index.html Japan Vulnerability Notes JVN#36921800 K2Editor における実行ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN36921800/index.html 概要 JPCERT/CC WEEKLY REPORT 2010-09-01 号【1】で紹介した「Windows プ ログラムの DLL 読み込み処理に脆弱性」に関する追加情報です。 以下の各ソフトウエアには、DLL もしくは実行ファイル読み込み時の検 索パスの問題に起因する脆弱性があります。結果として、遠隔の第三者 がプログラムを実行している権限で、任意のコードを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - Lhaplus 1.57 およびそれ以前 - Lhasa 0.19 およびそれ以前 - XacRett #49 およびそれ以前 - K2Editor r.1.5.8 およびそれ以前 この問題は、開発元が提供する修正済みのバージョンに各ソフトウエア を更新することで解決します。 関連文書 (日本語) Schezo 検索パスの問題に起因する脆弱性 http://www7a.biglobe.ne.jp/~schezo/dll_vul.html 独立行政法人 情報処理推進機構 セキュリティセンター 「Lhaplus」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20101012.html 竹村喜人(たけちん) LHA & Zip extractor Lhasa ver0.20 for Win32(Oct.10,2010) http://www.digitalpad.co.jp/~takechin/download.html#lhasa 独立行政法人 情報処理推進機構 セキュリティセンター 「Lhasa」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20101012_2.html kMonos.NET On JVN#04665167 (XacRett #49 Vulnerability) http://www.kmonos.net/lib/info/xacr49-vul.ja.html K2 Software K2 Software's Page http://k2top.jpn.org/ JPCERT/CC WEEKLY REPORT 2010-09-01 号 【1】Windows プログラムの DLL 読み込み処理に脆弱性 https://www.jpcert.or.jp/wr/2010/wr103301.html#1 【3】2010年10月 Oracle Critical Patch Update について 情報源 US-CERT Technical Cyber Security Alert TA10-287A Oracle Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA10-287A.html 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応 した Oracle Critical Patch Update Advisory - October 2010 が公開 されました。この修正には、JPCERT/CC WEEKLY REPORT 2010-08-11 号 【6】で紹介した問題に対する解決策も含まれています。また、Java に 対する修正も同時にリリースされています。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network セキュリティアラート http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm Oracle internet Support Center [CPUOct2010] Oracle Critical Patch Update Advisory - October 2010 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=147902 Oracle Technology Network Critical Patch Update - October 2010 http://www.oracle.com/technology/global/jp/security/101015_92/top.html Japan Vulnerability Notes JVNTA10-287A Oracle 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA10-287A/index.html JPCERT/CC WEEKLY REPORT 2010-08-11 号 【6】Oracle Siebel Option Pack for IE ActiveX コントロールに脆弱性 https://www.jpcert.or.jp/wr/2010/wr103001.html#6 関連文書 (英語) The Oracle Global Product Security Blog October 2010 and Java Critical Patch Updates Released http://blogs.oracle.com/security/2010/10/october_2010_and_java_critical.html Oracle Technology Network Oracle Java SE and Java for Business Critical Patch Update Advisory - October 2010 http://www.oracle.com/technetwork/topics/security/javacpuoct2010-176258.html 【4】Oracle WebLogic Node Manager に脆弱性 情報源 US-CERT Vulnerability Note VU#924300 Oracle WebLogic Node Manager allows arbitrary configuration via UNC path http://www.kb.cert.org/vuls/id/924300 概要 Oracle WebLogic Node Manager には、脆弱性があります。結果として、 遠隔の第三者が任意のコマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Oracle WebLogic Node Manager 10.3.3 およびそれ以前 2010年10月19日現在、この問題に対する解決策は提供されていません。 回避策としては、Node Manager サービスへの接続を制限するなどの方 法があります。 関連文書 (日本語) Oracle Oracle WebLogic Server http://www.oracle.com/technology/global/jp/products/weblogic/index.html Japan Vulnerability Notes JVNVU#924300 Oracle WebLogic Node Manager に脆弱性 https://jvn.jp/cert/JVNVU924300/index.html 【5】Opera ブラウザに脆弱性 情報源 Opera Opera 10.63 for Windows changelog http://www.opera.com/docs/changelogs/windows/1063/ Opera Opera 10.63 for Mac changelog http://www.opera.com/docs/changelogs/mac/1063/ Opera Opera 10.63 for UNIX changelog http://www.opera.com/docs/changelogs/unix/1063/ 概要 Opera ブラウザには脆弱性があります。結果として、遠隔の第三者が任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるバージョンは以下の通りです。 - Opera ブラウザ 10.62 およびそれ以前 この問題は、Opera Software が提供する修正済みのバージョンに Opera ブラウザを更新することで解決します。 【6】BlackBerry Enterprise Server および BlackBerry Professional Software にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive RIM Releases Security Advisory for BlackBerry Enterprise Server http://www.us-cert.gov/current/archive/2010/10/15/archive.html#rim_releases_security_advisory_for 概要 BlackBerry Enterprise Server および BlackBerry Professional Software の PDF 表示機能には、バッファオーバーフローの脆弱性があ ります。結果として、遠隔の第三者が細工した PDF ファイルをユーザ に閲覧させることで、BlackBerry Attachment Service を実行するサー バ上で任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Exchange 用の BlackBerry Enterprise Server Express 5.0.2 - Microsoft Exchange 用の BlackBerry Enterprise Server 5.0.2、 5.0.1、5.0.0、4.1.7 およびそれ以前 - IBM Lotus Domino 用の BlackBerry Enterprise Server 5.0.2、 5.0.1、5.0.0、4.1.7 およびそれ以前 - Novell GroupWise 用の BlackBerry Enterprise Server 5.0.1、4.1.7 およびそれ以前 - Microsoft Exchange 用および IBM Lotus Domino 用の BlackBerry Professional Software 4.1.4 およびそれ以前 この問題は、Research In Motion が提供する修正済みのバージョンに、 該当する製品を更新することで解決します。詳細については、Research In Motion が提供する情報を参照してください。 関連文書 (英語) Research In Motion - Security Advisory KB24547 Vulnerability in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB24547 【7】Ghostscript に脆弱性 情報源 US-CERT Vulnerability Note VU#538191 Ghostscript crashes when passing a null ipsp->ip value to the gs_type2_interpret function http://www.kb.cert.org/vuls/id/538191 概要 Ghostscript には、入力値検証が不十分なことに起因する脆弱性があり ます。結果として、遠隔の第三者が細工した PDF 文書を閲覧させるこ とでサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Ghostscript 8.71 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ghostscript を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#538191 Ghostscript にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU538191/index.html 関連文書 (英語) Artifex Software http://www.artifex.com/ ghostscript.com [gs-commits] rev 10590 - trunk/gs/base http://ghostscript.com/pipermail/gs-cvs/2010-January/010333.html ghostscript.com GPL Ghostscript 8 http://www.ghostscript.com/GPL_Ghostscript_8.71.html 【8】SAP BusinessObjects Axis2 に脆弱性 情報源 US-CERT Vulnerability Note VU#989719 SAP BusinessObjects Axis2 Default Admin Password http://www.kb.cert.org/vuls/id/989719 概要 SAP BusinessObjects Axis2 には、管理用アカウントに起因する脆弱性 があります。結果として、遠隔の第三者が Axis2 コンポーネントにロ グインして細工した Web サービス (jar) をアップロードすることで、 再起動後に任意のコードを実行する可能性があります。 対象となる製品は以下の通りです。 - SAP BusinessObjects Axis2 この問題は、SAP が提供する修正済みのバージョンに SAP BusinessObjects Axis2 を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#989719 SAP BusinessObjects Axis2 におけるデフォルトパスワードの問題 https://jvn.jp/cert/JVNVU989719/index.html 関連文書 (英語) SAP SAP Security Note 1432881 (Registered Users Only) https://service.sap.com/sap/support/notes/1432881 【9】Internet Week 2010 のお知らせ 情報源 Internet Week 2010 https://internetweek.jp/ 概要 2010年11月24日(水)より 26日(金)まで、富士ソフトアキバプラザにて JPNIC 主催の Internet Week 2010 が開催されます。JPCERT/CC は後援 団体に加わるとともに、プログラムの企画・運営に協力しています。 参加登録については、以下の「参加申込」ページをご参照ください。割 引料金でご参加いただける事前登録の受付は 11月12日(金) 18:00 まで となっています。 二日目の午後に行われるセッション S14 では、「セキュリティオペレー ション2010 〜現場から見たインシデント対応 - ISOG-J における連携 の試み〜」と題し、2010年のインシデントの状況と対応防御の実際を、 SOC (セキュリティオペレーションセンター) で収集されたデータや、 実際のインシデント対応の実例を基に紹介します。 関連文書 (日本語) Internet Week 2010 - 参加申込 https://internetweek.jp/apply/ Internet Week 2010 S14: セキュリティオペレーション2010 〜現場から見たインシデント対応 - ISOG-J における連携の試み〜 https://internetweek.jp/program/s14/ 【10】C/C++ セキュアコーディングセミナー 2010 @東京 part4 のご案内 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 11月に東京で開催する part4 の募集を開始しました。part4 でとりあ げるトピックは動的メモリ管理です。皆様のご参加をお待ちしています。 [日時] part4 <動的メモリ管理> 2010年11月10日(水) 13:00 - 受付開始 13:30 - 16:00 動的メモリ管理 - 講義 16:00 - 18:15 動的メモリ管理 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JP ゾーンの DNSSEC 署名開始 2010年10月17日より、JP ゾーンへの DNSSEC 署名が開始されました。 これにより、JP ゾーンのレコードに関する DNS 問い合わせで DO ビッ トを有効にしている場合、 応答のなかに署名レコードも含まれるよう になります。 BIND9 (9.3 以降) や Unbound などは、DNSSEC 対応機能の設定内容に 関わらず、問い合わせパケットの DO ビットを有効にしているため、こ れらをキャッシュサーバに使っている場合には、通信帯域やメモリ使用 量の増加が想定されます。ご使用中の DNS キャッシュサーバの稼働状 況を確認することをお勧めします。 参考文献 (日本語) JPRS JPゾーンにおけるDNSSEC署名の開始による影響について http://jprs.jp/tech/notice/2010-10-15-jp-dnssec.html JANOG あなたのDNS運用は来るべきDNSSEC時代に耐えられますか http://www.janog.gr.jp/meeting/janog24/program/d1p4.html JPCERT/CC 【今週のひとくちメモ】JP ゾーンへの DNSSEC 導入 https://www.jpcert.or.jp/wr/2010/wr103501.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMvkHUAAoJEDF9l6Rp7OBISPYH/0PcKSaozgxShHPPiEsGuDtS BfMzNMFdu97wekyT18NdKwj/+DtXXBisZqj9Bf+ZA5UhXUDRQB29F8FQda0eWmjo b8COiDfC5+j17CshvvVLmKGabNJ81jaszUh1aeh6RIhQJpU+fGHTKgCbnsNscB5j iv+Qm7IRkmvRSX59fR8wm+jKwqHpJONwq5BsQ3KsIdty/Gc+jAPooteTdHu2WZJ1 Z0FdkwFmG3Ng0NiM8Ly7KdjeXWJQ88D+vQwugdzQwzppXkftfFwZ/H77d3B6Dqwt vhzpPhAv/td7v4belC3ddkyaXqZklX+S5RgVimw2yx37M0nThjuNJf91aSqtt98= =BDs1 -----END PGP SIGNATURE-----