<<< JPCERT/CC WEEKLY REPORT 2010-12-08 >>>
■11/28(日)〜12/04(土) のセキュリティ関連情報
目 次
【1】ISC BIND に複数の脆弱性
【2】VMware 製品群に複数の脆弱性
【3】Google Chrome に複数の脆弱性
【4】PHP に脆弱性
【5】WordPress に脆弱性
【6】AWStats に脆弱性
【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性
【8】C/C++ セキュアコーディングセミナー2010@東京 part5 および 2011@札幌 参加者募集中
【今週のひとくちメモ】Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr104701.txt
https://www.jpcert.or.jp/wr/2010/wr104701.xml
【1】ISC BIND に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#837744
ISC BIND named validator vulnerability
http://www.kb.cert.org/vuls/id/837744US-CERT Vulnerability Note VU#510208
ISC BIND named allow-query vulnerability
http://www.kb.cert.org/vuls/id/510208US-CERT Vulnerability Note VU#706148
ISC BIND cache vulnerability
http://www.kb.cert.org/vuls/id/706148US-CERT Current Activity Archive
Internet Systems Consortium BIND Vulnerabilities
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#internet_systems_consortium_bind_vulnerabilities
概要
ISC BIND には、複数の脆弱性があります。結果として、アクセス制限 が有効に動作しなかったり、キャッシュサーバとして動作している BIND がゾーンデータを不正なものと返答したり、遠隔の第三者がキャッ シュサーバに対してサービス運用妨害 (DoS) を行ったりする可能性が あります。 対象となるバージョンは、脆弱性の内容によって異なります。詳細につ いては、下記関連文書を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに ISC BIND を更新することで解決します。詳細について は、各ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#837744
ISC BIND named validator に脆弱性
https://jvn.jp/cert/JVNVU837744/index.htmlJapan Vulnerability Notes JVNVU#706148
ISC BIND におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU706148/index.htmlJapan Vulnerability Notes JVNVU#510208
ISC BIND named の allow-query の処理における脆弱性
https://jvn.jp/cert/JVNVU510208/index.html
関連文書 (英語)
Internet Systems Consortium
BIND: Key algorithm rollover bug in bind9
https://www.isc.org/software/bind/advisories/cve-2010-3614Internet Systems Consortium
BIND: cache incorrectly allows a ncache entry and a rrsig for the same type
https://www.isc.org/software/bind/advisories/cve-2010-3613Internet Systems Consortium
BIND: allow-query processed incorrectly
https://www.isc.org/software/bind/advisories/cve-2010-3615Internet Systems Consortium
Guidance regarding Dec 1st 2010 Security Advisories
http://www.isc.org/announcement/guidance-regarding-dec-1st-2010-security-advisories
【2】VMware 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
VMware Releases Security Advisory VMSA-2010-0018
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#vmware_releases_security_advisory_vmsa5
概要
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したりする可能性があり ます。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。
関連文書 (英語)
VMware Security Advisories (VMSAs)
VMSA-2010-0018 VMware hosted products and ESX patches resolve multiple security issues
http://www.vmware.com/security/advisories/VMSA-2010-0018.htmlVMware Security Announcements
[Security-announce] VMSA-2010-0018 VMware hosted products and ESX patches resolve multiple security issues
http://lists.vmware.com/pipermail/security-announce/2010/000112.html
【3】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 8.0.552.215
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#google_releases_chrome_8_0
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 8.0.552.215 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates.html
【4】PHP に脆弱性
情報源
US-CERT Vulnerability Note VU#479900
PHP getSymbol vulnerability allows denial of service
http://www.kb.cert.org/vuls/id/479900
概要
PHP の getSymbol 関数には、整数オーバーフローの脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となるバージョンは以下の通りです。 - PHP 5.3.3 revision 305571 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに PHP を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#479900
PHP にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU479900/index.html
関連文書 (英語)
The PHP Group
[svn] Revision 305571
http://svn.php.net/viewvc?view=revision&revision=305571
【5】WordPress に脆弱性
情報源
US-CERT Current Activity Archive
WordPress Releases WordPress 3.0.2
http://www.us-cert.gov/current/archive/2010/12/03/archive.html#wordpress_releases_wordpress_3_0
概要
WordPress には、脆弱性があります。結果として、Author レベルの ユーザが権限を昇格するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.0.2 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。
関連文書 (英語)
WordPress Blog
WordPress 3.0.2
http://wordpress.org/news/2010/11/wordpress-3-0-2/WordPress Codex
Version 3.0.2
http://codex.wordpress.org/Version_3.0.2
【6】AWStats に脆弱性
情報源
US-CERT Vulnerability Note VU#870532
AWStats fails to properly handle "\\" when specifying a configuration file directory
http://www.kb.cert.org/vuls/id/870532
概要
AWStats には、設定ファイルディレクトリの処理に脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - AWStats 7.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに AWStats を更 新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#870532
AWStats に脆弱性
http://jvn.jp/cert/JVNVU870532/index.html
関連文書 (英語)
AWStats project
AWStats Changelog
http://awstats.sourceforge.net/docs/awstats_changelog.txt
【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性
情報源
Japan Vulnerability Notes JVN#64764004
Sleipnir におけるクリップボードの操作に関する脆弱性
https://jvn.jp/jp/JVN64764004/index.htmlJapan Vvulnerability Notes JVN#76662040
Grani におけるクリップボードの操作に関する脆弱性
https://jvn.jp/jp/JVN76662040/index.html
概要
フェンリル社が提供するウェブブラウザ Sleipnir および Grani には、 クリップボードの操作に関する脆弱性が存在します。結果として、 Sleipnir や Grani を特定の設定で使用すると、ウェブサイト側からク リップボードの内容を読み書きされてしまう可能性があります。 対象となるバージョンは以下の通りです。 - 2010年11月25日15時 (日本時間) 以前に公開されていた - Sleipnir 2.9.6 およびそれ以前 - Grani 4.5 およびそれ以前 この問題は、フェンリル社が提供する修正済みのバージョンに該当製品 を更新することで解決します。Sleipnir 2.9.6 および Grani 4.5 を利 用しているユーザは、フェンリル社が提供する情報をもとに設定変更を 行ってください。詳細については下記関連文書を参照してください。
関連文書 (日本語)
フェンリル株式会社
【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について
http://www.fenrir.co.jp/blog/2010/11/post_47.html
【8】C/C++ セキュアコーディングセミナー2010@東京 part5 および 2011@札幌 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.htmlJPCERT/CC
C/C++ セキュアコーディングセミナー 2011 @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 このたび、北海道地区のプログラム開発者の皆様に受講いただけるよう、 札幌を会場とした 2日間コースを、1月27日(木)、28日(金)に開催しま す。受講料は無料です。ふるってご参加ください。 また、東京を会場にしたセミナーは、part5 <書式指定文字列> の開 催まで一週間となりました。こちらも、ひきつづき参加者を募集してい ます。皆様の参加をお待ちしています。 C/C++ セキュアコーディングセミナー2010@東京 part5 書式指定文字列 [日時] 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 C/C++ セキュアコーディングセミナー2011@札幌 [日時] part1 <セキュアコーディング概論・文字列> 2011年01月27日(木) 09:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 <整数・コードレビュー> 2011年01月28日(金) 09:10 - 受付開始 09:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] ACU 1605中研修室 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.htmlJPCERT/CC
C/C++ セキュアコーディングセミナー 2011 @ 札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP-application.html
■今週のひとくちメモ
○Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意
Microsoft が提供する Exchange Server 2000 と SQL Server 7.0 の延 長サポートが、2011年1月11日 (1月のセキュリティ更新プログラム提供 日) で終了する予定です。延長サポートが終了すると、セキュリティ更 新プログラムが提供されなくなるだけでなく、脆弱性に関する情報も把 握できなくなります。サポートされているバージョンへの移行を検討し てください。
参考文献 (日本語)
マイクロソフト
プロダクト サポート ライフサイクル
http://support.microsoft.com/lifecycle/?c1=508
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/