-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-4701 JPCERT/CC 2010-12-08 <<< JPCERT/CC WEEKLY REPORT 2010-12-08 >>> ―――――――――――――――――――――――――――――――――――――― ■11/28(日)〜12/04(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND に複数の脆弱性 【2】VMware 製品群に複数の脆弱性 【3】Google Chrome に複数の脆弱性 【4】PHP に脆弱性 【5】WordPress に脆弱性 【6】AWStats に脆弱性 【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性 【8】C/C++ セキュアコーディングセミナー2010@東京 part5 および 2011@札幌 参加者募集中 【今週のひとくちメモ】Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr104701.html https://www.jpcert.or.jp/wr/2010/wr104701.xml ============================================================================ 【1】ISC BIND に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#837744 ISC BIND named validator vulnerability http://www.kb.cert.org/vuls/id/837744 US-CERT Vulnerability Note VU#510208 ISC BIND named allow-query vulnerability http://www.kb.cert.org/vuls/id/510208 US-CERT Vulnerability Note VU#706148 ISC BIND cache vulnerability http://www.kb.cert.org/vuls/id/706148 US-CERT Current Activity Archive Internet Systems Consortium BIND Vulnerabilities http://www.us-cert.gov/current/archive/2010/12/03/archive.html#internet_systems_consortium_bind_vulnerabilities 概要 ISC BIND には、複数の脆弱性があります。結果として、アクセス制限 が有効に動作しなかったり、キャッシュサーバとして動作している BIND がゾーンデータを不正なものと返答したり、遠隔の第三者がキャッ シュサーバに対してサービス運用妨害 (DoS) を行ったりする可能性が あります。 対象となるバージョンは、脆弱性の内容によって異なります。詳細につ いては、下記関連文書を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに ISC BIND を更新することで解決します。詳細について は、各ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#837744 ISC BIND named validator に脆弱性 https://jvn.jp/cert/JVNVU837744/index.html Japan Vulnerability Notes JVNVU#706148 ISC BIND におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU706148/index.html Japan Vulnerability Notes JVNVU#510208 ISC BIND named の allow-query の処理における脆弱性 https://jvn.jp/cert/JVNVU510208/index.html 関連文書 (英語) Internet Systems Consortium BIND: Key algorithm rollover bug in bind9 https://www.isc.org/software/bind/advisories/cve-2010-3614 Internet Systems Consortium BIND: cache incorrectly allows a ncache entry and a rrsig for the same type https://www.isc.org/software/bind/advisories/cve-2010-3613 Internet Systems Consortium BIND: allow-query processed incorrectly https://www.isc.org/software/bind/advisories/cve-2010-3615 Internet Systems Consortium Guidance regarding Dec 1st 2010 Security Advisories http://www.isc.org/announcement/guidance-regarding-dec-1st-2010-security-advisories 【2】VMware 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive VMware Releases Security Advisory VMSA-2010-0018 http://www.us-cert.gov/current/archive/2010/12/03/archive.html#vmware_releases_security_advisory_vmsa5 概要 VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したりする可能性があり ます。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。 関連文書 (英語) VMware Security Advisories (VMSAs) VMSA-2010-0018 VMware hosted products and ESX patches resolve multiple security issues http://www.vmware.com/security/advisories/VMSA-2010-0018.html VMware Security Announcements [Security-announce] VMSA-2010-0018 VMware hosted products and ESX patches resolve multiple security issues http://lists.vmware.com/pipermail/security-announce/2010/000112.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 8.0.552.215 http://www.us-cert.gov/current/archive/2010/12/03/archive.html#google_releases_chrome_8_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 8.0.552.215 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable, Beta Channel Updates http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates.html 【4】PHP に脆弱性 情報源 US-CERT Vulnerability Note VU#479900 PHP getSymbol vulnerability allows denial of service http://www.kb.cert.org/vuls/id/479900 概要 PHP の getSymbol 関数には、整数オーバーフローの脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となるバージョンは以下の通りです。 - PHP 5.3.3 revision 305571 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに PHP を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#479900 PHP にサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU479900/index.html 関連文書 (英語) The PHP Group [svn] Revision 305571 http://svn.php.net/viewvc?view=revision&revision=305571 【5】WordPress に脆弱性 情報源 US-CERT Current Activity Archive WordPress Releases WordPress 3.0.2 http://www.us-cert.gov/current/archive/2010/12/03/archive.html#wordpress_releases_wordpress_3_0 概要 WordPress には、脆弱性があります。結果として、Author レベルの ユーザが権限を昇格するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.0.2 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。 関連文書 (英語) WordPress Blog WordPress 3.0.2 http://wordpress.org/news/2010/11/wordpress-3-0-2/ WordPress Codex Version 3.0.2 http://codex.wordpress.org/Version_3.0.2 【6】AWStats に脆弱性 情報源 US-CERT Vulnerability Note VU#870532 AWStats fails to properly handle "\\" when specifying a configuration file directory http://www.kb.cert.org/vuls/id/870532 概要 AWStats には、設定ファイルディレクトリの処理に脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - AWStats 7.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに AWStats を更 新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#870532 AWStats に脆弱性 http://jvn.jp/cert/JVNVU870532/index.html 関連文書 (英語) AWStats project AWStats Changelog http://awstats.sourceforge.net/docs/awstats_changelog.txt 【7】Sleipnir および Grani におけるクリップボードの操作に関する脆弱性 情報源 Japan Vulnerability Notes JVN#64764004 Sleipnir におけるクリップボードの操作に関する脆弱性 https://jvn.jp/jp/JVN64764004/index.html Japan Vvulnerability Notes JVN#76662040 Grani におけるクリップボードの操作に関する脆弱性 https://jvn.jp/jp/JVN76662040/index.html 概要 フェンリル社が提供するウェブブラウザ Sleipnir および Grani には、 クリップボードの操作に関する脆弱性が存在します。結果として、 Sleipnir や Grani を特定の設定で使用すると、ウェブサイト側からク リップボードの内容を読み書きされてしまう可能性があります。 対象となるバージョンは以下の通りです。 - 2010年11月25日15時 (日本時間) 以前に公開されていた - Sleipnir 2.9.6 およびそれ以前 - Grani 4.5 およびそれ以前 この問題は、フェンリル社が提供する修正済みのバージョンに該当製品 を更新することで解決します。Sleipnir 2.9.6 および Grani 4.5 を利 用しているユーザは、フェンリル社が提供する情報をもとに設定変更を 行ってください。詳細については下記関連文書を参照してください。 関連文書 (日本語) フェンリル株式会社 【重要】「スクリプトによる貼りつけ処理」に関する脆弱性について http://www.fenrir.co.jp/blog/2010/11/post_47.html 【8】C/C++ セキュアコーディングセミナー2010@東京 part5 および 2011@札幌 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html JPCERT/CC C/C++ セキュアコーディングセミナー 2011 @札幌 のご案内 https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 このたび、北海道地区のプログラム開発者の皆様に受講いただけるよう、 札幌を会場とした 2日間コースを、1月27日(木)、28日(金)に開催しま す。受講料は無料です。ふるってご参加ください。 また、東京を会場にしたセミナーは、part5 <書式指定文字列> の開 催まで一週間となりました。こちらも、ひきつづき参加者を募集してい ます。皆様の参加をお待ちしています。 C/C++ セキュアコーディングセミナー2010@東京 part5 書式指定文字列 [日時] 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 C/C++ セキュアコーディングセミナー2011@札幌 [日時] part1 <セキュアコーディング概論・文字列> 2011年01月27日(木) 09:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 <整数・コードレビュー> 2011年01月28日(金) 09:10 - 受付開始 09:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] ACU 1605中研修室 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html JPCERT/CC C/C++ セキュアコーディングセミナー 2011 @ 札幌 お申し込み https://www.jpcert.or.jp/event/securecoding-SAP-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Exchange Server 2000 と SQL Server 7.0 のサポート期間に注意 Microsoft が提供する Exchange Server 2000 と SQL Server 7.0 の延 長サポートが、2011年1月11日 (1月のセキュリティ更新プログラム提供 日) で終了する予定です。延長サポートが終了すると、セキュリティ更 新プログラムが提供されなくなるだけでなく、脆弱性に関する情報も把 握できなくなります。サポートされているバージョンへの移行を検討し てください。 参考文献 (日本語) マイクロソフト プロダクト サポート ライフサイクル http://support.microsoft.com/lifecycle/?c1=508 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJM/tT8AAoJEDF9l6Rp7OBIXSkH/jirZUdyZMRSUiJVZ6LPCn2Q VLRpHt9uH7OlEbTz8Ai7XXyTr8yDoAN5p17vwsqg3iospRURQ2jyL3r93NMOXwPS zifBK/t9cuzOKXRULp9nWqWtFtiBLk5xQFnO4z27kCSlXg/fdbbV7yRJLJCDHvHb dhEHELpOk2dSGC7qxfFmlom6r6RYsD53uSBmu6K5Qr36SrE/hGu1mww/ZLZh54zA UE8a/gQe9Gk/2hwhPScmEtWOgRq3DMLDT/gE6/eHSw+2PH8UfrRgcrxahKvvAJl0 Ff1HrHLsTr1eH5tRC95vjBLUyblfAdpUIE1RBDCUpJs4Fbeuha8m3uYPCYXXaaA= =tAmS -----END PGP SIGNATURE-----