JPCERT-WR-2011-0401
2011-02-02
2011-01-23
2011-01-29
Microsoft Windows の MHTML プロトコルハンドラに脆弱性
Microsoft Windows の MHTML プロトコルハンドラには、スクリプトイ
ンジェクションの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
2011年2月1日現在、この問題に対するセキュリティ更新プログラムは提
供されていません。マイクロソフトは、回避策のひとつとして「Fix it」
を 2011年1月28日に公開しました。詳細については、マイクロソフトが
提供する情報を参照してください。
マイクロソフト セキュリティ アドバイザリ (2501696)
MHTML の脆弱性により、情報漏えいが起こる
http://www.microsoft.com/japan/technet/security/advisory/2501696.mspx
Microsoft Security Research & Defense
More information about the MHTML Script Injection vulnerability
http://blogs.technet.com/b/srd/archive/2011/01/28/more-information-about-the-mhtml-script-injection-vulnerability.aspx
マイクロソフト サポート オンライン
マイクロソフト セキュリティ アド バイザリ: MHTML の脆弱性により、情報漏えいが起こる
http://support.microsoft.com/kb/2501696/ja-jp
Japan Vulnerability Notes JVNVU#326549
Microsoft Windows にスクリプトインジェクションの脆弱性
https://jvn.jp/cert/JVNVU326549/index.html
Opera ブラウザに複数の脆弱性
Opera ブラウザには、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、機密情報を取得したりする可能性があります。
対象となるバージョンは以下の通りです。
- Opera 11.01 より前のバージョン
この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ
ザを更新することで解決します。
Opera Software
Opera ウェブブラウザ
http://jp.opera.com/browser/
Opera Software
Opera 11.01 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1101/
ISC DHCP サーバの DHCPv6 の処理に脆弱性
ISC DHCP サーバ の DHCPDECLINE メッセージの処理には、脆弱性があ
ります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を
行う可能性があります。
対象となるバージョンは以下の通りです。
- ISC DHCP バージョン 4.0.x から 4.2.x まで
なお ISC によると、DHCPv6 サーバは影響を受けますが、DHCPv4 サー
バは影響を受けません。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに ISC DHCP サーバを更新することで解決します。詳細につ
いては、各ベンダや配布元が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#686084
ISC DHCPv6 にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU686084/index.html
Internet Systems Consortium
DHCP May Crash After Processing a DHCPv6 Decline Message
http://www.isc.org/software/dhcp/advisories/cve-2011-0413
SAP Crystal Reports Server に複数の脆弱性
SAP Crystal Reports Server には、複数の脆弱性があります。結果と
して、遠隔の第三者がサーバ上で任意のコードを実行したり、ユーザの
ブラウザ上で任意のスクリプトを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- SAP Crystal Reports Server 2008
この問題は、SAP が提供する修正済みのバージョンに SAP Crystal
Reports Server を更新することで解決します。
SAP
SAP CRYSTAL REPORTS SERVER
http://www.sap.com/japan/solutions/sap-crystal-solutions/information-infrastructure/sapcrystalserver/index.epx
SAP (登録が必要です)
SAP Client Support Advisory 1458309
https://service.sap.com/sap/support/notes/1458309
SAP (登録が必要です)
SAP Client Support Advisory 1458310
https://service.sap.com/sap/support/notes/1458310
SAP (登録が必要です)
SAP Client Support Advisory 1458930
https://service.sap.com/sap/support/notes/1476930
Citrix Provisioning Services に脆弱性
Citrix Provisioning Services には、脆弱性があります。結果として、
遠隔の第三者が細工したパケットを処理させることで任意のコードを実
行する可能性があります。
対象となるバージョンは以下の通りです。
- Citrix Provisioning Services 5.6 およびそれ以前
この問題は、Citrix が提供する修正済みのバージョンに Citrix
Provisioning Services を更新することで解決します。
Citrix Systems
Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution
http://support.citrix.com/article/CTX127149
RealNetworks RealPlayer に脆弱性
RealNetworks RealPlayer には、脆弱性があります。結果として、遠隔
の第三者が細工した AVI ファイルをユーザに閲覧させることで、任意
のコードを実行する可能性があります。
この問題は、RealNetworks が提供する修正済みのバージョンに
RealPlayer を更新することで解決します。詳細については、
RealNetworks が提供する情報を参照してください。
RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/01272011_player/ja/
RealNetworks
RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://service.real.com/realplayer/security/01272011_player/en/
Lomtec ActiveWeb Professional に脆弱性
Lomtec ActiveWeb Professional 3.0 には、第三者によって任意のファ
イルをアップロードされる脆弱性があります。結果として、遠隔の第三
者が実行可能なスクリプトをアップロードし、Web コンテンツ管理サー
バの権限で任意のコマンドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Lomtec ActiveWeb Professional 3.0
2011年2月1日現在、この問題に対する解決策は提供されていません。回
避策としては、Web コンテンツ管理サーバへのアクセスを制限するなど
の方法があります。
Japan Vulnerability Notes JVNVU#528212
Lomtec ActiveWeb Professional 3.0 CMS における任意のファイルをアップロードおよび実行可能な脆弱性
https://jvn.jp/cert/JVNVU528212/index.html
Lomtec
ActiveWeb
http://www.lomtec.com/en/ActiveWeb/d/activeweb/basic_info.html
MODx Evolution に複数の脆弱性
MODx CMS Project のコンテンツ管理システム MODx Evolution には、
複数の脆弱性があります。結果として、遠隔の第三者がサーバ内にある
任意のファイルを閲覧したり、細工した HTTP リクエストを処理させる
ことでデータベースを操作したりする可能性があります。
対象となるバージョンは以下の通りです。
- MODx Evolution 1.0.4 およびそれ以前
この問題は、MODx CMS Project が提供する修正済みのバージョンに
MODx Evolution を更新することで解決します。
MODx Japan
MODx Evolution 1.0.5 日本語版
http://modx.jp/download/download_evo.html
独立行政法人 情報処理推進機構 セキュリティセンター
「MODx Evolution」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110126.html
MODx CMS Project
MODX Evolution 1.0.5 Tightens Security and Lots of Little Improvements
http://modxcms.com/forums/index.php/topic,60045.0.html
制御システムセキュリティカンファレンス 2011 開催のご案内
JPCERT コーディネーションセンターは、制御システムにおけるセキュ
リティの脅威が現実化してきた今、≪現実化した脅威とその対策課題≫
をテーマに掲げ、その具体策に向けた改善・防御・回復をキーワードと
して、これらの課題について関係者の皆様と共に考えるカンファレンス
を開催します。
[日時] 2011年02月10日(木) 10:00 - 16:40 (受付09:30-)
[会場] コクヨホール
東京都港区港南1-8-35
(MAP) http://www.kokuyo.co.jp/showroom/hall/access/
[対象] 制御システム関係者(ユーザ企業・事業者、システムインテグレー
タ・エンジニアリング会社、製品開発者、研究者)
[定員] 300名
定員になり次第締め切りとなります。お早めにお申し込みください。
※登録者数が多い企業様にはご参加者の調整をお願いすることがあり
ますのでご了承下さい。
[申込み方法] https://www.jpcert.or.jp/ics/conference2011.html
C/C++ セキュアコーディングセミナー 2010@東京 part6 ひきつづき参加者募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。
「C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>」
の参加申し込み受付中です。part6 では、ソースコード解析プラット
フォーム ROSE を使って開発された CERT C セキュアコーディングルー
ルのチェッカーを紹介します。
今回は実機を使ったハンズオンを実施する関係で、定員を 20名とさせ
ていただき、同一内容にて 2月24日と 3月3日の2回開催します。参加の
際には、 VMware あるいは VitualBox をインストールしたノート PC
をご持参ください。
なお、2月24日(木) の回はすでに満席となっておりますので、ご注意く
ださい。
C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>
[日時]
2011年02月24日(木) 13:30 - 18:15 (受付13:00-)
2011年03月03日(木) 13:30 - 18:15 (受付13:00-)
[会場] JPCERTコーディネーションセンター会議室
東京都千代田区神田錦町3-17 廣瀬ビル 11階
(MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif
[定員] 20名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者、等
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
情報セキュリティ月間
2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強
化のための様々な活動が企画されています。JPCERT/CC も「制御系シス
テムセキュリティカンファレンス2011」をはじめとして、いくつかのイ
ベントに協力しています。
情報セキュリティの普及啓発の一助として、この機会をご活用ください。
内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html
内閣官房情報セキュリティセンター
情報セキュリティ月間
http://www.nisc.go.jp/active/kihon/ism_index.html
JPCERT/CC WEEKLY REPORT 2010-02-03
【今週のひとくちメモ】情報セキュリティ月間
https://www.jpcert.or.jp/wr/2010/wr100401.html#Memo