JPCERT-WR-2011-0901
2011-03-09
2011-02-27
2011-03-05
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品は以下の通りです。
- Firefox 3.6.13 およびそれ以前
- Firefox 3.5.16 およびそれ以前
- Thunderbird 3.1.7 およびそれ以前
- SeaMonkey 2.0.11 およびそれ以前
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
なお、Mozilla プロジェクトから、最新版として、Firefox 3.6.15、
Thunderbird 3.1.9 が公開されています。詳細は、ベンダが提供する情
報を参照してください。
Mozilla Japan
Firefox リリースノート - バージョン 3.6.15 - 2011/03/04 リリース
http://mozilla.jp/firefox/3.6.15/releasenotes/
Mozilla Japan
Firefox リリースノート - バージョン 3.6.14 - 2011/03/01 リリース
http://mozilla.jp/firefox/3.6.14/releasenotes/
Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.14 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.14
Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.17 - 2011/03/01 リリース
http://mozilla.jp/firefox/3.5.17/releasenotes/
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.17 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.17
Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.9 - 2011/03/04 リリース
http://mozilla.jp/thunderbird/3.1.9/releasenotes/
Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.8 - 2011/03/01 リリース
http://mozilla.jp/thunderbird/3.1.8/releasenotes/
Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.8
SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.12
Cisco 製品群に複数の脆弱性
Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、設定を変更したりする可能性があります。
対象となる製品は以下の通りです。
- Cisco ASA 5500 シリーズ Adaptive Security Appliance
- Cisco Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリー
ズルータの Cisco Firewall Services Module (FWSM)
- Cisco TelePresence
- Cisco TelePresence Recording Server
- Cisco TelePresence Manager
- Cisco TelePresence Multipoint Switch
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
Cisco Security Advisory 112881
Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14d.shtml
Cisco Security Advisory 112893
Cisco Firewall Services Module Skinny Client Control Protocol Inspection Denial of Service Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e148.shtml
Cisco Security Advisory 112230
Multiple Vulnerabilities in Cisco TelePresence Endpoint Devices
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e152.shtml
Cisco Applied Mitigation Bulletin 112231
Multiple Vulnerabilities in Cisco TelePresence Manager
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14f.shtml
Cisco Applied Mitigation Bulletin 112232
Multiple Vulnerabilities in Cisco TelePresence Multipoint Switch
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e14e.shtml
Cisco Applied Mitigation Bulletin 112233
Multiple Vulnerabilities in Cisco TelePresence Recording Server
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b6e11d.shtml
IBM の複数の製品に脆弱性
IBM の複数の製品には、Java Runtime Environment (JRE) の問題に起
因する脆弱性があります。結果として、遠隔の第三者がサービス運用妨
害 (DoS) 攻撃を行う可能性があります。
対象となる製品は以下の通りです。
- DB2 for Linux, UNIX, and Windows
- IBM WebSphere Application Server
- IBM Lotus 製品群
この問題は、IBM が提供するパッチを、該当する製品に適用することで
解決します。詳細については、IBM が提供する情報を参照してください。
IBM
IBMソフトウェア製品におけるJava脆弱性に関するお知らせ
http://www.ibm.com/software/jp/java-cve20104476/index.html
IBM Critical security vulnerability alert
Security Alert for CVE-2010-4476
http://www.ibm.com/developerworks/java/jdk/alerts/cve-2010-4476.html
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 9.0.597.107 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに、Google
Chrome を更新することで解決します。
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/02/stable-channel-update_28.html
Apple iTunes に複数の脆弱性
Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品は以下の通りです。
- Apple iTunes 10.2 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに、iTunes を更
新することで解決します。詳細については、Apple が提供する情報を参
照してください。
Japan Vulnerability Notes JVNVU#556020
Apple iTunes における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU556020/index.html
Apple Support HT4554
About the security content of iTunes 10.2
http://support.apple.com/kb/HT4554?viewlocale=en_US
Citrix Secure Gateway に脆弱性
Citrix Secure Gateway には、脆弱性があります。結果として、遠隔の
第三者が Citrix Secure Gateway を実行している権限で任意のコード
を実行する可能性があります。
対象となるバージョンは以下の通りです。
- Citrix Secure Gateway 3.1.4
この問題は、Citrix が提供する修正済みのバージョンに、Citrix
Secure Gateway を更新することで解決します。詳細については、
Citrix が提供する情報を参照してください。
Citrix Knowledge Center CTX127793
Secure Gateway 3.1.5 for Windows - Update SGE3.1.5
http://support.citrix.com/article/CTX127793
Citrix Knowledge Center CTX128168
Vulnerability in Citrix Secure Gateway version 3.1.4 could result in arbitrary code execution
http://support.citrix.com/article/CTX128168
Wireshark に脆弱性
Wireshark には、6LoWPAN パケットの処理に起因する脆弱性があります。
結果として、遠隔の第三者が細工した 6LoWPAN パケットを処理させる
ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Wireshark 1.4.0 から 1.4.3 まで (32-bit 版)
この問題は、Wireshark Foundation が提供する修正済みのバージョン
に Wireshark を更新することで解決します。
Japan Vulnerability Notes JVNVU#215900
Wireshark にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU215900/index.html
Wireshark Bug Database - Bug 5722
Crash in 6LoWPAN on 32-bit systems
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=5722
Wireshark Foundation
Wireshark 1.4.4 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.4.4.html
SEIL シリーズにバッファオーバーフローの脆弱性
SEIL シリーズの PPP アクセスコンセントレータ (PPPAC) 機能には、
PPPoE パケットの受信処理に起因するバッファオーバーフローの脆弱性
があります。結果として、該当製品へアクセス可能な第三者が任意のコー
ドを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- SEIL/x86 ファームウェア 1.00 から 1.61 まで
- SEIL/B1 ファームウェア 1.00 から 3.11 まで
- SEIL/X1 ファームウェア 1.00 から 3.11 まで
- SEIL/X2 ファームウェア 1.00 から 3.11 まで
- SEIL/Turbo ファームウェア 1.80 から 2.10 まで
- SEIL/neu 2FE Plus ファームウェア 1.80 から 2.10 まで
この問題は、インターネットイニシアティブ (IIJ) が提供する修正済み
のバージョンに、ファームウェアを更新することで解決します。詳細に
ついては、IIJ が提供する情報を参照してください。
インターネットイニシアティブ サポート&技術情報
PPPAC機能におけるPPPoE受信処理の脆弱性
http://www.seil.jp/support/security/a01001.html
独立行政法人 情報処理推進機構 セキュリティセンター
「SEIL シリーズ」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110228_3.html
シングスの複数の CGI 製品にクロスサイトスクリプティングの脆弱性
シングスの複数の CGI 製品には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- 掲示板「BBS」バージョン 2.0.2 およびそれ以前
- スレッド掲示板「BBS Thread」バージョン 2.0.2 およびそれ以前
この問題は、シングスが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、シングスが提供する
情報を参照してください。
シングス
掲示板「BBS」
http://www.thingslabo.com/cgi/bbs/download.html
シングス
スレッド掲示板「BBS Thread」
http://www.thingslabo.com/cgi/bbs_thread/download.html
制御システムセキュリティアセスメントツール (日本版SSAT) の提供開始
JPCERT コーディネーションセンターは、制御システムの構築・維持・
運営に携わる関係者向けに、セキュリティ自己評価ツールである日本版
SSAT (SCADA Self Assessment Tool) の提供を開始しました。
日本版 SSAT は、制御システムの構成、および運用上のセキュリティ面
での問題点の洗い出しに役立てることができる Microsoft Excel ベー
スのアセスメントツールです。100 程度の管理項目に関する設問に対し
て、調査対象システムの状況を回答することによって、改善すべき問題
が「見える化」されるため、ベンダと連携した計画的な対策導入にも役
立てることができます。
JPCERT/CC
JPCERT/CCが制御システムセキュリティアセスメントツールの提供を開始
https://www.jpcert.or.jp/press/2011/20110228PR-ssat.pdf
JPCERT/CC
グッド・プラクティス・ガイド プロセス・制御と SCADA セキュリティ
https://www.jpcert.or.jp/ics/information02.html#CPNIGPG
JPCERT/CC: 制御システムセキュリティカンファレンス 2011 講演資料
「セキュリティ評価ツールの取り組み」
https://www.jpcert.or.jp/ics/2011/20110210-arai-sama.pdf
担当ノート: 制御システムセキュリティと制御システムセキュリティカンファレンス
JPCERT/CC では、脆弱性関連情報調整機関の活動の一環として、制御シ
ステムセキュリティ向上のための活動を行っています。
本活動では、制御システムのセキュリティに関する調査活動や、セキュ
リティ対策に役立つ資料の公開を行うと共に「制御システムセキュリティ
情報共有タスクフォース」を組織し、技術情報を中心とした情報共有を
行っています。
また、年に一回、経済産業省と共催で「制御システムセキュリティカン
ファレンス」を開催し、制御システムのベンダ、ユーザ、研究者が一同
に会して、情報を共有し、議論する場を設けることで、制御システムの
セキュリティ対策推進に貢献しています。
今年 2月に開催された「制御システムセキュリティカンファレンス2011」
では、「現実化した脅威とその対策課題」をテーマに掲げ、その具体策
に向けた改善・防御・回復をキーワードとして、関係機関やベンダ、制
御システムのユーザ企業の方々に講演いただきました。
カンファレンスの資料は JPCERT/CC の Web サイトで公開しています。
制御システムに関係する皆様には、これらの公開資料を今後の活動に
役立てていただければ幸いです。また、「制御システムセキュリティ情
報共有タスクフォース」への参加もお待ちしています。
JPCERT/CC
制御システムセキュリティ
https://www.jpcert.or.jp/ics/