-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-1001 JPCERT/CC 2011-03-16 <<< JPCERT/CC WEEKLY REPORT 2011-03-16 >>> ―――――――――――――――――――――――――――――――――――――― ■03/06(日)〜03/12(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年3月 Microsoft セキュリティ情報について 【2】Apple 製品群に複数の脆弱性 【3】複数の STARTTLS 実装に脆弱性 【4】Google Chrome に複数の脆弱性 【5】「IBM の複数の製品に脆弱性」に関する追加情報 【6】OTRS に OS コマンドインジェクションの脆弱性 【今週のひとくちメモ】東北地方太平洋沖地震 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr111001.html https://www.jpcert.or.jp/wr/2011/wr111001.xml ============================================================================ 【1】2011年3月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA11-067A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA11-067A.html US-CERT Cyber Security Alert SA11-067A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA11-067A.html 概要 Microsoft Windows、Office などの製品および関連コンポーネントには 複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨 害 (DoS) 攻撃を行ったり、ファイルやシステムに対して不正にアクセ スしたりする可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。詳細についてはマイクロソフトが 提供する情報を参照してください。 関連文書 (日本語) 2011 年 3 月のセキュリティ情報 https://www.microsoft.com/japan/technet/security/bulletin/ms11-mar.mspx Japan Vulnerability Notes JVNTA11-067A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA11-067A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS11-015,016,017) https://www.npa.go.jp/cyberpolice/topics/?seq=5927 JPCERT/CC Alert 2011-03-09 JPCERT-AT-2011-0006 2011年3月 Microsoft セキュリティ情報 (緊急 1件含) に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110006.txt 【2】Apple 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Java Updates for Mac OS X 10.5 and OS X 10.6 http://www.us-cert.gov/current/archive/2011/03/11/archive.html#apple_releases_java_updates_for3 US-CERT Current Activity Archive Apple Releases iOS 4.3 http://www.us-cert.gov/current/archive/2011/03/11/archive.html#apple_releases_ios_4_3 US-CERT Current Activity Archive Apple Releases Safari 5.0.4 http://www.us-cert.gov/current/archive/2011/03/11/archive.html#apple_releases_safari_5_04 概要 Apple の製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Java for Mac OS X 10.6 Update 4 より前のバージョン - Java for Mac OS X 10.5 Update 9 より前のバージョン - iOS 4.3 より前のバージョン - Apple Safari 5.0.4 より前のバージョン - Apple TV 4.2 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Download Java for Mac OS X 10.5 アップデート 9 http://support.apple.com/kb/DL1359?viewlocale=ja_JP Apple Download Java for Mac OS X 10.6 アップデート 4 http://support.apple.com/kb/DL1360?viewlocale=ja_JP Apple Download Safari 5.0.4 http://support.apple.com/kb/DL1070?viewlocale=ja_JP Japan Vulnerability Notes JVNVU#584356 Java for Mac OS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU584356/index.html Japan Vulnerability Notes JVNVU#867452 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU867452/index.html Japan Vulnerability Notes JVNVU#643615 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU643615/index.html Japan Vulnerability Notes JVNVU#574588 Apple TV における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU574588/index.html 関連文書 (英語) Apple Apple security updates http://support.apple.com/kb/HT1222?viewlocale=en_US 【3】複数の STARTTLS 実装に脆弱性 情報源 US-CERT Vulnerability Note VU#555316 STARTTLS plaintext command injection vulnerability http://www.kb.cert.org/vuls/id/555316 概要 複数の STARTTLS の実装には、暗号文通信への切り替えがアプリケー ションより下位の層で行われていることに起因する脆弱性があります。 結果として、遠隔の第三者が中間者攻撃 (man-in-the-middle attack) によって、コマンドを挿入する可能性があります。なお、本脆弱性は、 証明書の検証を行っている実装のみが関連しています。 対象となる製品については、上記情報源を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#555316 複数の STARTTLS 実装に脆弱性 https://jvn.jp/cert/JVNVU555316/index.html 【4】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 10.0.648.133 http://www.us-cert.gov/current/archive/2011/03/14/archive.html#google_releases_chrome_10_01 DOE-CIRC Technical Bulletin T-574 Google Chrome Multiple Flaws Let Remote Users Execute Arbitrary Code http://www.doecirc.energy.gov/bulletins/t-574.shtml 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 10.0.648.133 より前のバージョン この問題は、Google が提供する修正済みのバージョンに、Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Chrome Stable Release http://googlechromereleases.blogspot.com/2011/03/stable-and-beta-channel-updates.html 【5】「IBM の複数の製品に脆弱性」に関する追加情報 情報源 Japan Vulnerability Notes JVN#81294135 IBM Tivoli 製品におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN81294135/index.html 概要 JPCERT/CC WEEKLY REPORT 2011-03-09 号【3】で紹介した「IBM の複数 の製品に脆弱性」に関する追加情報です。 IBM は、IBM Tivoli 製品に対する情報および解決策をリリースしました。 詳細については、下記関連文書を参照してください。 関連文書 (日本語) IBM 【重要情報】Tivoli製品におけるJRE/JDKの脆弱性について http://www-06.ibm.com/jp/domino01/mkt/cnpages2.nsf/page/default-000B7AFF IBM IBMソフトウェア製品におけるJava脆弱性に関するお知らせ http://www.ibm.com/software/jp/java-cve20104476/index.html JPCERT/CC WEEKLY REPORT 2011-03-09 号 【3】IBM の複数の製品に脆弱性 https://www.jpcert.or.jp/wr/2011/wr110901.html#3 【6】OTRS に OS コマンドインジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#73162541 OTRS における OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN73162541/index.html 概要 OTRS プロジェクトが提供する OTRS には、OS コマンドインジェクショ ンの脆弱性があります。結果として、遠隔の第三者が OTRS の実行権限 で任意の OS コマンドを実行する可能性があります。 関連文書 (英語) OTRS: Open Source Help Desk and IT Service Management Solution Download OTRS 3.0 http://otrs.org/downloads/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○東北地方太平洋沖地震 2011年3月11日東北地方太平洋沖地震が発生しました。被害に遭われた 皆様には心よりお見舞いを申しあげます。 今もまだ不明となっている皆様方の無事、そして一刻も早い捜索と救助 の進展を願っております。また、厳しい寒さの中、被災地において救助 活動に従事されている方々に、心から敬意を表したいと思います。 なお、今回の震災を受け、世界各国の関係機関の方々から、たくさんの 温かいメッセージをいただいております。 このような支援に応えるべく、我々もしっかりと職責を果たし、このよ うな事態に乗じた攻撃や不正行為に対処して参ります。 関係各位のご協力を引き続きよろしくお願いいたします。 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJNgA2jAAoJEDF9l6Rp7OBImToH/Av+G9Xz9x1eu9twFB5HunlW U+hICeOjFGsog8UCu7NW74vuLEGZcivBPLqupqNuRVajMRtpXMItFIQxy01KMgmQ xoTYQhe39r2CcnClvkUXRVg13DT0pUCxaf4UKaAYhfVcsuXO2+673EIDSk2ehLew GPhNFauqSXmaeVyKpsPxVPKuNP0d5kKDRoSeyRcnsVSoqd6djxk6fytAQMqKdO+7 8kpa95Ch7sQ4w398/eY1tVFqx5Kb35EClL0YtSQSMs6Y4qkcxz5Jpc7lCEaD3w2N VkAENSCsI7saRIZXW1mFQw3HDEjGBcOIZuy96koMCf5YCarqEbcxA3j3u4nuB/4= =F10N -----END PGP SIGNATURE-----