-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-2601
                                                                   JPCERT/CC
                                                                  2011-07-13

            <<< JPCERT/CC WEEKLY REPORT 2011-07-13 >>>

――――――――――――――――――――――――――――――――――――――
■07/03(日)〜07/09(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】ISC BIND に複数の脆弱性
【2】libpng の sCAL チャンク処理に脆弱性
【3】Opera ブラウザに脆弱性
【4】XnView における実行ファイル読み込みに関する脆弱性
【今週のひとくちメモ】ISC BIND のサポート状況について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr112601.html
        https://www.jpcert.or.jp/wr/2011/wr112601.xml
============================================================================


【1】ISC BIND に複数の脆弱性

    情報源
      Internet Systems Consortium
      ISC BIND 9の権威およびキャッシュサーバに対する遠隔サービス妨害攻撃
      https://www.isc.org/software/bind/advisories/cve-2011-2464-JP

      Internet Systems Consortium
      ISC BIND 9に対するRPZ(Response Policy Zone)を用いた遠隔サービス妨害攻撃 
      https://www.isc.org/software/bind/advisories/cve-2011-2465-JP

    概要
      ISC BIND には、複数の脆弱性があります。結果として、遠隔の第三者
      が細工した DNS パケットを処理させることでサービス運用妨害 (DoS) 
      攻撃を行う可能性があります。

      これらの脆弱性のうち一つは、現行サポートされている ISC BIND 9 
      のほぼ全てのバージョンに影響します。詳細は、ISC の情報をご確認
      ください。

      この問題は、使用している OS のベンダや配布元が提供する修正済み
      のバージョンに ISC BIND を更新することで解決します。詳細につい
      ては、各ベンダや配布元が提供する情報を参照してください。
      		

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#142646
      ISC BIND にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU142646/index.html

      Japan Vulnerability Notes JVNVU#137968
      ISC BIND 9.8 系にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU137968/index.html

      株式会社日本レジストリサービス
      （緊急）BIND 9.xの脆弱性を利用したサービス不能（DoS）攻撃について
      http://jprs.jp/tech/security/2011-07-05-bind9-vuln-remote-packet-auth-and-recurse.html

      株式会社日本レジストリサービス
      BIND 9.8.xのResponse Policy Zones（RPZ）機能の実装上のバグによる namedのサービス停止について
      http://jprs.jp/tech/security/2011-07-05-bind98-vuln-rpz-dname.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      DNS サーバ BIND の脆弱性（CVE-2011-2464）について
      http://www.ipa.go.jp/security/ciadr/vul/20110706-bind9.html

      Debian セキュリティ勧告 DSA-2272-1
      bind9 -- サービス拒否攻撃
      http://www.debian.org/security/2011/dsa-2272.ja.html

      JPCERT/CC Alert 2011-07-06 JPCERT-AT-2011-0019
      ISC BIND 9 サービス運用妨害の脆弱性に関する注意喚起
      https://www.jpcert.or.jp/at/2011/at110019.html

    関連文書 (英語)
      US-CERT Vulnerability Note VU#142646
      ISC BIND 9 named denial of service vulnerability
      http://www.kb.cert.org/vuls/id/142646

      US-CERT Vulnerability Note VU#137968
      ISC BIND 9 RPZ zone named denial-of-service vulnerability
      http://www.kb.cert.org/vuls/id/137968

      Red Hat Security Advisory RHSA-2011:0926-1
      Important: bind security update
      https://rhn.redhat.com/errata/RHSA-2011-0926.html

      Ubuntu
      Ubuntu Security Notice USN-1163-1
      http://www.ubuntu.com/usn/usn-1163-1/

【2】libpng の sCAL チャンク処理に脆弱性

    情報源
      US-CERT Vulnerability Note VU#819894
      libpng invalid sCAL chunk processing vulnerability
      http://www.kb.cert.org/vuls/id/819894

    概要
      libpng には、sCAL チャンクの処理に起因する脆弱性があります。結果
      として、遠隔の第三者が細工した PNG ファイルを開かせることでサービ
      ス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - libpng-1.5.4 より前のバージョン
      - libpng-1.4.8 より前のバージョン
      - libpng-1.2.45 より前のバージョン
      - libpng-1.0.55 より前のバージョン

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに libpng を更新することで解決します。
      		

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#819894
      libpng における sCAL チャンクの処理に脆弱性
      https://jvn.jp/cert/JVNVU819894/index.html

    関連文書 (英語)
      PNG Development Group
      PNG reference library: libpng
      http://sourceforge.net/projects/libpng/files/

      PNG Development Group
      [png-mng-implement] 1.2.x: sCAL pointer issue
      http://sourceforge.net/mailarchive/forum.php?thread_name=003101cc2790%24fb5d6e80%24f2184b80%24%40acm.org&forum_name=png-mng-implement

【3】Opera ブラウザに脆弱性

    情報源
      Japan Vulnerability Notes JVN#47757122
      Opera におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN47757122/index.html

    概要
      Opera ブラウザには、エラーページの生成処理に起因する脆弱性があり
      ます。結果として、遠隔の第三者が細工した Web ページを閲覧させる
      ことでサービス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - Opera 11.50 より前のバージョン

      この問題は、Opera が提供する修正済みのバージョンに Opera ブラウ
      ザを更新することで解決します。
      		

    関連文書 (日本語)
      Opera Japan ブログ
      Opera 11.50 (Swordfish) リリース
      http://my.opera.com/chooseopera-Japan/blog/2011/06/28/opera-11-50-swordfish

    関連文書 (英語)
      Opera Software
      Advisory: Issue with error pages can cause a system crash
      http://www.opera.com/support/kb/view/996/

      Opera Software
      Opera 11.50 for Windows changelog
      http://www.opera.com/docs/changelogs/windows/1150/

【4】XnView における実行ファイル読み込みに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#17844633
      XnView における実行ファイル読み込みに関する脆弱性
      https://jvn.jp/jp/JVN17844633/index.html

    概要
      画像管理ソフト XnView には、実行ファイル読み込み時の検索パスの問
      題に起因する脆弱性があります。結果として、第三者が細工した実行ファ
      イルを読み込ませることで、プログラムを実行している権限で任意のコー
      ドを実行する可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - XnView 1.98.1 より前のバージョン

      この問題は、XnView が提供する修正済みのバージョンに XnView を更
      新することで解決します。
      		

    関連文書 (日本語)
      JPCERT/CC WEEKLY REPORT 2010-09-01 号
      【1】Windows プログラムの DLL 読み込み処理に脆弱性
      https://www.jpcert.or.jp/wr/2010/wr103301.html#1

    関連文書 (英語)
      XnView
      Download
      http://www.xnview.com/en/download.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○ISC BIND のサポート状況について

      ISC BIND に関する脆弱性情報が公開されると、サポートが終了したバー
      ジョンへの影響について、お問い合わせをいただくことがあります。

      サポートが終了した ISC BIND は、セキュリティ対応が行われないため、
      安定した運用を行うことが困難となります。サポートの終了が宣言された
      バージョンをお使いの場合は、サポートが有効なバージョンに移行するこ
      とをお勧めします。

      Linux など配布元が提供する BIND をお使いの場合は、配布元のサポート
      状況もご確認下さい。

    参考文献 (英語)
      ISC
      BIND software version status
      http://www.isc.org/software/bind/versions

      ISC
      BIND Vulnerability Matrix | Internet Systems Consortium
      http://www.isc.org/software/bind/security/matrix


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJOHPDXAAoJEDF9l6Rp7OBIj+sH/03B+F+560Bc7rEWa+MzSQ1A
57YP4GBP3XU4ufey1bAtv2+bUcVJI+WkaCuGPXmr465jtDZlBiwN6BpfmcLt28Ts
/lKRFMgU114Ws/D12zVKLQczsOzlmTBI0yLQo6YQCFgYob6S9f2zLMuR5j6QCEVo
da54aTKFPLjPA3MvSq0FCrEYd+jmX3ICUMwBqwa9Hny56IhN+QdH7NPq2nI6LcAb
dEJNcatty09lJEpQhqH9laMO7eEtecUN/Dwj9FgMW+jcGHnAV/+XLh9UR/AvUifT
Pgcgt2Vbc7gwQkGa66DKErJbAHnJbN5+oYM7u+RWYBNMykWXu2cgDCZsENouDZw=
=VvOx
-----END PGP SIGNATURE-----