-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-3701 JPCERT/CC 2011-09-28 <<< JPCERT/CC WEEKLY REPORT 2011-09-28 >>> ―――――――――――――――――――――――――――――――――――――― ■09/18(日)〜09/24(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に複数の脆弱性 【2】Google Chrome に複数の脆弱性 【3】libpng の cHRM チャンク処理に脆弱性 【4】Cisco Identity Services Engine に脆弱性 【5】AmmSoft ScriptFTP にバッファオーバーフローの脆弱性 【今週のひとくちメモ】Apache HTTP Server の脆弱性 (CVE-2011-3192) の対策はお済みですか? ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr113701.html https://www.jpcert.or.jp/wr/2011/wr113701.xml ============================================================================ 【1】Adobe Flash Player に複数の脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Advisory for Adobe Flash Player http://www.us-cert.gov/current/archive/2011/09/22/archive.html#adobe_prenotification_security_advisory_for3 概要 Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔 の第三者が細工したコンテンツをユーザに開かせることで任意のコード を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりす る可能性があります。なお、Adobe によると、本脆弱性を使用した攻撃 活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player 10.3.183.7 およびそれ以前 - Android 版 Adobe Flash Player 10.3.186.6 およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player を更新することで解決します。詳細については、Adobe が提供す る情報を参照してください。 なお、本脆弱性は Adobe Reader、Acrobat に含まれる Adobe Flash Player も影響を受けますが、JPCERT/CC WEEKLY REPORT 2011-09-22 号 【2】「Adobe の複数の製品に脆弱性」で紹介した、2011年9月13日に公 開された Adobe Reader、Acrobat の最新のバージョンで修正されていま す。 関連文書 (日本語) Adobe セキュリティ速報 APSB11-26: Adobe Flash Player に関するセキュリティアップデート公開 http://www.adobe.com/jp/joc/security/apsb11-26.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=7686 JPCERT/CC Alert 2011-09-22 JPCERT-AT-2011-0026 Adobe Flash Player の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110026.html JPCERT/CC WEEKLY REPORT 2011-09-22 【2】Adobe の複数の製品に脆弱性 https://www.jpcert.or.jp/wr/2011/wr113601.html#2 関連文書 (英語) Adobe - Security Bulletins APSB11-24: Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb11-24.html 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 14.0.835.163 http://www.us-cert.gov/current/archive/2011/09/21/archive.html#google_releases_chrome_14_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 14.0.835.186 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。なお、Google Chrome 14.0.835.186 には、上記【1】「Adobe Flash Player に複数の脆弱性」 の問題に対する修正が含まれます。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_20.html Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html 【3】libpng の cHRM チャンク処理に脆弱性 情報源 US-CERT Vulnerability Note VU#477046 libpng malformed cHRM divide-by-zero vulnerability http://www.kb.cert.org/vuls/id/477046 概要 libpng には、cHRM チャンクの処理に起因する脆弱性があります。結果 として、遠隔の第三者が細工した PNG ファイルを開かせることでサービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - libpng-1.5.4 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#477046 libpng における cHRM チャンクの処理に脆弱性 https://jvn.jp/cert/JVNVU477046/index.html 関連文書 (英語) PNG Development Group PNG reference library: libpng http://sourceforge.net/projects/libpng/files/ PNG Development Group [png-mng-announce] libpng-1.5.5 is available http://sourceforge.net/mailarchive/message.php?msg_id=28126826 【4】Cisco Identity Services Engine に脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for Identity Services Engine http://www.us-cert.gov/current/archive/2011/09/22/archive.html#cisco_releases_security_advisory_for27 概要 Cisco Identity Services Engine には、脆弱性があります。結果とし て、遠隔の第三者がデバイスの設定を変更したり、任意の操作を行った りする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Identity Services Engine 1.0.4.MR2 より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに、Cisco Identity Services を更新することで解決します。なお、修正済みのバー ジョンは 2011年9月30日 (米国時間) に公開する予定とのことです。詳 細については、Cisco が提供する情報を参照してください。 関連文書 (日本語) Cisco Security Advisory cisco-sa-20110920-ise Cisco Identity Services Engine Database Default Credentials Vulnerability http://www.cisco.com/cisco/web/support/JP/110/1108/1108580_cisco-sa-20110920-ise-j.html 関連文書 (英語) Cisco Security Advisory cisco-sa-20110920-ise Cisco Identity Services Engine Database Default Credentials Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95105.shtml Cisco Applied Mitigation Bulletin 113257 Identifying and Mitigating Exploitation of the Cisco Identity Services Engine Database Default Credentials Vulnerability http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b95110.html 【5】AmmSoft ScriptFTP にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#440219 AmmSoft ScriptFTP 3.3 client remote buffer overflow vulnerability http://www.kb.cert.org/vuls/id/440219 概要 AmmSoft ScriptFTP には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者がプログラムを実行している権限で任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - AmmSoft ScriptFTP 3.3 なお、他のバージョンも影響を受ける可能性があります。 2011年9月27日現在、この問題に対する解決策は提供されていません。回 避策としては、信頼できない FTP サーバにアクセスしない、Enhanced Mitigation Experience Toolkit (EMET) を利用する、Data Execution Prevention (DEP) を有効にするなどの方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#440219 AmmSoft ScriptFTP にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU440219/index.html 関連文書 (英語) AmmSoft Automated FTP client. ScriptFTP http://www.scriptftp.com/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Apache HTTP Server の脆弱性 (CVE-2011-3192) の対策はお済みですか? Web インタフェースを実装する様々な製品で、Apache HTTP Server が使 用されています。これらの製品では、先日公開された Apache HTTP Server の脆弱性 (CVE-2011-3192) の影響を受ける可能性があり、開発 ベンダーは対策版の提供を順次行っています。 利用している製品が影響を受けないか、またベンダから対策版が提供さ れていないか確認し、適切な対処を実施してください。 参考文献 (日本語) Japan Vulnerability Notes JVNVU#405811 Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/cert/JVNVU405811/index.html SonicWall Japan SonicWALL SSL-VPN 製品と CVE-2011-3192 脆弱性について http://www.fuzeqna.com/sonicwalljp/consumer/kbdetail.asp?kbid=4280&catID1=456&start=11 参考文献 (英語) Oracle CVE-2011-3192 Denial of Service (DoS) vulnerability in Apache HTTP Server http://blogs.oracle.com/sunsecurity/entry/cve_2011_3192_denial_of Check Point Support Center Check Point Response to Apache HTTP Server CVE-2011-3192 Denial Of Service Vulnerability https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65222 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOgnG9AAoJEDF9l6Rp7OBItjUH/i4BAl0vOYveNHsQouA1INlh zuzaAf0hmqnedLwPVha3+Irzeixsla71+Bht1L921Le9+fyyfruECwix71q3/5ty CAYvfx3BWNhB3FelaDrx0EovpxCMxC8rVxT3uWTA+jDcRO8UwAsk1XAztDitophk syauqIEiHpgmstYRMoKwLxv9rQ8ujrEC1Fb6eWa7nDMiNpL1BLsj5a42Efue6XAB UdG3+Cd1RcZXLZ5M2Nb5Lwgpf+e0DYReMsLu2PvC9ICd9Hvc6QWQdHLWvmLH95Ei LwpQI26q0LLBSS50r4Sgnj+rGnknPFDhG6F4DWDrzfKsAKbUoSfWshZH/abasuw= =/e0V -----END PGP SIGNATURE-----