-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-4001 JPCERT/CC 2011-10-19 <<< JPCERT/CC WEEKLY REPORT 2011-10-19 >>> ―――――――――――――――――――――――――――――――――――――― ■10/09(日)〜10/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年10月 Microsoft セキュリティ情報について 【2】Apple 製品群に複数の脆弱性 【3】EC-CUBE に SQL インジェクションの脆弱性 【4】DAEMON Tools にサービス運用妨害 (DoS) の脆弱性 【5】WEB FORUM に複数のクロスサイトスクリプティングの脆弱性 【6】GoAhead Webserver にクロスサイトスクリプティングの脆弱性 【7】Pligg にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】マイクロソフトセキュリティインテリジェンスレポート 第11版 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr114001.html https://www.jpcert.or.jp/wr/2011/wr114001.xml ============================================================================ 【1】2011年10月 Microsoft セキュリティ情報について 情報源 US-CERT Technical Cyber Security Alert TA11-284A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA11-284A.html US-CERT Cyber Security Alert SA11-284A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA11-284A.html 概要 Microsoft Windows、Microsoft .NET Framework、Microsoft Silverlight、Internet Explorer などの製品および関連コンポーネント には複数の脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プログ ラムを適用することで解決します。 関連文書 (日本語) Microsoft セキュリティ TechCenter 2011 年 10 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms11-oct Microsoft TechNet Blogs > 日本のセキュリティチーム 2011 年 10 月のセキュリティ情報 (月例) http://blogs.technet.com/b/jpsecurity/archive/2011/10/12/3458676.aspx Japan Vulnerability Notes JVNTA11-284A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA11-284A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS11-075,076,077,078,079,080,081,082) https://www.npa.go.jp/cyberpolice/topics/?seq=7819 JPCERT/CC Alert 2011-10-12 JPCERT-AT-2011-0027 2011年10月 Microsoft セキュリティ情報 (緊急 2件含) に関する注意喚起 https://www.jpcert.or.jp/at/2011/at110027.html 関連文書 (英語) Microsoft Security Research & Defense Assessing the risk of the October 2011 security updates http://blogs.technet.com/b/srd/archive/2011/10/11/assessing-the-risk-of-the-october-2011-security-updates.aspx US-CERT Vulnerability Note VU#619281 Windows font library file buffer overflow http://www.kb.cert.org/vuls/id/619281 【2】Apple 製品群に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA11-286A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA11-286A.html US-CERT Cyber Security Alert SA11-286A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA11-286A.html US-CERT Current Activity Archive Apple Releases iTunes 10.5 http://www.us-cert.gov/current/archive/2011/10/12/archive.html#apple_releases_itunes_10_5 US-CERT Current Activity Archive Apple Releases Multiple Security Updates http://www.us-cert.gov/current/archive/2011/10/12/archive.html#apple_releases_multiple_security_updates 概要 Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、機密情報を取得したり、サービス運用 妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple iTunes 10.5 より前のバージョン - Mac OS X および Mac OS X Server の 10.7.2 より前のバージョン - Mac OS X および Mac OS X Server の 10.6.8 - iOS 5 より前のバージョン - Apple Safari 5.1.1 より前のバージョン - Apple TV 4.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Apple が提供する情報 を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNTA11-286A Apple Mac OS Xにおける複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA11-286A/index.html Japan Vulnerability Notes JVNVU#706419 Apple iTunes における脆弱性に対するアップデート https://jvn.jp/cert/JVNVU706419/index.html Japan Vulnerability Notes JVNVU#177979 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU177979/index.html Japan Vulnerability Notes JVNVU#727187 Apple TV における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU727187/index.html Japan Vulnerability Notes JVNVU#971123 Apple Mac OS Xにおける複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU971123/index.html Japan Vulnerability Notes JVNVU#585859 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU585859/index.html 関連文書 (英語) Apple Support HT4981 About the security content of iTunes 10.5 http://support.apple.com/kb/HT4981?viewlocale=en_US Apple Support HT5002 About the security content of OS X Lion v10.7.2 and Security Update 2011-006 http://support.apple.com/kb/HT5002?viewlocale=en_US Apple Support HT5001 About the security content of Apple TV Software Update 4.4 http://support.apple.com/kb/HT5001?viewlocale=en_US Apple Support HT4999 About the security content of iOS 5 Software Update http://support.apple.com/kb/HT4999?viewlocale=en_US Apple Support HT5004 About the security content of Numbers for iOS v1.5 http://support.apple.com/kb/HT5004?viewlocale=en_US Apple Support HT5003 About the security content of Pages for iOS v1.5 http://support.apple.com/kb/HT5003?viewlocale=en_US Apple Support HT5000 About the security content of Safari 5.1.1 http://support.apple.com/kb/HT5000?viewlocale=en_US 【3】EC-CUBE に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#44496332 EC-CUBE における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN44496332/index.html 概要 ロックオンが提供する EC-CUBE には、SQL インジェクションの脆弱性が あります。結果として、遠隔の第三者が当該製品で管理されている情報 を閲覧する可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.11.0 から 2.11.2 この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。 関連文書 (日本語) 株式会社ロックオン SQLインジェクション http://www.ec-cube.net/info/weakness/weakness.php?id=38 株式会社ロックオン EC-CUBE2.11.3 正式版をリリースいたしました。(2011/10/12) http://www.ec-cube.net/release/detail.php?release_id=286 独立行政法人 情報処理推進機構 セキュリティセンター 「EC-CUBE」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20111014.html 【4】DAEMON Tools にサービス運用妨害 (DoS) の脆弱性 情報源 Japan Vulnerability Notes JVN#07414354 DAEMON Tools におけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN07414354/index.html 概要 DAEMON Tools には、サービス運用妨害 (DoS) の脆弱性があります。結 果として、当該ソフトウエアを実行しているシステムにログイン可能な 第三者が、そのシステムをクラッシュさせる可能性があります。 対象となるバージョンは以下の通りです。 - DAEMON Tools Lite 4.41.3 より前のバージョン - DAEMON Tools Pro Standard 4.41.0315 より前のバージョン - DAEMON Tools Pro Advanced 4.41.0315 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに DAEMON Tools を更新 することで解決します。 関連文書 (英語) DAEMON Tools DAEMON Tools free downloads http://www.daemon-tools.cc/eng/downloads 【5】WEB FORUM に複数のクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#36684331 WEB FORUM におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN36684331/index.html Japan Vulnerability Notes JVN#89764731 WEB FORUM におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN89764731/index.html Japan Vulnerability Notes JVN#80971236 WEB FORUM におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN80971236/index.html 概要 KENT-WEB の掲示板ソフトウエア WEB FORUM には、複数のクロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - WEB FORUM 6.3 およびそれ以前 この問題は、KENT-WEB が提供する修正済みのバージョンに WEB FORUM を更新することで解決します。 関連文書 (日本語) KENT-WEB WEB FORUM http://www.kent-web.com/bbs/wforum.html 【6】GoAhead Webserver にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Vulnerability Note VU#384427 GoAhead Webserver multiple stored XSS vulnerabilities http://www.kb.cert.org/vuls/id/384427 概要 GoAhead Webserver には、複数のクロスサイトスクリプティングの脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - GoAhead Webserver 2.18 なお、その他のバージョンも影響を受ける可能性があります。 2011年10月18日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できるホストやネットワークに接続を制限するな どの方法があります。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#384427 GoAhead Webserver にクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU384427/index.html 関連文書 (英語) GoAhead Software GoAhead Webserver http://www.goahead.com/products/webserver/default.aspx 【7】Pligg にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#04013920 Pligg におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN04013920/index.html 概要 コンテンツ管理システム (CMS) Pligg には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Pligg 1.2.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに Pligg を更新す ることで解決します。 関連文書 (英語) Pligg CMS Download Pligg Content Management System http://pligg.com/download/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフトセキュリティインテリジェンスレポート 第11版 マイクロソフトは、2011年上半期の脆弱性やマルウエア動向についてま とめた、マイクロソフトセキュリティインテリジェンスレポートを公開 しました。セキュリティインテリジェンスレポートは、半年ごとに公開 されており、今回は第11版となります。 今回のレポートでは、前回のレポートで急増が報告されていた Java の 悪用コードの検出数が相変わらず高いことや、Adobe Flash Player の脆 弱性を狙う悪用コードの検出数が急増していることが報告されています。 また、マルウエアの感染手法の分類では、ユーザによる何らかの操作が 必要なケースが多いことが報告されています。 参考文献 (日本語) マイクロソフト セキュリティ ホーム マイクロソフト セキュリティ インテリジェンス レポート http://www.microsoft.com/japan/security/contents/sir.mspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOnh8SAAoJEDF9l6Rp7OBImNkH/i+F4rBgrcSI1SMmpcAK2rwc ACsMTh4GtxpPVoPGtzOCmODww42OYY1rypTGHwtb7TdIY0QK8yrWz9UoiRG3b8hq HgaqaObq14gFzZ6zxf2++ZNEwTlJLzxCuIuE0WzqD64GiCcqq4jbZjSaAmnlFJE3 OQm+4/Uss36Wj0ZZSOUJHeMBWkg21WfnUmqNewYYU9YhhUeBag76KQitQu7+MyF2 eRrjfrBvrqDcbSilej8y+LbWH/U0Y58HEf3HmLP2yba0kQ+t+N1YrMBNbigGHA4k hjR1xvkOKhq/jD6t7wAqp6hjD4Q3zy50i8WzrS9KY1lnyBrA9GbbfB/DlcOc2vw= =wzE6 -----END PGP SIGNATURE-----