-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-5001
                                                                   JPCERT/CC
                                                                  2011-12-28

            <<< JPCERT/CC WEEKLY REPORT 2011-12-28 >>>

――――――――――――――――――――――――――――――――――――――
■12/18(日)〜12/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla 製品群に複数の脆弱性
【2】Apache Struts にクロスサイトスクリプティングの脆弱性
【3】Unbound に脆弱性
【4】PukiWiki Plus! にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】23/TCP へのスキャンと telnetd の脆弱性

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr115001.html
        https://www.jpcert.or.jp/wr/2011/wr115001.xml
============================================================================


【1】Mozilla 製品群に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Mozilla Releases Firefox 9 and 3.6.25
      http://www.us-cert.gov/current/archive/2011/12/21/archive.html#mozilla_releases_firefox_9_and

    概要
      Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
      三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
      たり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性
      があります。

      対象となる製品は以下の通りです。

      - Firefox 8.0.1 およびそれ以前
      - Firefox 3.6.24 およびそれ以前
      - Thunderbird 8.0.1 およびそれ以前
      - SeaMonkey 2.6 およびそれ以前

      その他に Mozilla コンポーネントを用いている製品も影響を受ける可能
      性があります。

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに、該当する製品を更新することで解決します。
      		

    関連文書 (日本語)
      Firefox セキュリティアドバイザリ
      Firefox 9 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox9

      Firefox 3.6 セキュリティアドバイザリ
      Firefox 3.6.25 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.25

      Thunderbird セキュリティアドバイザリ
      Thunderbird 9 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird9

      Mozilla Japan ブログ
      Thunderbird の最新版を公開しました
      http://mozilla.jp/blog/entry/7588/

    関連文書 (英語)
      SeaMonkey Release Notes
      SeaMonkey 2.6.1
      http://www.seamonkey-project.org/releases/seamonkey2.6/

      Security Advisories for SeaMonkey
      Fixed in SeaMonkey 2.6
      http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.6

【2】Apache Struts にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#25435092
      Apache Struts におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN25435092/index.html

    概要
      Apache Struts を使用した Web アプリケーションには、クロスサイトス
      クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
      ザのブラウザ上で任意のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Apache Struts 2.2.3 より前のバージョン
      - Apache Struts 2.0.x

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに Apache Struts を更新することで解決します。詳細につい
      ては、各ベンダや配布元が提供する情報を参照してください。
      		

    関連文書 (英語)
      Apache Struts 2 Documentation
      Version Notes 2.3.1
      http://struts.apache.org/2.3.1/docs/version-notes-231.html

      Apache Struts 2 Documentation
      Security Bulletins S2-006
      https://cwiki.apache.org/confluence/display/WW/S2-006

      Apache Software Foundation
      Download a Release Struts 2.3.1
      http://struts.apache.org/download.cgi#struts231

      JC3-CIRC Technical Bulletin U-058
      Apache Struts Conversion Error OGNL Expression Injection Vulnerability
      http://circ.jc3.doe.gov/bulletins/u-058.shtml

【3】Unbound に脆弱性

    情報源
      US-CERT Vulnerability Note VU#209659
      Unbound multiple denial-of-service vulnerabilities
      http://www.kb.cert.org/vuls/id/209659

    概要
      Unbound には、複数の脆弱性があります。結果として、遠隔の第三者が
      サービス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - Unbound version 1.4.0 から 1.4.13 まで
      - Unbound version 1.0.1 から 1.3.4 まで

      この問題は、NLnet Labs が提供する修正済みのバージョンに Unbound
      を更新することで解決します。
      		

    関連文書 (日本語)
      株式会社日本レジストリサービス
      （緊急）Unbound 1.xの脆弱性を利用したサービス不能（DoS）攻撃について - バージョンアップ／緊急パッチの適用を強く推奨 -
      http://jprs.jp/tech/security/2011-12-20-unbound-vuln-multiple-redirection-signed-and-missing-nsec3.html

      日本Unboundユーザ会
      Unbound サービス不能の脆弱性 [ VU#209659 CVE-2011-4528 ]
      http://unbound.jp/news201112192/

      Japan Vulnerability Notes JVNVU#209659
      Unbound にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU209659/index.html

    関連文書 (英語)
      NLnet Labs
      Unbound denial of service vulnerabilities from nonstandard redirection and denial of existence [ VU#209659 CVE-2011-4528 ]
      http://www.unbound.net/downloads/CVE-2011-4528.txt

【4】PukiWiki Plus! にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#76515037
      PukiWiki Plus! におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN76515037/index.html

    概要
      PukiWiki Plus! には、クロスサイトスクリプティングの脆弱性がありま
      す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ
      トを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - PukiWiki Plus! 1.4.7plus-u2-i18n およびそれ以前

      この問題は、配布元が提供する修正済みのバージョンに PukiWiki
      Plus! を更新することで解決します。詳細については、配布元が提供す
      る情報を参照してください。
      		

    関連文書 (日本語)
      PukiWiki Plus!
      XSS脆弱性の修正 -- i18n
      http://pukiwiki.cafelounge.net/plus/?%E9%96%8B%E7%99%BA%E6%97%A5%E8%A8%98%2F2011-12-19


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○23/TCP へのスキャンと telnetd の脆弱性

      FreeBSD プロジェクトと Debian プロジェクトから telnetd の脆弱性に
      関する情報が公開されました。JPCERT/CC のインターネット定点観測シ
      ステムでは、12月5日頃より、主に海外から 23/TCP (telnet) へのスキャ
      ンが増加しており、その理由について調査しているところでした。観測
      されるスキャンは2週間程で減少しましたが、今も散発的に続いています。

      10月には JBoss の脆弱性を狙うワームの感染拡大も発生しており、サー
      バソフトウエアの脆弱性を放置することで被害が拡大しています。公開
      サーバで動作しているソフトウエアの脆弱性情報や、インターネット定
      点観測プロジェクトから公開されているスキャン状況の推移も参考にし
      て、影響があるものについては速やかに対応しましょう。

    参考文献 (日本語)
      JPCERT/CC Weekly Report
      ひとくちメモ: JBoss ワームに注意
      https://www.jpcert.or.jp/wr/2011/wr114201.html#Memo

      JPCERT/CC
      ISDAS 観測結果のグラフ
      https://www.jpcert.or.jp/isdas/graphL.html#link_telnet

    参考文献 (英語)
      The FreeBSD Project
      telnetd code execution vulnerability
      http://security.freebsd.org/advisories/FreeBSD-SA-11:08.telnetd.asc

      Debian
      DSA-2373-1 inetutils -- buffer overflow
      http://www.debian.org/security/2011/dsa-2373


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJO+m+LAAoJEDF9l6Rp7OBIjAcIAJo+LxukVNHOOkpoTxCnxsjj
nKVS18PAQQ4X1psEyZI+RCm0Qjam16K1FWr5WFd/vIoJ8qFsEdQsFcldejkdQH35
7DFiOfaPo9/T/WHwGK1PnlBTJ2kppUF9OfSXDO8PG5oA6jH+RVC8lgMX4PB2O697
oVI4cVtMZGIpntN1CBxjKaXjujqFKHLeXfQERdjVMcRrc1c9T16kRssWMFAC7UR5
MZVVc/y9Emo1aMI/Ux5I6CAA1aBKWV4Xpr05+n/2XqqwCafh10fHTDj+QyzMDlvw
BwyoxoCvLfXTdKVH4XeeSoH/I8woYUbK0EVzRs7sGfZ901U7JP3TO/mQTeYTiVY=
=+ZiT
-----END PGP SIGNATURE-----