-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-4201 JPCERT/CC 2012-10-31 <<< JPCERT/CC WEEKLY REPORT 2012-10-31 >>> ―――――――――――――――――――――――――――――――――――――― ■10/21(日)〜10/27(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Exim に脆弱性 【2】Safari においてリモートからローカルファイルを読み取り可能な脆弱性 【3】Adobe Shockwave Player に複数の脆弱性 【4】複数の DomainKeys Identified Mail (DKIM) 実装に問題 【5】Java セキュアコーディングセミナー@福岡 参加者募集中 【今週のひとくちメモ】Adobe Acrobat/Adobe Reader XI リリースと 9 のサポート期間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr124201.html https://www.jpcert.or.jp/wr/2012/wr124201.xml ============================================================================ 【1】Exim に脆弱性 情報源 exim-announce Exim 4.80.1 Security Release http://www.exim.org/lurker/message/20121026.080330.74b9147b.en.html 概要 Exim には脆弱性があります。遠隔の第三者が、細工したメールを送りつけるこ とにより、Exim サーバ上で任意のコードを実行する可能性があります。 影響を受けるバージョンは以下の通りです。 - Exim 4.70 から 4.80 までのバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Exim サーバを更新することで解決します。詳細については、各ベンダや 配布元が提供する情報を参照してください。 関連文書 (日本語) Debian exim 4 -- ヒープベースのバッファオーバフロー http://www.debian.org/security/2012/dsa-2566.ja.html 【2】Safari においてリモートからローカルファイルを読み取り可能な脆弱性 情報源 Japan Vulnerability Notes JVN#42676559 Safari においてリモートからローカルファイルを読み取り可能な脆弱性 https://jvn.jp/jp/JVN42676559/index.html 概要 Apple が提供する Safari には、リモートからローカルファイルを読み取り可 能な脆弱性があります。結果として、細工された HTML ドキュメントをローカ ルファイルとして開くことで、遠隔の第三者にアクセスを許可していないファ イルを取得される可能性があります。 対象となるバージョンは以下の通りです。 - Safari 6.0.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Apple Support Safari 6.0.1 のセキュリティコンテンツについて http://support.apple.com/kb/HT5502?viewlocale=ja_JP 【3】Adobe Shockwave Player に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#872545 Adobe Shockwave 11.6.7.637 contains multiple exploitable vulnerabilities http://www.kb.cert.org/vuls/id/872545 概要 Adobe Shockwave Player には複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Shockwave 11.6.7.637 およびそれ以前のバージョン この問題は、Adobe が提供する修正済みのバージョンに Shockwave Player を 更新することで解決します。詳細については、Adobe が提供する情報を参照し て下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#872545 Adobe Shockwave Player に複数の脆弱性 https://jvn.jp/cert/JVNVU872545/index.html Adobe Shockwave Player Help APSB12-23: Adobe Shockwave Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/shockwave/kb/cq10231724.html 【4】複数の DomainKeys Identified Mail (DKIM) 実装に問題 情報源 US-CERT Vulnerability Note VU#268267 DomainKeys Identified Mail (DKIM) Verifiers may inappropriately convey message trust http://www.kb.cert.org/vuls/id/268267 概要 複数の DomainKeys Identified Mail (DKIM) 実装において、テストモードが指 定されているメッセージの扱いが仕様に反していることが報告されました。結 果として、テストモードが指定されている DKIM 署名メールが、通常の DKIM 署名メールと同様に扱われる可能性があります。また、DKIM 署名に使われる鍵 が 1024 ビット未満になっている例も報告されています。 システム管理者は、実運用環境で DKIM のテストモードが使用できないように 設定してください。また、DKIM 署名を行う際は 1024ビット以上の RSA 鍵を使 用して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#268267 複数の DomainKeys Identified Mail (DKIM) 実装に問題 https://jvn.jp/cert/JVNVU268267/index.html 【5】Java セキュアコーディングセミナー@福岡 参加者募集中 情報源 JPCERT/CC Java セキュアコーディングセミナー@福岡のご案内 https://www.jpcert.or.jp/event/securecoding-FUK201212-seminar.html 概要 JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催して います。このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュア コーディングについて、より実践的に学んでいただける内容となっています。 現在、福岡を会場として開催する「Java セキュアコーディングセミナー@福岡」 の参加者を募集しています。ふるってご参加ください。 なお、参加者多数の場合はお申し込み先着順となります。 [日時] 2012年12月9日(日) 10:30 - 16:00 [会場] リファレンス駅東ビル 会議室D 福岡市博多区博多駅東1丁目16-14 (MAP) http://www.re-rental.com/map.html [定員] 40名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成とセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン 関連文書 (日本語) JPCERT/CC Java セキュアコーディングセミナー@福岡 お申し込み https://www.jpcert.or.jp/event/securecoding-FUK201212-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Adobe Acrobat/Adobe Reader XI リリースと 9 のサポート期間 Adobe Acrobat および Adobe Reader XI がリリースされました。このバージョ ンでは、保護モードや ASLR に関する機能が強化されています。また、Adobe Acrobat および Adobe Reader 9 のサポート期間は 2013年6月までとされてい ます。 サポート期間の終了前に更新作業が完了するよう、計画をたてましょう。 参考文献 (英語) Adobe Secure Software Engineering Team Blog New Security Capabilities in Adobe Reader and Acrobat XI Now Available! http://blogs.adobe.com/asset/2012/10/new-security-capabilities-in-adobe-reader-and-acrobat-xi-now-available.html Adobe Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQkHqZAAoJEDF9l6Rp7OBILbUIAKpKZRQxJynEm8CtG4tdr4nc N/rx2f9BDy80r8rnghn0b+Pql6wQgKeDBAX1ETP1f6ioMkuFqLGjeyQGrc9K7eXp bTRheXXA3OU8qvLyLLiuHzrq3ejMBqXqJrwgBTauZel7EbmdtSgv433G1A9BjC50 MWsnmOABNvMAohuq0JLwmIFolS7F97Ncj/IOzWA7s8wntkGYZd1m36YB7zhBqTF0 fURDMoKpNp4oqRf/9pzASIRohDpCpjJ+VEUku28Z6VFEH1CuWc7O38Avmz/CU5sa I0zPg2zUQCjJNiz995DqcZ2zref//48VXbZcifLvR/H7P3nI5hRzm9UV2kRvRGE= =M010 -----END PGP SIGNATURE-----