<<< JPCERT/CC WEEKLY REPORT 2009-03-25 >>>
■03/15(日)〜03/21(土) のセキュリティ関連情報
目 次
【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性
【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性
【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性
【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起
【今週のひとくちメモ】担当ノート: CanSecWest 2009
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr091201.txt
https://www.jpcert.or.jp/wr/2009/wr091201.xml
【1】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Security Bulletin
http://www.us-cert.gov/current/archive/2009/03/19/archive.html#adobe_releases_security_advisory
概要
JPCERT/CC REPORT 2009-02-25 号【1】および JPCERT/CC REPORT 2009-03-18 号【2】で紹介した「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報です。 Adobe Reader 8 および Acrobat 8 と Adobe Reader 7 および Acrobat 7 の修正済みのバージョンが提供されました。詳細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC REPORT 2009-02-25
【1】Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2009/wr090801.html#1JPCERT/CC REPORT 2009-03-18
【2】「Adobe Reader および Adobe Acrobat にバッファオーバーフローの脆弱性」に関する追加情報
http://www.jpcert.or.jp/wr/2009/wr091101.html#2JPCERT/CC Alert 2009-03-11
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2009/at090006.txt
関連文書 (英語)
Adobe Security Bulletin APSB09-04
Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-04.html
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
情報源
DOE-CIRC Technical Bulletin T-085
Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -07 -08 -09 and -11 Multiple Remote Vulnerabilities
http://www.doecirc.energy.gov/ciac/bulletins/t-085.shtml
概要
JPCERT/CC REPORT 2009-03-11【1】で紹介した「Mozilla 製品群に複数 の脆弱性」に関する追加情報です。 Thunderbird および SeaMonkey の修正済みのバージョンが提供されま した。詳細については、下記関連文書が提供する情報を参照してくださ い。
関連文書 (日本語)
Mozilla Japan
Mozilla Thunderbird 2.0.0.21 リリースノート
http://mozilla.jp/thunderbird/2.0.0.21/releasenotes/JPCERT/CC REPORT 2009-03-11
【1】Mozilla 製品群に複数の脆弱性
http://www.jpcert.or.jp/wr/2009/wr091001.html#1
関連文書 (英語)
SeaMonkey Project
SeaMonkey 1.1.15 Security Release
http://www.seamonkey-project.org/news#2009-03-18
【3】BIND の DLV (DNSSEC Lookaside Validation) の処理に脆弱性
情報源
ISC | Internet System Consortium
Security Patch for Users of BIND version 9.5.x or 9.4.x AND DLV
https://www.isc.org/node/437
概要
BIND の DLV (DNSSEC Lookaside Validation) の処理には脆弱性があり ます。未知の署名アルゴリズムが使用されている場合に、署名なしと同 等に処理するべきところ、検証失敗として処理してしまう問題がありま す。 ISC からは、この問題の対策として以下のバージョンがリリースされて います。 - BIND 9.4.3-P2 - BIND 9.5.1-P2 - BIND 9.6.1b1 この問題は、ISC が提供する修正済のバージョンに、BIND を更新する ことで解決します。なお、この問題は DNSSEC を使用していない場合は 影響を受けません。
関連文書 (英語)
ISC | Internet System Consortium
BIND
https://www.isc.org/downloadables/11
【4】Autonomy KeyView SDK にバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#276563
Autonomy KeyView SDK buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/276563US-CERT Current Activity Archive
Autonomy KeyView SDK Vulnerability
http://www.us-cert.gov/current/archive/2009/03/19/archive.html#autonomy_keyview_sdk_vulnerability
概要
Autonomy KeyView SDK には、Word Perfect 文書の処理に起因するバッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が 細工した Word Perfect 文書を処理させることで、任意のコードを実行 したり、システムをクラッシュさせたりする可能性があります。 対象となるバージョンは以下の通りです。 - Autonomy KeyView SDK 10.4 およびそれ以前 なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes および Symantec の複数の製品にも影響します。詳細については、下記 関連文書を参照してください。 この問題は、各ベンダが提供する修正済みのバージョンに、該当する製 品を更新することで解決します。
関連文書 (英語)
Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.htmlIBM
Potential Security Issue with Lotus Notes File Viewer for WordPerfect
http://www-01.ibm.com/support/docview.wss?uid=swg21377573Symantec Security Advisory SYM09-004
Symantec Products Update Vulnerable Autonomy KeyView Module
http://www.symantec.com/avcenter/security/Content/2009.03.17a.html
【5】futomi's CGI Cafe の高機能アクセス解析 CGI にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#23558374
futomi's CGI Cafe 製高機能アクセス解析CGI Standard 版 (Ver. 3.x 系) におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN23558374/index.html
概要
futomi's CGI Cafe の高機能アクセス解析 CGI には、クロスサイトス クリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - 高機能アクセス解析 CGI Standard 版 Ver 3.8.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに高機能アクセス 解析 CGI を更新することで解決します。
関連文書 (日本語)
futomi's CGI Cafe
高機能アクセス解析CGI Standard版(Ver 3.x系)におけるクロスサイトスクリプティングの脆弱性について
http://www.futomi.com/library/info/2009/20090316.html
【6】古いソフトウェア製品を利用しているウェブサイトへの注意喚起
情報源
独立行政法人 情報処理推進機構 セキュリティセンター
古いソフトウェア製品を利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200903_update.html
概要
IPA は、既に公開されている脆弱性対策を適用していないとみられるウェ ブサイトに関する届出が増加している状況をうけ、3月17日に、ウェブ サイト運営者を対象として注意喚起を公開しました。 具体的には、2004年12月に公表された Namazu に関する脆弱性や 2005 年10月に公表された OpenSSL の脆弱性に関する届出が増加していると のことです。 これらの製品に限らず、自組織のウェブサイトが使用しているソフトウ エアの脆弱性対策情報を収集し、パッチの迅速な適用をこころがけるよ う勧めています。
関連文書 (日本語)
Japan Vulnerability Notes JVN#904429FE
Namazu におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN904429FE/Japan Vulnerability Notes JVN#23632449
OpenSSL におけるバージョン・ロールバックの脆弱性
http://jvn.jp/jp/JVN23632449/
■今週のひとくちメモ
○担当ノート: CanSecWest 2009
普段の JPCERT/CC REPORT ではとりあげてこなかったセキュリティ関連 のコミュニティの活動やちょっとした豆知識についても今後は範囲をひ ろげ、「担当ノート」と称して不定期にお送りしていきます。 今回は、当レポート担当者が参加したセキュリティカンファレンス CanSecWest 2009 についての報告をお送りします。 ◇ ◇ ◇ 昨年に続き、先週カナダのバンクーバーで行われた CanSecWest という カンファレンスに参加してきました。海外のセキュリティカンファレン スというと規模と歴史から米国の BlackHat や DEFCON が有名ですが、 CanSecWest も今年で 10回目を迎える人気のカンファレンスです。 通常大規模なカンファレンスでは並行して幾つかの発表が行われ、参加 者は自分の聞きたいセッションを選びますが、CanSecWest では発表が ひとつの部屋で行われます。全ての参加者が全日程同じ発表を聞くため でしょうか、アットホームな雰囲気で参加者同士の交流もさかんです。 ここ数年 CanSecWest では PWN2OWN というコンテストを行っています。 PWN2OWN は最新のセキュリティパッチをあてたブラウザやスマートフォ ンの脆弱性を最初に見つけた参加者に、そのノートパソコンやスマート フォンを贈るというコンテストです。有名セキュリティベンダーがスポ ンサーし、脆弱性の内容によって賞金も与えられます。脆弱性に値段が 付けられ、高額で取引される時代を象徴するコンテストといえます。 今年の PWN2OWN では、昨年 MacBook を獲得した研究者がわずか数秒で Safari への攻撃を成功させたことと、別の研究者が Windows 7 上の IE8 と Firefox と Safari の全てを攻略したことが会場での話題とな りました。 また Twitter での CanSecWest に関する発言は常時会場横のスクリー ンに表示されており、発表中に参加者から Twitter を使って鋭く指摘 がされるなど、発表者と参加者の新しいコミュニケーションの形がみら れました。
参考文献 (英語)
CanSecWest Applied Security Conference
http://cansecwest.com/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/