<<< JPCERT/CC WEEKLY REPORT 2010-07-07 >>>
■06/27(日)〜07/03(土) のセキュリティ関連情報
目 次
【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
【2】libpng に複数の脆弱性
【3】LibTIFF にバッファオーバーフローの脆弱性
【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】Windows 2000 および XP SP2 の延長サポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102501.txt
https://www.jpcert.or.jp/wr/2010/wr102501.xml
【1】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Adobe Releases Update for Adobe Reader and Adobe Acrobat
http://www.us-cert.gov/current/archive/2010/07/02/archive.html#adobe_releases_update_for_adobe1DOE-CIRC Technical Bulletin T-390
Security updates available for Adobe Reader and Acrobat
http://www.doecirc.energy.gov/bulletins/t-390.shtml
概要
JPCERT/CC WEEKLY REPORT 2010-06-09号【1】で紹介した「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを 2010年6月29日に公開しました。詳細については、Adobe が提供する情 報を参照してください。
関連文書 (日本語)
Adobe TechNote APSB10-15
セキュリティアップデータの公開 APSB10-15:AcrobatおよびAdobe Reader
http://kb2.adobe.com/jp/cps/852/cpsid_85240.html@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=3986JPCERT/CC Alert 2010-06-30 JPCERT-AT-2010-0017
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100017.txtJPCERT/CC WEEKLY REPORT 2010-06-16
【3】「Adobe Flash Player、Reader および Acrobat に脆弱性」に関する追加情報
https://www.jpcert.or.jp/wr/2010/wr102201.html#3JPCERT/CC WEEKLY REPORT 2010-06-09
【1】Adobe Flash Player、Reader および Acrobat に脆弱性
https://www.jpcert.or.jp/wr/2010/wr102101.html#1
関連文書 (英語)
Adobe Security Bulletin APSB10-15
Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-15.html
【2】libpng に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#643615
libpng fails to limit number of rows in header
http://www.kb.cert.org/vuls/id/643615DOE-CIRC Technical Bulletin T-391
libpng Memory Corruption and Memory Leak Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-391.shtml
概要
libpng には、PNG 画像の処理に起因する複数の脆弱性があります。結 果として、遠隔の第三者が細工した PNG 画像を読み込ませることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 対象となるバージョンは以下の通りです。 - libpng 1.4.3 より前の 1.4.x 系 - libpng 1.2.44 より前の 1.2.x 系 - libpng 1.0.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libpng を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#643615
libpng に脆弱性
https://jvn.jp/cert/JVNVU643615/
関連文書 (英語)
libpng.org
libpng
http://www.libpng.org/pub/png/libpng.htmllibpng.org
PNG News from 2010
http://www.libpng.org/pub/png/png2010.html
【3】LibTIFF にバッファオーバーフローの脆弱性
情報源
CERT-FI Reports
CERT-FI Advisory on LibTIFF
http://www.cert.fi/en/reports/2010/vulnerability391068.htmlDOE-CIRC Technical Bulletin T-389
LibTIFF 'TIFFroundup()' Remote Integer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-389.shtml
概要
LibTIFF には、TIFF 画像の処理に起因するバッファオーバーフローの 脆弱性があります。結果として、遠隔の第三者が細工した TIFF 画像を 読み込ませることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - LibTIFF 3.9.3 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに LibTIFF を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
RemoteSensing.org
LibTIFF - TIFF Library and Utilities
http://www.remotesensing.org/libtiff/RemoteSensing.org
TIFF CHANGE INFORMATION
http://www.remotesensing.org/libtiff/v3.9.3.html
【4】Snare Agent の Web インタフェースにクロスサイトリクエストフォージェリの脆弱性
情報源
US-CERT Vulnerability Note VU#173009
Snare Agent web interface cross-site request forgery vulnerabilities
http://www.kb.cert.org/vuls/id/173009
概要
Snare Agent の Web インタフェースには、クロスサイトリクエスト フォージェリの脆弱性があります。結果として、遠隔の第三者が細工し た Web ページを読み込ませることで Snare Agent の設定を変更する可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - Snare for Solaris 3.2.3 およびそれ以前 - Snare for Windows 3.1.7 およびそれ以前 - Snare for Linux 1.5.0 およびそれ以前 - Snare for AIX 1.5.0 およびそれ以前 - Snare for Irix 1.4 およびそれ以前 - Epilog for Windows 1.5.3 およびそれ以前 - Epilog for Unix 1.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#173009
Snare Agent のウェブインターフェースにクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/cert/JVNVU173009/index.html
関連文書 (英語)
InterSect Alliance
Snare - Audit Log and EventLog analysis
http://www.intersectalliance.com/projects/index.html
■今週のひとくちメモ
○Windows 2000 および XP SP2 の延長サポート終了
来週 7月13日に、Windows 2000 (Server および Professional) の延長 サポート期間が終了します。Microsoft は、Windows 2000 Server から の移行支援情報などを提供する「Windows 2000 Server 延長サポート終 了までのカウントダウン」ページを公開しています。 また、Windows XP SP2 も 7月13日に延長サポート期間が終了します。 Windows XP の利用を続ける場合には SP3 を適用してください。 Windows XP SP3 は 2014年4月8日までサポートされる予定です。
参考文献 (日本語)
マイクロソフト
Windows 2000 Server 延長サポート終了までのカウントダウン
http://www.microsoft.com/japan/windowsserver2008/r2/w2k-migration.mspxマイクロソフト
Windows 2000 エンド・オブ・サポート ソリューションセンター
http://support.microsoft.com/ph/1131/jaマイクロソフト
Windows XP Service Pack 2 (SP2)をお使いのお客様へ
http://www.microsoft.com/japan/windows/products/windowsxp/future/sp2.mspx独立行政法人 情報処理推進機構
サポートが終了するWindowsを利用しているシステム管理者への注意喚起
http://www.ipa.go.jp/about/press/20100705.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/