<<< JPCERT/CC WEEKLY REPORT 2011-05-25 >>>
■05/15(日)〜05/21(土) のセキュリティ関連情報
目 次
【1】Opera ブラウザに脆弱性
【2】OpenSSL の実装に問題
【3】SmarterTools の Web サーバに複数の脆弱性
【4】RADVISION iVIEW Suite に SQL インジェクションの脆弱性
【5】第9回迷惑メール対策カンファレンス
【今週のひとくちメモ】Windows Vista SP1 サポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr111901.txt
https://www.jpcert.or.jp/wr/2011/wr111901.xml
【1】Opera ブラウザに脆弱性
情報源
DOE-CIRC Technical Bulletin T-625
Opera Frameset Handling Memory Corruption Vulnerability
http://www.doecirc.energy.gov/bulletins/t-625.shtml
概要
Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が 細工した Web ページを閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.11 より前のバージョン この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザ を更新することで解決します。
関連文書 (日本語)
Opera Japan ブログ
Opera 11.11
http://my.opera.com/chooseopera-Japan/blog/2011/05/18/opera-11-11
関連文書 (英語)
Opera Software
Advisory: Frameset issue allows execution of arbitrary code
http://www.opera.com/support/kb/view/992/Opera Software
Opera 11.11 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1111/
【2】OpenSSL の実装に問題
情報源
US-CERT Vulnerability Note VU#536044
OpenSSL leaks ECDSA private key through a remote timing attack
http://www.kb.cert.org/vuls/id/536044
概要
OpenSSL を実装した複数の製品には、脆弱性があります。結果として、 遠隔の第三者がタイミング攻撃 (timing attack) を行うことで ECDSA の秘密鍵を取得する可能性があります。 2011年5月24日現在、この問題に対する解決策は提供されていません。 回避策としては、ECDSA による認証方式を使用しないなどの方法があり ます。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#536044
OpenSSL における ECDSA 秘密鍵が漏えいしてしまう問題
https://jvn.jp/cert/JVNVU536044/index.html
関連文書 (英語)
OpenSSL
Documents, ecdsa(3)
http://www.openssl.org/docs/crypto/ecdsa.html
【3】SmarterTools の Web サーバに複数の脆弱性
情報源
US-CERT Vulnerability Note VU#240150
SmarterTools default basic web server vulnerabilities
http://www.kb.cert.org/vuls/id/240150
概要
SmarterTools の Web サーバには、複数の脆弱性があります。結果とし て、遠隔の第三者が任意のコマンドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - SmarterTools 製アプリケーションによりインストールされる Web サーバ 2011年5月24日現在、この問題に対する解決策は提供されていません。 SmarterTools によると、運用では Microsoft Internet Information Services (IIS) を使用することを推奨しています。詳細については、 SmarterTools が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#240150
SmarterTools 製ウェブサーバに複数の脆弱性
https://jvn.jp/cert/JVNVU240150/index.html
関連文書 (英語)
SmarterTools
Set up SmarterMail as an IIS Site (IIS 6.0)
http://portal.smartertools.com/KB/a1484/set-up-smartermail-as-an-iis-site-iis-60.aspxSmarterTools
Set up SmarterMail as a Site in IIS 7.0
http://portal.smartertools.com/KB/a1485/set-up-smartermail-as-a-site-in-iis-70.aspx
【4】RADVISION iVIEW Suite に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#77697803
RADVISION iVIEW Suite における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN77697803/index.html
概要
RADVISION のビデオ会議システム SCOPIA に同梱されているビデオ会議 ネットワーク運用管理ツール iVIEW Suite には、SQL インジェクション の脆弱性があります。結果として、遠隔の第三者が iVIEW Suite で管理 している情報を閲覧したり、変更したりする可能性があります。 対象となる製品は以下の通りです。 - RADVISION iVIEW Suite v7.5 より前のバージョン この問題は、RADIVISION が提供する修正済みのバージョンに RADVISION iVIEW Suite を更新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
RADVISION製「iVIEW Suite」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110519.html
【5】第9回迷惑メール対策カンファレンス
情報源
財団法人インターネット協会事務局
IAjapan 第9回迷惑メール対策カンファレンス
http://www.iajapan.org/anti_spam/event/2011/conf0527/index.html
概要
2011年5月27日、コクヨホールにて「第9回迷惑メール対策カンファレン ス」が開催されます。本カンファレンスでは、迷惑メール対策技術全体 を概観し、送信ドメイン認証技術の国内におけるさらなる普及推進の必 要性や電子署名方式の送信ドメイン認証技術である DKIM (DomainKeys Identified Mail) の普及推進状況も解説します。 JPCERT/CC からは、フィッシング対策協議会事務局を務めるスタッフが、 2010年のフィッシング詐欺への取り組みやフィッシング対策ガイドライ ンについて紹介します。 電話、Web での予約申込は前日 (5月26日) まで、当日はローソンの店頭 端末でのみ申し込みが可能です。皆様のご参加をお待ちしております。
関連文書 (日本語)
財団法人インターネット協会事務局
迷惑メール対策委員会
http://www.iajapan.org/anti_spam/index.html
■今週のひとくちメモ
○Windows Vista SP1 サポート終了
2011年7月12日に Microsoft Windows Vista SP1 のサポートが終了する 予定です。サポート終了後はセキュリティ更新は提供されません。現在、 Windows Vista SP1 を使用している場合は、SP2 の適用を至急検討して ください。
参考文献 (日本語)
マイクロソフト サポート オンライン
プロダクト サポート ライフサイクル - 製品一覧
http://support.microsoft.com/select/?target=lifecycle&ln=ja
参考文献 (英語)
Microsoft TechNet Blog
Upcoming end of support: Windows Vista SP1
http://blogs.technet.com/b/smallbusiness/archive/2011/05/16/upcoming-end-of-support-windows-vista-sp1.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/