<<< JPCERT/CC WEEKLY REPORT 2011-10-05 >>>
■09/25(日)〜10/01(土) のセキュリティ関連情報
目 次
【1】Cisco 製品群に複数の脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性
【4】Quagga に複数の脆弱性
【5】Citrix Provisioning Services に脆弱性
【6】ProjectForum にクロスサイトスクリプティングの脆弱性
【7】BaserCMS に複数の脆弱性
【今週のひとくちメモ】National Cyber Security Awareness Month 2011
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr113801.txt
https://www.jpcert.or.jp/wr/2011/wr113801.xml
【1】Cisco 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for Cisco IOS Software Smart Install
http://www.us-cert.gov/current/archive/2011/09/29/archive.html#cisco_releases_security_advisory_for28
概要
Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、認証を回避したりする可能性がありま す。 対象となる製品は以下の通りです。 - Cisco IOS Software - Cisco 10000 - Cisco Unified Communications Manager - Cisco Unified Presence - Jabber XCP および JabberNow アプライアンス この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。
関連文書 (日本語)
Cisco Event Response
Semi-Annual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/cisco/web/support/JP/110/1108/1108620_cisco-sa-20110928-bundle-j.html
【2】Mozilla 製品群に複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-729
Mozilla Code Installation Through Holding Down Enter
http://www.doecirc.energy.gov/bulletins/t-729.shtml
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得 したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 7.0 より前のバージョン - Firefox 3.6.23 より前のバージョン - Thunderbird 7.0 より前のバージョン - Thunderbird 3.1.15 より前のバージョン - SeaMonkey 2.4 より前のバージョン その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。なお、 Firefox 7.0 および、Thuderbird 7.0、SeaMonkey 2.4 は、一部アドオ ンが消えてしまう問題が確認され、対策版がリリースされています。
関連文書 (日本語)
Mozilla Japan
Firefox リリースノート - バージョン 7.0.1 - 2011/09/29 リリース
http://mozilla.jp/firefox/7.0.1/releasenotes/Firefox セキュリティアドバイザリ
Firefox 7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox.html#firefox7Mozilla Japan
Firefox リリースノート - バージョン 3.6.23 - 2011/09/27 リリース
http://mozilla.jp/firefox/3.6.23/releasenotes/Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.23 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.23Mozilla Japan
Thunderbird リリースノート - バージョン 7.0.1 - 2011/09/30 リリース
http://mozilla.jp/thunderbird/7.0.1/releasenotes/Thunderbird セキュリティアドバイザリ
Thunderbird 7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird.html#thunderbird7Mozilla Japan
Thunderbird リリースノート - バージョン 3.1.15 - 2011/09/27 リリース
http://mozilla.jp/thunderbird/3.1.15/releasenotes/Thunderbird 3.1 セキュリティアドバイザリ
Thunderbird 3.1.15 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.15
関連文書 (英語)
Security Advisories for SeaMonkey
SeaMonkey 2.4
http://www.mozilla.org/security/known-vulnerabilities/seamonkey.html#seamonkey2.4The SeaMonkey project
SeaMonkey 2.4.1
http://www.seamonkey-project.org/releases/seamonkey2.4/
【3】SSL 3.0 と TLS 1.0 の CBC モードに選択平文攻撃の脆弱性
情報源
US-CERT Vulnerability Note VU#864643
SSL 3.0 and TLS 1.0 allow chosen plaintext attack in CBC modes
http://www.kb.cert.org/vuls/id/864643
概要
HTTPS などで使用される暗号通信プロトコル SSL 3.0 と TLS 1.0 には、 選択平文攻撃を受ける脆弱性があります。結果として、遠隔の第三者が 暗号化した通信を復号する可能性があります。 対策としては、TLS 1.1 や TLS 1.2 を有効にする、RC4 アルゴリズムを 優先して使用するなどの方法があります。各ベンダーはこの問題に対す る対応を順次発表しています。詳細については、各ベンダや配布元が提 供する情報を参照してください。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
マイクロソフト セキュリティ アドバイザリ (2588513)
http://technet.microsoft.com/ja-jp/security/advisory/2588513マイクロソフト サポート オンライン
マイクロソフト セキュリティ アドバイザリ: SSL/TLS の脆弱性により、情報漏えいが起こる
http://support.microsoft.com/kb/2588513Mozilla Japan ブログ
TLS 暗号化通信に対する攻撃の Firefox への影響
http://mozilla.jp/blog/entry/7289/Japan Vulnerability Notes JVNVU#864643
SSL と TLS の CBC モードに選択平文攻撃の脆弱性
https://jvn.jp/cert/JVNVU864643/index.html
関連文書 (英語)
Microsoft Security Research & Defense
Is SSL broken? - More about Security Advisory 2588513
http://blogs.technet.com/b/srd/archive/2011/09/26/is-ssl-broken-more-about-security-advisory-2588513.aspxOpenSSL Project
Security of CBC Ciphersuites in SSL/TLS: Problems and Countermeasures
https://www.openssl.org/~bodo/tls-cbc.txtIETF RFC 4346
The Transport Layer Security (TLS) Protocol Version 1.1
http://tools.ietf.org/html/rfc4346IETF RFC 5246
The Transport Layer Security (TLS) Protocol Version 1.2
http://tools.ietf.org/html/rfc5246
【4】Quagga に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#668534
Multiple Quagga remote component vulnerabilities
http://www.kb.cert.org/vuls/id/668534CERT-FI Reports
CERT-FI Advisory on Quagga
http://www.cert.fi/en/reports/2011/vulnerability539178.html
概要
ルーティングソフトウェア Quagga には、複数の脆弱性があります。結 果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任 意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.19 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Quagga を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#668534
Quagga に複数の脆弱性
https://jvn.jp/cert/JVNVU668534/index.html
関連文書 (英語)
quagga.net
2011-09-29: Quagga 0.99.20 Released
http://www.quagga.net/news2.php?y=2011&m=9&d=29#id1285765920
【5】Citrix Provisioning Services に脆弱性
情報源
DOE-CIRC Technical Bulletin T-730
Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution
http://www.doecirc.energy.gov/bulletins/t-730.shtml
概要
Citrix Provisioning Services には、脆弱性があります。結果として、 遠隔の第三者が Citrix Provisioning Services を実行している権限で 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Citrix Provisioning Services 5.6 Service Pack 1 およびそれ以前 この問題は、Citrix が提供する修正済みのバージョンに Citrix Provisioning Services を更新することで解決します。詳細については、 Citrix が提供する情報を参照してください。
関連文書 (英語)
Citrix Knowledge Center CTX130846
Vulnerability in Citrix Provisioning Services could result in Arbitrary Code Execution
http://support.citrix.com/article/CTX130846
【6】ProjectForum にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Vulnerability Note VU#901251
ProjectForum XSS vulnerability
http://www.kb.cert.org/vuls/id/901251
概要
ProjectForum には、クロスサイトスクリプティングの脆弱性がありま す。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - ProjectForum 7.0.1.3038 およびそれ以前 2011年10月4日現在、この問題に対する解決策は提供されていません。 回避策としては、信頼できるホストやネットワークに接続を限定するな どの方法があります。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#901251
ProjectForum におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU901251/index.html
関連文書 (英語)
CourseForum Technologies
ProjectForum
http://www.courseforum.com/pf/
【7】BaserCMS に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#09789751
BaserCMS におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN09789751/index.htmlJapan Vulnerability Notes JVN#16617002
BaserCMS におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN16617002/index.html
概要
オープンソースのコンテンツ管理システム BaserCMS には、複数の脆弱 性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意 のスクリプトを実行したり、管理者権限のないユーザが管理者のユーザ 情報を変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - BaserCMS 1.6.13.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに BaserCMS を更 新することで解決します。詳細については、配布元が提供する情報を参 照してください。
関連文書 (日本語)
BaserCMS
JVN09789751 / JVN16617002 に対応する改善ファイル一覧
http://basercms.net/patch/JVN09789751BaserCMS
BaserCMS ダウンロード
http://basercms.net/download/index.html
■今週のひとくちメモ
○National Cyber Security Awareness Month 2011
米国では、毎年10月を "National Cyber Security Awareness Month" として、情報セキュリティに関する啓発活動を展開しています。この活 動には、米国国土安全保障省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加 しており、様々なユーザ層に向けた活動が行われています。
参考文献 (英語)
National Cyber Security Alliance
National Cyber Security Awareness Month (NCSAM)
http://www.staysafeonline.org/ncsam米国国土安全保障省 (DHS)
National Cybersecurity Awareness Month
http://www.dhs.gov/files/programs/gc_1158611596104.shtmSANS Internet Storm Center
ISC Diary Cyber Securyt Month Day 1/2 - Schedule
http://isc.sans.edu/diary.html?storyid=11710
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/