<<< JPCERT/CC WEEKLY REPORT 2009-01-15 >>>
■01/04(日)〜01/10(土) のセキュリティ関連情報
目 次
【1】OpenSSL に脆弱性
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
【3】Samba にルートディレクトリへのアクセスを許す脆弱性
【4】Ruby の XML 解析処理に脆弱性
【5】Cisco GSS に脆弱性
【6】MyNETS にクロスサイトスクリプティングの脆弱性
【7】MODx に複数の脆弱性
【今週のひとくちメモ】個人情報のダミーデータを利用する
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr090201.txt
https://www.jpcert.or.jp/wr/2009/wr090201.xml
【1】OpenSSL に脆弱性
情報源
US-CERT Current Activity Archive
OpenSSL Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/01/09/archive.html#openssl_releases_security_advisoryDOE-CIRC Techical Bulletin T-033
OpenSSL Security Advisory
http://www.doecirc.energy.gov/ciac/bulletins/t-033.shtml
概要
OpenSSL には、SSL/TLS 署名の検証処理に起因する脆弱性があります。 結果として、遠隔の第三者が細工した不正な SSL/TLS 署名を有効な署 名として扱ってしまう可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.8i およびそれ以前 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに OpenSSL を更新することで解決します。 その他、BIND など OpenSSL を使用しているアプリケーションも影響を 受ける可能性があります。詳細については、ベンダや配布元が提供する 情報を参照してください。
関連文書 (英語)
OpenSSL Security Advisory [07-Jan-2009]
Incorrect checks for malformed signatures
http://www.openssl.org/news/secadv_20090107.txtRed Hat Security Advisory RHSA-2009:0004-4
Important: openssl security update
https://rhn.redhat.com/errata/RHSA-2009-0004.htmlThe FreeBSD Project Security Advisory FreeBSD-SA-09:02.openssl
OpenSSL incorrectly checks for malformed signatures
http://security.freebsd.org/advisories/FreeBSD-SA-09:02.openssl.ascInternet Systems Consortium Security Advisory
BIND Security Vulnerability - EVP_VerifyFinal() and DSA_do_verify() return checks 7Jan2009
https://www.isc.org/node/373
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
情報源
Mozilla Japan
Thunderbird リリースノート - Thunderbird 2.0.0.19 での変更点
http://mozilla.jp/thunderbird/2.0.0.19/releasenotes/
概要
JPCERT/CC REPORT 2008-12-25 号【3】で紹介した「Mozilla 製品群に 複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みのバージョン 2.0.0.19 が提供されました。詳 細については、OS のベンダや配布元が提供する情報を参照してくださ い。
関連文書 (日本語)
JPCERT/CC REPORT 2008-12-25
【3】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2008/wr085001.html#3
【3】Samba にルートディレクトリへのアクセスを許す脆弱性
情報源
Samba - Security Announcement Archive
CVE-2009-0022: Potential access to "/" in setups with registry shares enabled
http://samba.org/samba/security/CVE-2009-0022.html
概要
Samba にはルートディレクトリへのアクセスを許す脆弱性があります。 結果として、遠隔の第三者が許可されていないファイルやディレクトリ にアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Samba 3.2.0 から 3.2.6 レジストリ共有 (registry shares) の設定を有効にしていない場合、 本脆弱性の影響は受けません。この機能は 3.2.0 でサポートされ、デ フォルトでは無効になっています。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Samba を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
脆弱性検証レポート|NTTデータ・セキュリティ株式会社
Sambaのルートアクセスの脆弱性に関する検証レポート
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090108.pdf
【4】Ruby の XML 解析処理に脆弱性
情報源
DOE-CIRC Techical Bulletin T-030
New Ruby packages fix denial of service
http://www.doecirc.energy.gov/ciac/bulletins/t-030.shtml
概要
Ruby には、XML 文書の解析処理に起因する脆弱性があります。結果と して、遠隔の第三者が細工した XML 文書をユーザに解析させることで、 サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、本件に 関しては攻撃方法に関する情報が公開されています。 対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - 1.8.6-p286 およびそれ以前のバージョン - 1.8.7-p71 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9 r18423 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 なお、この問題は 2008年8月23日に Ruby 開発者から既に報告がなされ ており、今回 Debian 向け修正パッチが提供されました。
関連文書 (日本語)
オブジェクト指向スクリプト言語 Ruby
REXMLのDoS脆弱性
http://www.ruby-lang.org/ja/news/2008/08/23/dos-vulnerability-in-rexml/Debian セキュリティ勧告 DSA-1695-1
ruby1.8, ruby1.9 -- メモリリーク
http://www.debian.org/security/2009/dsa-1695.ja.html
関連文書 (英語)
Red Hat Security Advisory RHSA-2008:0897-12
Moderate: ruby security update
https://rhn.redhat.com/errata/RHSA-2008-0897.html
【5】Cisco GSS に脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for Global Site Selector
http://www.us-cert.gov/current/archive/2009/01/09/archive.html#cisco_releases_security_advisory_for4
概要
Cisco Application Control Engine Global Site Selector (GSS) には、 DNS リクエストの処理に起因する脆弱性があります。結果として、遠隔 の第三者が細工した DNS リクエストを処理させることで、サービス運 用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco GSS 4480 Global Site Selector - Cisco GSS 4490 Global Site Selector - Cisco GSS 4491 Global Site Selector - Cisco GSS 4492R Global Site Selector この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Cisco が提供する情報 を参照してください。
関連文書 (英語)
Cisco Security Advisory 109384
Cisco Global Site Selector Appliances DNS Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090107-gss.shtml
【6】MyNETS にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#36802959
MyNETS におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN36802959/index.html
概要
オープンソースの SNS ソフトウェア MyNETS には、クロスサイトスク リプティングの脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - MyNETS 1.2.0.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに MyNETS を更新 することで解決します。
関連文書 (日本語)
Usagi Project
MyNETS脆弱性情報
http://usagi-project.org/PRESS/archives/57
【7】MODx に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#10170564
MODx におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN10170564/index.htmlJapan Vulnerability Notes JVN#66828183
MODx におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN66828183/index.htmlJapan Vulnerability Notes JVN#72630020
MODx における SQL インジェクションの脆弱性
http://jvn.jp/jp/JVN72630020/index.html
概要
コンテンツ管理システムの MODx には、複数の脆弱性があります。結果 として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行 したり、Web ページを編集したりする可能性があります。 対象となるバージョンは以下の通りです。 - MODx 0.9.6.2 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに MODx を更新す ることで解決します。
関連文書 (英語)
MODxCMS
0.9.6.2 HTTP_REFERER Checks and Potential CSRF Vulnerabilities
http://modxcms.com/forums/index.php/topic,28881.0.htmlMODxCMS
MODx 0.9.6.3 released
http://modxcms.com/forums/index.php/topic,31657.0.htmlMODxCMS
Changelog
http://svn.modxcms.com/svn/tattoo/tattoo/releases/0.9.6.3/install/changelog.txt
■今週のひとくちメモ
○個人情報のダミーデータを利用する
個人情報を扱うアプリケーションの開発時にはテストデータの取扱いに 注意する必要があります。実際の個人情報をテストに使用して開発委託 先などから情報が漏洩するケースが発生しています。 このような危険を防ぎ、安全に開発をすすめるためにダミーデータを活 用する方法があります。現実のデータに近いダミーデータを作成するサー ビスやアプリケーションが利用可能です。
参考文献 (日本語)
窓の杜
【NEWS】プログラムの動作テスト用のダミーデータを簡単に大量作成「プラデータ」
http://www.forest.impress.co.jp/article/2008/04/22/pladata.htmlPeople to People Communications 株式会社
疑似個人情報をテスト用データとして使う
http://www.start-ppd.jp/howto1.html
参考文献 (英語)
CPAN
Data::Faker - Perl extension for generating fake data
http://search.cpan.org/~jasonk/Data-Faker-0.07/lib/Data/Faker.pm
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/