<<< JPCERT/CC WEEKLY REPORT 2009-08-05 >>>
■07/26(日)〜08/01(土) のセキュリティ関連情報
目 次
【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性
【2】ISC BIND 9 に脆弱性
【3】「複数の Adobe 製品に脆弱性」に関する追加情報
【4】Apple iPhone OS に脆弱性
【5】MySQL Connector/J に SQL インジェクションの脆弱性
【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性
【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
【今週のひとくちメモ】夏休みに備えて: 休暇中の自宅 PC での作業について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093001.txt
https://www.jpcert.or.jp/wr/2009/wr093001.xml
【1】Microsoft Internet Explorer および Active Template Library (ATL) に脆弱性
情報源
US-CERT Technical Cyber Security Alert TA09-209A
Microsoft Windows, Internet Explorer, and Active Template Library (ATL) Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-209A.htmlUS-CERT Cyber Security Alert SA09-209A
Microsoft Windows and Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-209A.htmlUS-CERT Vulnerability Note VU#456745
ActiveX controls built with Microsoft ATL fail to properly handle initialization data
http://www.kb.cert.org/vuls/id/456745DOE-CIRC Technical Bulletin T-196
Critical Cumulative Security Update for Internet Explorer
http://www.doecirc.energy.gov/bulletins/t-196.shtml
概要
Microsoft Internet Explorer、Active Template Library (ATL) およ び関連コンポーネントには、複数の脆弱性があります。結果として、遠 隔の第三者が細工した HTML 文書を閲覧させることで、ユーザの権限で 任意のコードを実行する可能性があります。 詳細については、マイクロソフトが提供する情報を参照してください。 マイクロソフト製品の問題については、Microsoft Update などを用い て、セキュリティ更新プログラムを適用することで解決します。 なお、ATL の問題については、ソフトウエア開発元が修正したソフトウ エアに更新する必要があります。Adobe や Cisco など複数のベンダが ATL の問題を修正した製品をリリースする予定です。 詳細については、下記関連文書を参照してください。
関連文書 (日本語)
2009 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-jul.mspxマイクロソフト セキュリティ情報 MS09-034 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (972260)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-034.mspxマイクロソフト セキュリティ情報 MS09-035 - 警告
Visual Studio の Active Template Library の脆弱性により、リモートでコードが実行される (969706)
http://www.microsoft.com/japan/technet/security/bulletin/ms09-035.mspxマイクロソフト セキュリティ アドバイザリ (973882)
Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/973882.mspxJapan Vulnerability Notes JVNTA09-209A
Microsoft Windows、Internet Explorer および Active Template Library (ATL) における脆弱性
https://jvn.jp/cert/JVNTA09-209A/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-034,035)(7/29)
http://www.cyberpolice.go.jp/important/2009/20090729_112353.htmlJPCERT/CC Alert 2009-07-29
Microsoft ATL を使用した複数製品の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090014.txt
関連文書 (英語)
Adobe Security Bulletin APSB09-11
Security update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb09-11.htmlCisco Security Advisory cisco-sa-20090728-activex
Active Template Library (ATL) Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090728-activex.shtml
【2】ISC BIND 9 に脆弱性
情報源
US-CERT Vulnerability Note VU#725188
ISC BIND 9 vulnerable to denial of service via dynamic update request
http://www.kb.cert.org/vuls/id/725188DOE-CIRC Technical Bulletin T-197
ISC BIND Denial of Service Vulnerability
http://www.doecirc.energy.gov/bulletins/t-197.shtml
概要
ISC BIND 9 には、dynamic update パケットの処理に起因する脆弱性が あります。結果として、遠隔の第三者が細工したパケットを処理させる ことで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、 本脆弱性を使用した攻撃活動が国内でも確認されています。 対象となるバージョンは以下の通りです。 - BIND 9 全てのバージョン ISC はこの問題への修正版として以下のバージョンを公開しています。 - BIND 9.4.3-P3 - BIND 9.5.1-P3 - BIND 9.6.1-P1 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND 9 を更新することで解決します。詳細については、 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
DNSサーバ BIND の脆弱性について
http://www.ipa.go.jp/security/ciadr/vul/20090731-bind.htmlJPCERT/CC Alert 2009-07-31
ISC BIND 9 の脆弱性を使用したサービス運用妨害攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090016.txt
関連文書 (英語)
Internet Systems Consortium
BIND Dynamic Update DoS
https://www.isc.org/node/474Red Hat Security Advisory RHSA-2009:1179-2
Important: bind security update
https://rhn.redhat.com/errata/RHSA-2009-1179.htmlRed Hat Security Advisory RHSA-2009:1180-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1180.htmlRed Hat Security Advisory RHSA-2009:1181-1
Important: bind security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1181.htmlSun Alert 264828
A Security Vulnerability in Solaris BIND named(1M) Due to Insufficient Input Validation of Dynamic Update Requests Can Lead to Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264828-1Debian Security Advisory DSA-1847-1
bind9 -- improper assert
http://www.debian.org/security/2009/dsa-1847The FreeBSD Project Security Advisory FreeBSD-SA-09:12.bind
BIND named(8) dynamic update message remote DoS
http://security.freebsd.org/advisories/FreeBSD-SA-09:12.bind.ascOpenBSD 4.5 errata
007: RELIABILITY FIX: July 29, 2009
http://www.openbsd.org/errata45.html#007_bind
【3】「複数の Adobe 製品に脆弱性」に関する追加情報
情報源
Adobe Security Bulletin APSB09-10
Security updates available for Adobe Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-10.html
概要
JPCERT/CC WEEKLY REPORT 2009-07-29 号【1】で紹介した「複数の Adobe 製品に脆弱性」に関する追加情報です。 Adobe 製品の修正済みバージョンが提供されました。詳細については、 Adobe が提供する情報を参照してください。なお、複数のブラウザを利 用している場合は、それぞれのプラグインを更新する必要がありますの で注意してください。
関連文書 (日本語)
JPCERT/CC Alert 2009-07-31
Adobe Flash Player および Adobe Acrobat/Reader の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090015.txtJPCERT/CC REPORT 2008-01-17
【今週のひとくちメモ】Web ブラウザのプラグイン更新に関する注意
https://www.jpcert.or.jp/wr/2008/wr080201.html#MemoJPCERT/CC WEEKLY REPORT 2009-07-29
【1】複数の Adobe 製品に脆弱性
https://www.jpcert.or.jp/wr/2009/wr092901.html#1
関連文書 (英語)
Adobe Security Bulletin APSA09-04
Security advisory for Adobe Flash Player
http://www.adobe.com/support/security/advisories/apsa09-04.htmlUS-CERT Technical Cyber Security Alert TA09-204A
Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products
http://www.us-cert.gov/cas/techalerts/TA09-204A.html
【4】Apple iPhone OS に脆弱性
情報源
Apple Support HT3754
About the security content of iPhone OS 3.0.1
http://support.apple.com/kb/HT3754
概要
Apple iPhone OS には、SMS メッセージの処理に起因する脆弱性があり ます。結果として遠隔の第三者が細工した SMS メッセージを送りつけ ることで、処理を中断させたり、任意のコードを実行したりする可能性 があります。 対象となるバージョンは以下の通りです。 - iPhone OS 1.0 から 3.0 まで この問題は、Apple が提供する修正済みのバージョンに、iPhone OS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。
関連文書 (英語)
Apple security-announce Mailing List
APPLE-SA-2009-07-31-1 iPhone OS 3.0.1
http://lists.apple.com/archives/security-announce/2009/Jul/msg00001.html
【5】MySQL Connector/J に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#59748723
MySQL Connector/J における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN59748723/index.html
概要
Sun の MySQL Connector/J には、SQL インジェクションの脆弱性があ ります。結果として、遠隔の第三者がデータベース内のコンテンツを取 得したり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - MySQL Connector/J 5.1.7 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに MySQL Connector/J を更新することで解決します。
関連文書 (英語)
Sun MySQL Bug #41730
SQL Injection when using U+00A5
http://bugs.mysql.com/bug.php?id=41730
【6】ディーアイシーの yoyaku_v41 に OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#80436657
株式会社ディーアイシー製 yoyaku_v41 における OS コマンドインジェクションの脆弱性
https://jvn.jp/jp/JVN80436657/index.html
概要
ディーアイシーの施設予約管理ソフトウェア yoyaku_v41 には、OS コ マンドインジェクションの脆弱性があります。結果として、遠隔の第三 者が Web サーバの権限で任意の OS コマンドを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - yoyaku_v41 バージョン 1.0 以前 この問題は、ディーアイシーが提供する修正済みのバージョンに yoyaku_v41 を更新することで解決します。
関連文書 (日本語)
株式会社ディーアイシー
yoyaku_v41
http://www.d-ic.com/free/06/yoyaku_v41.html
【7】「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
情報源
独立行政法人 情報処理推進機構 セキュリティセンター
「EC-CUBE」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200907_ec-cube.html
概要
独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ ンの EC-CUBE を使用しているウェブサイトに対する注意喚起を発行し ました。古いバージョンの EC-CUBE には、クロスサイトスクリプティ ングや、SQL インジェクションの脆弱性などを含んだものがあり、任意 のスクリプト実行や情報漏えいなどの可能性があります。対策版へのバー ジョンアップ、もしくは個別にファイル修正を行ってください。
関連文書 (日本語)
株式会社ロックオン
EC-CUBE旧バージョンの脆弱性についての注意喚起(2009/07/27)
http://www.ec-cube.net/news/detail.php?news_id=100
■今週のひとくちメモ
○夏休みに備えて: 休暇中の自宅 PC での作業について
8月に入り、本格的な夏休みのシーズンとなりました。 休暇中に、業務データを持ち帰り自宅で作業される方もいらっしゃると 思います。業務データを持ち出す必要がある場合には、自組織のポリシー に従い、その取り扱いや情報漏えいには十分に注意してください。 特に、以下のような危険があることを認識して行動することが重要です。 - 家族と共有している PC で作業する場合 家族がファイル共有ソフトウエアを利用していることなどにより、 意図せずに情報漏えいする可能性があること - USB メモリを使ってデータの移動をしている場合 USB メモリや、デジカメで使われるフラッシュメモリなどを経由し て感染する Conficker などのマルウエアの被害を受ける可能性が あること - 自宅の PC がウイルス感染している場合 持ち出したデータを社内へ持ち帰る際に、社内にウイルス感染を拡 大させる可能性があること また、Adobe Reader、Flash プラグインなど、多くの PC にインストー ルされているソフトウエアについて、7月末にアップデートが公開され ています。お使いのソフトウエアが最新版にアップデートされているか、 確認してください。
参考文献 (日本語)
Microsoft TechNet
あんしん処 セキュリ亭 休暇の前はご用心
http://technet.microsoft.com/ja-jp/security/dd793045.aspxJPCERT/CC WEEKLY REPORT 2009-07-23
【今週のひとくちメモ】夏休みに備えて: 休み中のセキュリティ更新プログラムのリリースに注意
https://www.jpcert.or.jp/wr/2009/wr092801.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/