<<< JPCERT/CC WEEKLY REPORT 2009-11-26 >>>
■11/15(日)〜11/21(土) のセキュリティ関連情報
目 次
【1】Microsoft Internet Explorer に脆弱性
【2】VMware 製品群に脆弱性
【3】Google Chrome に脆弱性
【4】Redmine に複数の脆弱性
【5】SecurityDay2009 のお知らせ
【今週のひとくちメモ】Mac OS X のセキュリティアップデートの提供期間に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr094501.txt
https://www.jpcert.or.jp/wr/2009/wr094501.xml
【1】Microsoft Internet Explorer に脆弱性
情報源
マイクロソフト セキュリティ アドバイザリ(977981)
Internet Explorer の脆弱性により、リモートでコードが実行される
http://www.microsoft.com/japan/technet/security/advisory/977981.mspx
概要
Microsoft Internet Explorer には脆弱性があります。結果として遠隔 の第三者が、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Internet Explorer 6 - Microsoft Internet Explorer 7 なお、Internet Explorer 5.01 SP4 及び Internet Explorer 8 はこの 問題の影響を受けません。 2009年11月25日現在、この問題に対するセキュリティ更新プログラムは 提供されていません。回避策としては、Windows のデータ実行防止 (DEP) 機能を有効にする、アクティブスクリプトを無効にするなどの方 法があります。詳細はマイクロソフトのアドバイザリを参照してくださ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#515749
Microsoft Internet Explorer に脆弱性
http://jvn.jp/cert/JVNVU515749/index.html
関連文書 (英語)
US-CERT Vulnerability Note VU#515749
Microsoft Internet Explorer CSS style element vulnerability
http://www.kb.cert.org/vuls/id/515749Microsoft Help and Support
Microsoft Security Advisory: Vulnerability in Internet Explorer could allow remote code execution
http://support.microsoft.com/kb/977981/en-us/
【2】VMware 製品群に脆弱性
情報源
VMware Security Announcements
VMSA-2009-0016 VMware vCenter and ESX update release and vMA patch release address multiple security issue in third party components
http://lists.vmware.com/pipermail/security-announce/2009/000070.html
概要
VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意 のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃 を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - VMware vCenter Server 4.0 (Update 1 より前のバージョン) - VMware ESXi 4.0 (ESXi400-200911201-UG 未適用のもの) - VMware ESX 4.0 (ESX400-200911201-UG、ESX400-200911223-UG、 ESX400-200911232-SG、ESX400-200911233-SG、ESX400-200911234-SG、 ESX400-200911235-SG、ESX400-200911237-SG、ESX400-200911238-SG 未適用のもの) - VMware vMA 4.0 (patch 02 より前のバージョン) この問題は、該当する製品を VMware が提供する修正済みのバージョンに更新 することで解決します。詳細については、VMware が提供する情報を参照してく ださい。
【3】Google Chrome に脆弱性
情報源
DOE-CIRC Technical Bulletin T-272
Google Chrome prior to 3.0.195.32 Multiple Security Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-272.shtml
概要
Google Chrome には、脆弱性があります。結果として、遠隔の第三者が、 攻撃を意図したリンクをユーザにクリックさせることで、ユーザの権限 で任意のコードを実行したり、ブラウザをクラッシュさせたりする可能 性があります。 対象となるバージョンは以下の通りです。 - Google Chrome 3.0.195.32 より前のバージョン この問題は、Google Chrome を Google が提供する修正済みのバージョ ンに更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2009/11/stable-channel-update.htmlchromium
Issue 22205: Chrome: Crash Report - Stack Signature: WebKit::WebURL::WebURL(WebKit::WebURL const &)-3DB0FD
http://code.google.com/p/chromium/issues/detail?id=22205
【4】Redmine に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#01245481
Redmine におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN01245481/index.htmlJapan Vulnerability Notes JVN#87341298
Redmine におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN87341298/index.html
概要
オープンソースのプロジェクト管理ソフトウェア Redmine には、複数 の脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ 上で任意のスクリプトを実行したり、ログインしているユーザに、細工 した Web ページを読み込ませることで Redmine のデータの改ざんを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Redmine 0.8.5 およびそれ以前 この問題は、Redmine を修正済みのバージョンに更新することで解決し ます。なお、Redmine の開発元では、別の脆弱性を修正した Redmine 0.8.7 を公開しています。
関連文書 (英語)
Redmine
Redmine 0.8.6 released
http://www.redmine.org/news/29Redmine
Redmine 0.8.7 security release
http://www.redmine.org/news/30Redmine
Changelog - v0.8.6 (2009-11-04)
http://www.redmine.org/wiki/redmine/ChangelogRedmine
Changelog - v0.8.7 (2009-11-15)
http://www.redmine.org/wiki/redmine/Changelog
【5】SecurityDay2009 のお知らせ
情報源
JPCERT/CC イベント情報
SecurityDay2009
https://www.jpcert.or.jp/event/securityday2009.html
概要
2009年12月16日(水) 13時 (開場12時30分) より工学院大学 (新宿キャ ンパス) において SecurityDay2009 (JPCERT/CC、JAIPA、Telecom-ISAC Japan、JNSA、JCAF 主催) が開催されます。 SecurityDay2009 では、情報セキュリティに関わる方を対象に参加者と 一緒に議論をするパネルディスカッションによって、情報提供、情報共 有をする場として考えています。今回扱うテーマは、古くて新しい問題 であり、すぐには結論が出せないものもありますが、このような問題に 正面から向き合い、参加者全員の意識の共有を行い、どこがクリティカ ルポイントで、どのような対応が考えられるのか、課題は何か、等々に ついて忌憚の無い意見交換を行い、次の時代を造るきっかけにしたいと 考えています。 参加費は無料ですが、事前参加申込みが必要です。事前参加申込みは、 JNSA 提供のサイトからお申し込みいただけます。
関連文書 (日本語)
SecurityDay2009
SecurityDay2009 開催概要
http://securityday.jp/SecurityDay2009
参加申し込み方法
http://securityday.jp/?registerNPO日本ネットワークセキュリティ協会
Security Day 2009 参加申し込み
https://www.jnsa.org/seminar/2009/1216/entry.html
■今週のひとくちメモ
○Mac OS X のセキュリティアップデートの提供期間に注意
Apple Mac OS X のセキュリティアップデートは、多くの場合、最新お よびひとつ前のバージョンを対象としています。例えば、前回の Weekly Report でご紹介したセキュリティアップデートは Mac OS X 10.6 および 10.5 を対象としており、Mac OS X 10.4 は対象外となっ ています。 現在のところ Apple 社からは、セキュリティアップデートの提供ポリ シーに関する情報は公開されていません。 Mac OS X のシステムを運用する場合には、使用しているソフトウエア のバージョンを確認し、セキュリティアップデートはすみやかに適用で きるように、運用体制を整えることをお勧めします。
参考文献 (日本語)
Apple
アップルセキュリティアップデート (Apple Security Update)
http://support.apple.com/kb/HT1222?viewlocale=ja_JP
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/