<<< JPCERT/CC WEEKLY REPORT 2010-04-07 >>>
■03/28(日)〜04/03(土) のセキュリティ関連情報
目 次
【1】Internet Explorer に複数の脆弱性
【2】Oracle Sun Java に複数の脆弱性
【3】Mozilla 製品群に複数の脆弱性
【4】VMware 製品群に複数の脆弱性
【5】Foxit Reader に脆弱性
【6】Compiere に複数のクロスサイトスクリプティングの脆弱性
【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性
【8】HL-SiteManager に SQL インジェクションの脆弱性
【今週のひとくちメモ】DNS-CERT の設立提案
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr101301.txt
https://www.jpcert.or.jp/wr/2010/wr101301.xml
【1】Internet Explorer に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA10-089A
Microsoft Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA10-089A.htmlUS-CERT Cyber Security Alert SA10-089A
Microsoft Internet Explorer Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA10-089A.html
概要
Microsoft Internet Explorer および関連コンポーネントには、複数の 脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書や Microsoft Office 文書を読み込ませることで、ユーザの権限で任意の コードを実行する可能性があります。 この問題は、Microsoft Update などを用いて、セキュリティ更新プロ グラムを適用することで解決します。なお、セキュリティ更新プログラ ムには、JPCERT/CC WEEKLY REPORT 2010-03-17【2】で紹介した問題に 対する解決策も含まれています。
関連文書 (日本語)
マイクロソフト セキュリティ情報 MS10-018 - 緊急
Internet Explorer 用の累積的なセキュリティ更新プログラム (980182)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-018.mspxJapan Vulnerability Notes JVNTA10-089A
Internet Explorer に複数の脆弱性
http://jvn.jp/cert/JVNTA10-089A/index.html独立行政法人 情報処理推進機構 セキュリティセンター
Internet Explorer の脆弱性(MS10-018)について
http://www.ipa.go.jp/security/ciadr/vul/20100331-ms10-018.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-018)
http://www.npa.go.jp/cyberpolice/topics/?seq=3132JPCERT/CC Alert 2010-03-31 JPCERT-AT-2010-0007
Microsoft Internet Explorer の脆弱性 (MS10-018) に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100007.txtJPCERT/CC WEEKLY REPORT 2010-03-17
【2】Internet Explorer に解放済みメモリを使用する脆弱性
https://www.jpcert.or.jp/wr/2010/wr101001.html#2
【2】Oracle Sun Java に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#507652
Oracle Sun Java fails to properly validate Java applet signatures
http://www.kb.cert.org/vuls/id/507652US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for Java SE and Java for Business
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#oracle_releases_critical_patch_update10
概要
Oracle Sun Java には、複数の脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を おこなったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 18 およびそれ以前 - JDK/JRE 5.0 Update 23 およびそれ以前 - SDK/JRE 1.4.2_25 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#507652
Oracle Sun Java が Java アプレットの署名を正しく検証しない脆弱性
https://jvn.jp/cert/JVNVU507652/index.html
関連文書 (英語)
Java SE 6
Update Release Notes
http://java.sun.com/javase/6/webnotes/6u19.htmlOracle
Java for Business - Get It
http://www.sun.com/software/javaforbusiness/getit_download.jspOracle Technology Network
Oracle Java SE and Java for Business Critical Patch Update Advisory - March 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/javacpumar2010.htmlRed Hat Security Advisory RHSA-2010:0339-1
Important: java-1.6.0-openjdk security update
https://rhn.redhat.com/errata/RHSA-2010-0339.html
【3】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Mozilla Releases Firefox V3.6.3
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#mozilla_releases_firefox_3_61DOE-CIRC Technical Bulletin T-339
Mozilla Firefox Use-After-Free Remote Code Execution Vulnerability
http://www.doecirc.energy.gov/bulletins/t-339.shtml
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 3.6 系、Firefox 3.5 系、Firefox 3.0 系 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。
関連文書 (日本語)
Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.3 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.3Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.9 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.9Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.19 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.19Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.4SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.4 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.4
【4】VMware 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
VMware Releases Security Advisory for ESX Service Console Updates
http://www.us-cert.gov/current/archive/2010/04/02/archive.html#vmware_releases_security_advisory_for
概要
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が認証を回避したり、任意のコードを実行したり、ユーザのブラウ ザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年4月6日現在、一部の問題につい ては修正版が提供されていません。詳細については、VMware が提供す る情報を参照してください。
関連文書 (英語)
VMware Security Advisories (VMSAs)
VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
http://www.vmware.com/security/advisories/VMSA-2010-0005.htmlVMware Security Advisories (VMSAs)
VMSA-2010-0006 ESX Service Console updates for samba and acpid
http://www.vmware.com/security/advisories/VMSA-2010-0006.html
【5】Foxit Reader に脆弱性
情報源
US-CERT Vulnerability Note VU#570177
Foxit Reader vulnerable to arbitrary command execution
http://www.kb.cert.org/vuls/id/570177
概要
Foxit Software の Foxit Reader には、脆弱性があります。結果とし て、遠隔の第三者が細工した PDF 文書を閲覧させることで、任意のコー ドを実行する可能性があります。 対象となるバージョンは以下のとおりです。 - Foxit Reader 3.2.0.0303 この問題は、Foxit Software が提供する修正済みのバージョンに Foxit Reader を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#570177
Foxit Reader に任意のコード実行が可能な脆弱性
https://jvn.jp/cert/JVNVU570177/index.html
関連文書 (英語)
Foxit Software
Authorization Bypass When Executing An Embedded Executable
http://www.foxitsoftware.com/pdf/reader/security.htm#0401
【6】Compiere に複数のクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#57963254
Compiere におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN57963254/index.htmlJapan Vulnerability Notes JVN#38687002
Compiere におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN38687002/index.html
概要
アルマスの ERP/CRM ソフトウエア Compiere には、複数のクロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Compiere J300_A02 およびそれ以前 この問題は、アルマスが提供するパッチを Compiere に適用するか、修 正済みのバージョンに Compiere を更新することで解決します。詳細に ついては、アルマスが提供する情報を参照してください。
関連文書 (日本語)
株式会社アルマス
Compiere_J300_A02バージョンのセキュリティ脆弱性対応パッチ
http://www.compiere-japan.com/products/release/patch.html
【7】PrettyFormMail にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#41842181
PrettyFormMail におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN41842181/index.html
概要
フォームに入力された内容を電子メールで送信する PrettyFormMail に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となる製品は以下の通りです。 - PrettyFormMail この問題に対する解決策の提供は予定されていないため、 PrettyFormMail の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。
関連文書 (日本語)
PrettyBook
<cgi配布停止のお知らせ>
http://www.prettybook.com/index3.html
【8】HL-SiteManager に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#60969543
HL-SiteManager における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN60969543/index.html
概要
Heartlogic のコンテンツ管理システム HL-SiteManager には、SQL イ ンジェクションの脆弱性があります。結果として、遠隔の第三者が、当 該製品で管理している情報を閲覧したり、変更したりする可能性があり ます。 対象となる製品は以下の通りです。 - HL-SiteManager この問題に対する解決策の提供は予定されていないため、 HL-SiteManager の使用を停止し、同等の機能が実装された他製品に切 り替えることをお勧めします。
関連文書 (日本語)
Heartlogic
HL-SiteManagerの脆弱性と公開停止のお知らせ
http://www.heartlogic.jp/docs/free_cgi/hl-sitemanager.html
■今週のひとくちメモ
○DNS-CERT の設立提案
DNS は、インターネット通信を行うアプリケーションで必要となる名前 解決を行うインターネットの基幹技術です。 一方、DNS サーバに対する DoS 攻撃や、キャッシュポイズニングの問 題など、社会に大きな影響を及ぼすインシデントも発生しています。 DNS に関係する問題の解決や安定運用には、DNS ソフトウエア開発者や DNS サーバ運用者、さらにはドメイン名を管理するレジストリなど、様々 な組織が協調して活動することが重要です。 ICANN では、DNS の継続した発展と安定運用を目指し、今後の活動計画 として、DNS に関する脅威分析・危機管理計画の検討・インシデント対 応の演習を検討・実現していくことを提案しています。また、あわせて 様々な関係組織間の調整を行うDNS-CERT の設立を提案しています。
参考文献 (英語)
ICANN
Proposed Strategic Initiatives for Improved DNS Security, Stability and Resiliency (SSR)
http://www.icann.org/en/topics/ssr/strategic-ssr-initiatives-09feb10-en.pdfICANN
Global DNS-CERT Business Case
http://www.icann.org/en/topics/ssr/dns-cert-business-case-19mar10-en.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/