<<< JPCERT/CC WEEKLY REPORT 2010-10-06 >>>
■09/26(日)〜10/02(土) のセキュリティ関連情報
目 次
【1】「Microsoft ASP.NET に脆弱性」に関する追加情報
【2】BIND の ACL の処理に脆弱性
【3】VMware 製品群に複数の脆弱性
【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起
【5】C/C++ セキュアコーディングセミナー 2010 @東京 part3 開催せまる
【今週のひとくちメモ】National Cyber Security Awareness Month 2010
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103801.txt
https://www.jpcert.or.jp/wr/2010/wr103801.xml
【1】「Microsoft ASP.NET に脆弱性」に関する追加情報
情報源
US-CERT Current Activity Archive
Microsoft Releases Security Bulletin MS10-070
http://www.us-cert.gov/current/archive/2010/09/30/archive.html#microsoft_releases_security_bulletin_ms10
概要
JPCERT/CC WEEKLY REPORT 2010-09-24 号【3】で紹介した「Microsoft ASP.NET に脆弱性」に関する追加情報です。 マイクロソフトは、この問題の対策として 2010年9月29日にセキュリティ 更新プログラムをリリースしました。詳細については、下記関連文書を 参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ情報 MS10-070 - 重要
ASP.NET の脆弱性により、情報漏えいが起こる (2418042)
http://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx@police
マイクロソフト社のセキュリティ修正プログラムについて(MS10-070)
http://www.npa.go.jp/cyberpolice/topics/?seq=4857JPCERT/CC WEEKLY REPORT 2010-09-24 号
【3】Microsoft ASP.NET に脆弱性
https://www.jpcert.or.jp/wr/2010/wr103601.html#3
【2】BIND の ACL の処理に脆弱性
情報源
US-CERT Vulnerability Note VU#784855
Unexpected ACL Behavior in BIND 9.7.2
http://www.kb.cert.org/vuls/id/784855
概要
BIND の ACL の処理には、脆弱性があります。結果として、遠隔の第三 者がアクセス制限を回避して、キャッシュデータにアクセスする可能性 があります。 対象となるバージョンは以下の通りです。 - BIND 9.7.2 から 9.7.2-P1 まで この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#784855
BIND の ACL の処理に問題
https://jvn.jp/cert/JVNVU784855/index.html
関連文書 (英語)
Internet Systems Consortium
Security Advisory Regarding Unexpected ACL Behavior in BIND 9.7.2
https://lists.isc.org/pipermail/bind-announce/2010-September/000655.htmlInternet Systems Consortium
BIND 9.7.2-P2 Release Note
http://ftp.isc.org/isc/bind9/9.7.2-P2/RELEASE-NOTES-BIND-9.7.2-P2.html
【3】VMware 製品群に複数の脆弱性
情報源
VMware Security Advisories (VMSAs)
VMSA-2010-0015 VMware ESX third party updates for Service Console
http://www.vmware.com/security/advisories/VMSA-2010-0015.html
概要
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得 したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年10月5日現在、一部の問題につ いては修正版が提供されていません。詳細については、VMware が提供 する情報を参照してください。
関連文書 (英語)
VMware Security Announcements
[Security-announce] VMSA-2010-0015 VMware ESX third party updates for Service Console
http://lists.vmware.com/pipermail/security-announce/2010/000106.html
【4】攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起
情報源
JPCERT/CC
攻撃用ツールキットを使用した Web サイト経由での攻撃に関する注意喚起
https://www.jpcert.or.jp/at/2010/at100025.txt
概要
JPCERT/CC では、改ざんされた Web サイトを閲覧したユーザの PC を マルウエアに感染させる攻撃を複数確認しています。これらの攻撃では、 Windows、Adobe Reader、Flash Player、Java(JRE) などの製品の脆弱 性を悪用する攻撃用ツールキットが使用されています。 PC にインストールしているソフトウエアが最新であるか確認の上、更 新が必要な場合は適宜アップデートしてください。
【5】C/C++ セキュアコーディングセミナー 2010 @東京 part3 開催せまる
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」の開催まで一週間となりました。ひきつづき参加申し込みを 受け付けております。皆様奮ってご参加ください。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○National Cyber Security Awareness Month 2010
米国では、毎年10月を "National Cyber Security Awareness Month" として、情報セキュリティに関する啓発活動を展開しています。この活 動には、米国国土安全保障省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加 しており、様々なユーザ層に向けた活動が行われています。 これに関連して SANS handler's diary では、「人的セキュリティ」に 着目した内容を掲載しています。社内セキュリティ検討の参考にしてみ てはいかがでしょうか。
参考文献 (英語)
National Cyber Security Alliance
National Cyber Security Awareness Month (NCSAM)
http://www.staysafeonline.org/ncsam米国国土安全保障省 (DHS)
Cybersecurity: Our Shared Responsibility
http://www.dhs.gov/files/programs/gc_1158611596104.shtmSANS Internet Storm Center
Cyber Security Awareness Month - 2010
https://isc.sans.edu/diary.html?storyid=9640
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/