Weekly Report: P forum にディレクトリトラバーサルの脆弱性 - JPCERT

JPCERT - 2009年12月24日（木）

JPCERT/CC: 情報提供サービス - JPCERT/CC Weekly Report

JPCERT-WR-2009-4901
JPCERT/CC
2009-12-24

<<< JPCERT/CC WEEKLY REPORT 2009-12-24 >>>

■12/13(日)〜12/19(土) のセキュリティ関連情報

目　次

【1】Adobe Reader および Acrobat に脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

【5】P forum にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】アンチウイルス製品のサポート期間にご注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/2009/wr094901.txt

https://www.jpcert.or.jp/wr/2009/wr094901.xml

【1】Adobe Reader および Acrobat に脆弱性

情報源

US-CERT Vulnerability Note VU#508357

Adobe Acrobat and Reader contain a use-after-free vulnerability in the JavaScript Doc.media.newPlayer method

http://www.kb.cert.org/vuls/id/508357

DOE-CIRC Technical Bulletin T-280

New Adobe Reader, Acrobat Vulnerability

http://www.doecirc.energy.gov/bulletins/t-280.shtml

概要

Adobe Reader および Acrobat には、解放済みメモリが使用される
(use-after-free) 脆弱性があります。結果として、遠隔の第三者が細
工した PDF ファイルを閲覧させることで任意のコードを実行したり,
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。なお、
本脆弱性を使用した攻撃活動が観測されています。

対象となるバージョンは以下の通りです。

- Adobe Reader および Acrobat 9.2 およびそれ以前

2009年12月22日現在、この問題に対する解決策は提供されていません。

回避策としては、Adobe Reader および Acrobat で JavaScript を無効
にする、ブラウザ上での PDF ファイルの表示を無効にする、不審な PDF
ファイルを開かないなどの方法があります。詳細については、Adobe が
提供する情報を参照してください。

【2】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive

Mozilla Releases Firefox 3.5.6 and Firefox 3.0.16

http://www.us-cert.gov/current/archive/2009/12/18/archive.html#mozilla_releases_firefox_3_51

DOE-CIRC Technical Bulletin T-281

Mozilla Firefox and SeaMonkey MFSA 2009-65 through -71 Multiple Vulnerabilities

http://www.doecirc.energy.gov/bulletins/t-281.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たり、権限を昇格したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.16
- Firefox 3.5.6
- SeaMonkey 2.0

なお、2009年12月22日現在、Thunderbird の修正プログラムは提供され
ていません。詳細については、OS のベンダや配布元が提供する情報を
参照してください。

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

情報源

VMware Security Advisories (VMSAs)

VMSA-2009-0017 VMware vCenter, ESX patch and vCenter Lab Manager releases address cross-site scripting issues

http://www.vmware.com/security/advisories/VMSA-2009-0017.html

概要

VMware 製品群のヘルプ機能には、クロスサイトスクリプティングの脆
弱性があります。結果として遠隔の第三者が、該当する製品にログイン
しているユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。

対象となる製品およびバージョンは以下の通りです。

- VMware ESX 4.0 (ESX400-200911223-UG 未適用のもの)
- VMware Server 2.0.2
- VMware vCenter Server 4.0 GA
- VMware Lab Manager 2.x
- VMware vCenter Lab Manager 3.x
- VMware vCenter Lab Manager 4.0
- VMware vCenter Stage Manager 1.x

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

情報源

US-CERT Vulnerability Note VU#228561

Microsoft Indeo video codecs contain multiple vulnerabilities

http://www.kb.cert.org/vuls/id/228561

概要

Microsoft Windows に含まれている Indeo コーデックには、複数の脆
弱性があります。結果として、遠隔の第三者が細工したビデオコンテン
ツを Windows Media Player、Internet Explorer や Windows Explorer
など Indeo コーデックを使用するアプリケーションで閲覧させること
で任意のコードを実行する可能性があります。

対象となるプラットフォームは以下の通りです。

- Microsoft Windows 2000
- Windows XP
- Windows Server 2003

2009年12月22日現在、この問題に対するセキュリティ更新プログラムは
提供されていません。

回避策としては、Indeo コーデックの登録を解除するなどの方法があり
ます。また、マイクロソフトは回避策として Indeo コーデックの登録
を解除する「Fix it」を公開しています。詳細については、下記関連文
書を参照してください。

【5】P forum にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#00152874

P forum におけるディレクトリトラバーサルの脆弱性

https://jvn.jp/jp/JVN00152874/index.html

概要

Rocomotion の電子掲示板ソフトウェア P forum には、ディレクトリト
ラバーサルの脆弱性があります。結果として、遠隔の第三者がサーバ内
にある任意のファイルを閲覧する可能性があります。

対象となるバージョンは以下の通りです。

- P forum ver 1.27 およびそれ以前

この問題は、Rocomotion が提供する修正済みのバージョンに P forum
を更新することで解決します。

■今週のひとくちメモ

○アンチウイルス製品のサポート期間にご注意

2009年のひとくちメモの発行も本号が最後となりました。JPCERT/CC で
は「冬期の長期休暇を控えて」という文章を発行しましたが、そこでは
取り上げなかったトピックを一つご紹介させていただきます。

アンチウイルス製品を使用する際には、製品本体のサポート期間とウイ
ルス検知のためのパターンファイルの提供期間 (ライセンス有効期限)
に注意が必要です。

製品本体のサポート期間中であってもパターンファイルの提供期間を過
ぎていたり、逆にパターンファイルの提供期間中であっても製品本体の
サポート期間を過ぎていると、最新のウイルスを検知できなくなる危険
があります。

お休み中にご家庭で使用しているパソコンのアンチウイルス製品のサポー
ト期間もチェックし、必要に応じて更新しましょう。

2009年も JPCERT/CC Weekly Report をご愛顧いただきありがとうござ
いました。2010年の発行は 1月14日からの予定です。

ではみなさま、良いお年を。

参考文献 (日本語)

JPCERT/CC

冬期の長期休暇を控えて 2009/12

http://www.jpcert.or.jp/pr/2009/pr090007.txt

トレンドマイクロ

ウイルスバスターサポート終了情報

http://jp.trendmicro.com/jp/support/personal/end_support/index.html

Kaspersky

製品のサポート期間について

http://www.kaspersky.co.jp/service/support_rules

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。

https://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。

https://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。

https://www.jpcert.or.jp/form/

以上。

2009 (C) JPCERT/CC

続きを読む（配信元：JPCERT）

キーワード:
頻度:
E-MAIL:

Weekly Report: P forum にディレクトリトラバーサルの脆弱性 - JPCERT

<<< JPCERT/CC WEEKLY REPORT 2009-12-24 >>>

■12/13(日)〜12/19(土) のセキュリティ関連情報

目 次

【1】Adobe Reader および Acrobat に脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

【5】P forum にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】アンチウイルス製品のサポート期間にご注意

【1】Adobe Reader および Acrobat に脆弱性

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【2】Mozilla 製品群に複数の脆弱性

情報源

概要

関連文書 (日本語)

関連文書 (英語)

【3】VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性

情報源

概要

関連文書 (英語)

【4】Microsoft Windows の Indeo コーデックに複数の脆弱性

情報源

概要

関連文書 (日本語)

【5】P forum にディレクトリトラバーサルの脆弱性

情報源

概要

関連文書 (日本語)

■今週のひとくちメモ

○アンチウイルス製品のサポート期間にご注意

参考文献 (日本語)

■JPCERT/CC からのお願い

関連するセキュリティ情報

「セキュリティ」の新着情報

アラートの作成

アクセス記事ランキング

PR

引越しならダック引越しセンター

タグクラウド

IPAセキュリティニュース

目　次