1. ホーム
  2. Weekly Report: Liferay Portal にクロスサイトスクリプティングの脆弱性
12461件のニュースを掲載中
rss

Weekly Report: Liferay Portal にクロスサイトスクリプティングの脆弱性 - JPCERT

JPCERT - 2010年01月14日(木)





JPCERT/CC: 情報提供サービス - JPCERT/CC Weekly Report




JPCERT-WR-2010-0101
JPCERT/CC
2010-01-14


<<< JPCERT/CC WEEKLY REPORT 2010-01-14 >>>



■12/20(日)〜01/09(土) のセキュリティ関連情報




目 次



【1】「Adobe Reader および Acrobat に脆弱性」に関する追加情報


【2】Movable Type にアクセス制限回避の脆弱性


【3】VMware ESX に複数の脆弱性


【4】Adobe Flash Media Server に複数の脆弱性


【5】PowerDNS Recursor に複数の脆弱性


【6】Linear eMerge のマネージメントコンポーネントに脆弱性


【7】Liferay Portal にクロスサイトスクリプティングの脆弱性


【8】Web サイト改ざんに関する情報提供のお願い


【9】フィッシング対策セミナー開催のお知らせ


【今週のひとくちメモ】年越しの処理に注意





※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/



※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。

https://www.jpcert.or.jp/wr/2010/wr100101.txt

https://www.jpcert.or.jp/wr/2010/wr100101.xml






【1】「Adobe Reader および Acrobat に脆弱性」に関する追加情報



情報源





Adobe Security Bulletin APSB10-02


Security Advisory for Adobe Reader and Acrobat



http://www.adobe.com/support/security/bulletins/apsb10-02.html





概要



JPCERT/CC WEEKLY REPORT 2009-12-24 号【1】で紹介した「Adobe
Reader および Acrobat に脆弱性」に関する追加情報です。

Adobe は、この問題に対する修正を含む修正済みのバージョンを2010年
1月13日 (日本時間) に提供しました。詳細については、Adobe が提供
する情報を参照してください。



関連文書 (日本語)





JPCERT/CC WEEKLY REPORT JPCERT-WR-2009-4901


【1】Adobe Reader および Acrobat に脆弱性



https://www.jpcert.or.jp/wr/2009/wr094901.html#1




JPCERT/CC Alert JPCERT-AT-2009-0027


Adobe Reader 及び Acrobat の未修正の脆弱性に関する注意喚起



https://www.jpcert.or.jp/at/2009/at090027.txt









【2】Movable Type にアクセス制限回避の脆弱性



情報源





Japan Vulnerability Notes JVN#09872874


Movable Type におけるアクセス制限回避の脆弱性



https://jvn.jp/jp/JVN09872874/index.html





概要



Movable Type には、アクセス制限を回避される脆弱性があります。結
果として、権限を持たないユーザが、Movable Type に保存されている
情報を閲覧したり、変更したりする可能性があります。

対象となるバージョンは以下の通りです。

- Movable Type 4.261 (Open Source) およびそれ以前
- Movable Type 4.261 (Professional Pack、Community Pack を同梱)
およびそれ以前
- Movable Type Commercial 4.261 (Professional Pack を同梱) およ
びそれ以前
- Movable Type Enterprise 4.261 およびそれ以前
- Movable Type 5.0 (Open Source)
- Movable Type 5.0 (Professional Pack、Community Pack を同梱)

この問題は、シックス・アパートが提供する修正済みのバージョンに
Movable Type を更新することで解決します。詳細については、シック
ス・アパートが提供する情報を参照してください。



関連文書 (日本語)





シックス・アパート


[重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始



http://www.movabletype.jp/blog/movable_type_501.html









【3】VMware ESX に複数の脆弱性



情報源





US-CERT Current Activity Archive


VMware Releases Multiple Updates for ESX



http://www.us-cert.gov/current/archive/2010/01/08/archive.html#vmware_releases_security_advisory3





概要



VMware ESX に含まれている Network Security Services (NSS) および
NetScape Portable Runtime (NSPR) の Service Console パッケージに
は、複数の脆弱性があります。結果として、遠隔の第三者が機密情報を
取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコード
を実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- VMware ESX 4.0 (ESX400-200912403-SG 未適用のもの)

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。





関連文書 (英語)





VMware Security Advisories (VMSAs)


VMSA-2010-0001 ESX Service Console updates for nss and nspr



http://www.vmware.com/security/advisories/VMSA-2010-0001.html







【4】Adobe Flash Media Server に複数の脆弱性



情報源





US-CERT Current Activity Archive


Adobe Releases Security Update for Flash Media Server



http://www.us-cert.gov/current/archive/2010/01/08/archive.html#adobe_releases_security_update_for





概要



Adobe Flash Media Server には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Flash Media Server 3.5.2 およびそれ以前

この問題は、Adobe が提供する修正済みのバージョンに Flash Media
Server を更新することで解決します。詳細については、Adobe が提供
する情報を参照してください。





関連文書 (英語)





Adobe Security Bulletin APSB09-18


Security update available for Flash Media Server



http://www.adobe.com/support/security/bulletins/apsb09-18.html







【5】PowerDNS Recursor に複数の脆弱性



情報源





US-CERT Current Activity Archive


PowerDNS Recursor Update Addresses Multiple Vulnerabilities



http://www.us-cert.gov/current/archive/2010/01/08/archive.html#powerdns_recursor_version_3_1





概要



PowerDNS Recursor には、複数の脆弱性があります。結果として、遠隔
の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを
実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- PowerDNS Recursor 3.1.7.1 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに PowerDNS
Recursor を更新することで解決します。





関連文書 (英語)





powerdns.com


PowerDNS Security Advisory 2010-01: PowerDNS Recursor up to and including 3.1.7.1 can be brought down and probably exploited



http://doc.powerdns.com/powerdns-advisory-2010-01.html




powerdns.com


PowerDNS Security Advisory 2010-02: PowerDNS Recursor up to and including 3.1.7.1 can be spoofed into accepting bogus data



http://doc.powerdns.com/powerdns-advisory-2010-02.html




Debian Security Advisory DSA-1968-1


pdns-recursor -- several vulnerabilities



http://www.debian.org/security/2010/dsa-1968







【6】Linear eMerge のマネージメントコンポーネントに脆弱性



情報源





US-CERT Vulnerability Note VU#571629


S2 Security Linear eMerge Access Control System management component vulnerable to unauthenticated factory reset



http://www.kb.cert.org/vuls/id/571629





概要



Linear eMerge のマネージメントコンポーネントには、脆弱性がありま
す。結果として、第三者が細工した特定の URI にアクセスすることに
より、サービス運用妨害 (DoS) 攻撃を行う可能性があります。なお、
DoS 攻撃を受けた場合でもノードコンポーネントは個々に動作を続けま
す。

対象となるバージョンは以下の通りです。

- Linear eMerge Software 2.5.x

この問題は、配布元が提供する修正済みのバージョンに Linear eMerge
を更新することで解決します。詳細については、配布元に問い合わせて
ください。



関連文書 (日本語)





Japan Vulnerability Notes JVNVU#571629


Linear eMerge のマネージメントコンポーネントにおけるサービス運用妨害 (DoS)



https://jvn.jp/cert/JVNVU571629/index.html







関連文書 (英語)





Linear LLC


CONTACT LINEAR TECHNICAL SUPPORT



http://www.linearcorp.com/technical_contacts.php




S2 Security Corporation


S2 Security



http://www.s2sys.com/







【7】Liferay Portal にクロスサイトスクリプティングの脆弱性



情報源





US-CERT Vulnerability Note VU#750796


Liferay Portal p_p_id parameter vulnerable to persistent cross-site scripting



http://www.kb.cert.org/vuls/id/750796





概要



Liferay Portal には、クロスサイトスクリプティングの脆弱性があり
ます。結果として、遠隔の第三者が管理者の権限で任意のスクリプトを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- Liferay Portal 5.2.3 および 5.1.2

この問題は、Liferay が提供する修正済みのバージョン 5.3.0 に、
Liferay Portal を更新することで解決します。





関連文書 (英語)





Liferay


Malicious JavaScript can be inserted into the Plugins Configuration section of Control Panel



http://issues.liferay.com/browse/LPS-6034







【8】Web サイト改ざんに関する情報提供のお願い



情報源





JPCERT/CC


Web サイト改ざんに関する情報提供のお願い



https://www.jpcert.or.jp/pr/2010/pr100001.txt





概要



昨年末より、Web サイトが改ざんされ、意図しない JavaScript を埋め
込まれる事象や、いわゆる Gumblar ウイルスをはじめとする FTP アカ
ウント盗用攻撃の被害が発生しています。

JPCERT/CC では、本件に関する被害の拡大を抑止するため、Web サイト
の改ざんや関連するインシデントの情報を収集しています。

本件に関連する情報をお持ちの方は、以下の Web フォームまたは電子
メールにより情報提供をお願いいたします。

Web フォーム: https://form.jpcert.or.jp/
電子メール: info@jpcert.or.jp
フォームの記入例はこちら
(https://www.jpcert.or.jp/pr/2010/form.png)をご参照下さい。

皆様のご協力を重ねてお願いいたします。詳細については情報源の URL
を参照してください。



関連文書 (日本語)





JPCERT/CC Alert JPCERT-AT-2009-0023


Web サイト経由でのマルウエア感染拡大に関する注意喚起



https://www.jpcert.or.jp/at/2009/at090023.txt




JPCERT/CC Alert JPCERT-AT-2010-0001


Web サイト改ざん及びいわゆる Gumblar ウイルス感染拡大に関する注意喚起



https://www.jpcert.or.jp/at/2010/at100001.txt




独立行政法人 情報処理推進機構 セキュリティセンター


ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起



http://www.ipa.go.jp/security/topics/20091224.html









【9】フィッシング対策セミナー開催のお知らせ



情報源





フィッシング対策協議会


フィッシング対策セミナー



https://www.antiphishing.jp/information/information1026.html





概要



近年、日本においてもフィッシング詐欺事例の増加が報告されてきてお
り、顧客保護の観点からインターネット関連事業者、金融機関は、自社
の顧客に対するフィッシング行為が行われていないか、十分に注意を払
う必要があります。フィッシング対策協議会では、フィッシングの危険
性や対策について広く周知する事で、被害の抑制や対策の実施に繋げる
事を目的とした、フィッシング対策セミナーを東京・大阪の2会場で開
催する事となりました。

日時および場所:
 東京会場
  2010年1月28日(木)13:30-17:00 (開場13:00)
  株式会社三菱総合研究所 1階 AVルーム
  http://www.mri.co.jp/PROFILE/office_map.html

 大阪会場
  2010年1月29日(金)13:30-17:00 (開場13:00)
  大阪合同庁舎1号館 第1別館2階 大会議室
  http://www.kansai.meti.go.jp/7kikaku/health/map.pdf

【お申込に関して】
参加費 :無料 (ただし、事前に参加申込みが必要です)
受付締切 :1月27日(水) 17:00 まで
参加申込先 :E-mail:ap-sec-mri@mri.co.jp
参加申込方法:
上記メールアドレスまで、参加を希望される会場(東京/大阪)
会社名、所属、役職、氏名をご連絡ください。




関連文書 (日本語)





フィッシング対策協議会



https://www.antiphishing.jp/










■今週のひとくちメモ




○年越しの処理に注意



2010年を迎え、年越し処理で問題が発生した事例がいくつか報告されて
います。システム運用上、西暦の年数や週番号を使っている個所につい
て、意図どおりに動作しているか、また、製品ベンダから情報が出てい
ないか確認することをお勧めします。

実際に以下のような問題が発生しています。

- アンチウイルス製品の定義ファイル更新の異常
- 銀行の ATM の異常
- スパムメール判定の異常
- 年番号や週番号の異常

詳細については、以下の参考文献をご覧ください。





参考文献 (英語)





Symantec


Security Content for Symantec Endpoint Protection clients and Symantec Endpoint Protection Managers are dated Dec 31 2009 even when using the latest definitions



http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2010010308571348




The H Security: News and Features


Problems obtaining cash from German ATMs - Update



http://www.h-online.com/security/news/item/Problems-obtaining-cash-from-German-ATMs-Update-894801.html




Apache Mailing list archives: announce@spamassassin.apache.org


Apache SpamAssassin Y2K10 Rule Bug - Update Your Rules Now!



http://mail-archives.apache.org/mod_mbox/spamassassin-announce/201001.mbox/%3C20100102074223.6745.qmail@minotaur.apache.org%3E




SANS Internet Storm Center


Handler's Diary: Any other reports of decade change problems?



http://isc.sans.org/diary.html?storyid=7873










■JPCERT/CC からのお願い






本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。



https://www.jpcert.or.jp/wr/



本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。



https://www.jpcert.or.jp/announce.html



JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。



https://www.jpcert.or.jp/form/









以上。





2010 (C) JPCERT/CC




続きを読む (配信元:JPCERT)


関連するセキュリティ情報

「セキュリティ」の新着情報

アラートの作成

チェックしたいキーワードを入力してください。

キーワード:
頻度:
E-MAIL:

PR

IPA 情報処理推進機構