PR

Firefox 3.0.11リリース(2009/06/11)

 Firefox 3.0.11では,九つのセキュリティ問題を解決しています。Firefoxのアップデートには「ソフトウェアの更新を確認」を利用できます(写真2)。

影響アドバイザリ
攻撃者の用意した任意のコードを実行されてしまう
  • MFSA 2009-24:メモリ破壊の形跡があるクラッシュ(rv:1.9.0.11)
  • MFSA 2009-28:NPObject JSラッパークラスオブジェクトのプライベートデータへのアクセス時に生じる競合状態
  • MFSA 2009-29:オーナードキュメントがNULLの要素に割り当てられたイベントリスナーを利用した任意のコード実行
  • アクセス権限の昇格
  • MFSA 2009-30:ロケーションバーを通じて読み込まれたfile:リソースに誤ったプリンシパルが設定される
  • MFSA 2009-32:JavaScriptによるクローム特権昇格
  • 情報漏えい
  • MFSA 2009-26:ローカルfile:リソースによる任意ドメインCookieへのアクセス
  • MFSA 2009-27:プロキシCONNECTリクエストに対する200以外のレスポンスを通じたSSL通信改ざん
  • MFSA 2009-31:XULスクリプトのコンテンツポリシーチェック回避
  • なりすまし
  • MFSA 2009-25:不正なUnicode文字によるURL偽装
  • 写真2●Firefoxのアップデートチェック
    [画像のクリックで拡大表示]

    [参考情報]

    JRE(Sun Java Runtime Environment)6 Update 14リリース(2009/06/11)

     JRE 6 Update 14がリリースされました。ただし,このリリースには,ぜい弱性に関する新しい修正は含まれていません。

     JREのアップデートは,WindowsコントロールパネルからJavaコントロールパネルを起動して,「今すぐアップデート」を利用することで確認できます(写真3)。Javaコントロールパネルは,アップデート用のXMLファイルから,バージョンごとのアップデート動作を記述したXMLファイルを参照する仕様になっています。例えばJRE 6 Update 12(1.6.0_12-b04)の場合は1.6.0_13-b93.xmlを,JRE 6 Update 13(1.6.0_13-b03)の場合にはau-descriptor-1.6.0_14-b08.xmlを,アップデート動作を記述したXMLファイルとしてダウンロードします(写真4)。

    写真3●Javaのアップデートチェック
    写真3●Javaのアップデートチェック
    写真4●アップデート用のXMLファイルmap-1.6.0.xml
    [画像のクリックで拡大表示]

    [参考情報]

    Cyber Security Bulletin SB09-159(2009/06/09)

     6月1日の週に報告されたぜい弱性の中から,Apache Tomcatに関するぜい弱性について紹介します。Vulnerability Summary for the Week of June 1, 2009

    ■Apache Tomcat に複数のぜい弱性(2009/06/05)

     Apache Tomcat 4.1.0~4.1.39,5.5.0~5.5.27,6.0.0~6.0.18に,サービス不能状態に陥る,クロスサイト・スクリプティング,情報漏えいの影響を伴うぜい弱性が報告されています。

     Apache Tomcat 6.0.x系列を利用している場合には,対策版である6.0.20にアップデートしてください。6月15日時点で,Apache Tomcat 5.5.xと4.1.x系列の対策版である5.5.8と4.1.40はリリースされていませんので,これらの系列を利用している場合には修正プログラム(5.5.x 系列:revision 782757,783291,4.1.x系列:revision 782763,783292)の入手,あるいは,最新版リリースにあわせたアップデートを検討してください。

    影響ぜい弱性番号
    サービス不能(DoS: denial of service)状態に陥る
  • Java AJP(apache jserv protocol)コネクタ経由で受信した要求処理のぜい弱性(CVE-2009-0033,JVN#87272440)
  • クロスサイトスクリプティング
  • カレンダーアプリケーションにXSSのぜい弱性(CVE-2009-0781)
  • 情報漏えい
  • RequestDispatcherにおけるディレクトリトラバーサルのぜい弱性(CVE-2008-5515,JVN#63832775)
  • 認証クラスにおける不十分なエラー処理に関するぜい弱性(CVE-2009-0580)
  • XMLパーサの代替に関するぜい弱性(CVE-2009-0783)
  • [参考情報]


    寺田 真敏
    Hitachi Incident Response Team
    チーフコーディネーションデザイナ

    『HIRT(Hitachi Incident Response Team)とは』

    HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。