▼ 2011/09/22(木) Apache Webサーバを更新して下さい
Apache HTTPD (Webサーバ) 2.2.19 以前に重大な欠陥が発見されました。外部から大きな負荷をかけ、Web ページを参照できなくする攻撃 (DoS 攻撃) を受ける恐れがあります。攻撃プログラムも公開されており、誰でも実行できる状態です。
- Apache HTTPD Security ADVISORY UPDATE 3 - FINAL: Range header DoS vulnerability Apache HTTPD prior to 2.2.20 (apache.org)
Apache HTTPD 2.2.20 以降で修正されています。最新版は 2.2.21 です。また 2.2.19 以前、および 2.0.x 用の patch が用意されています。ソースコードから build する場合に利用できます。
Apache 1.3.x にはこの欠陥は無いとされています。
Linux 上で、各ディストリビューションに付属する Apache HTTPD パッケージを利用している場合は、各ディストリビューションが提供する更新版を適用して下さい。
- Red Hat Enterprise Linux: RHSA-2011:1245-1
- Debian GNU/Linux: DSA-2298-2 apache2
- ubuntu Linux: USN-1199-1
- Vine Linux: 6.0 用、5.2 用
- Scientific Linux: httpd
- CentOS: CentOS 4 は httpd-2.0.52-48.ent.centos4 (i386, x86_64) に、CentOS 5 は httpd-2.2.3-53.el5.centos.1 に更新して下さい。
更新できない場合は、Apache HTTPD Security ADVISORY UPDATE 3 に記載されている回避策を実施して下さい。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0397/tb/
▼ 2011/09/22(木) DigiNotar 社のルート証明書を削除してください
デジタル証明書発行機関の1つ DigiNotar 社がハッキングされ、不正なデジタル証明書を発行していたことが明らかとなりました。放置しておくと、たとえば偽の Web サイトに誘導されても全く気がつかないといった事態が発生する恐れがあります。
- 不正なデジタル署名の問題の影響と対策 (日本のセキュリティチーム)
各社から、DigiNotar のルート証明書を削除する更新プログラム等が公開されていますので適用して下さい。
OS
- Windows: 更新プログラム 2616676 を適用して下さい。Microsoft Update や Microsoft Windows Software Update Services などによる更新を勧めます。
- Mac OS X: セキュリティアップデート 2011-005 を適用して下さい。ただし Mac OS X 10.6 以降にしか用意されていません。Mac OS X 10.5 以前は、まず 10.6 以降にアップグレードする必要があります。
- Linux: 各ディストリビューションにおいて、更新パッケージを適用して下さい。
- Red Hat Enterprise Linux: RHSA-2011:1248-1、RHSA-2011:1282-1
- Debian GNU/Linux: DSA-2299-1 ca-certificates、DSA-2300-2 nss
- ubuntu Linux: USN-1197-4、USN-1197-5
- Scientific Linux: ca-certificates、nss and nspr
- CentOS: RHSA-2011-1282 相当 (i386, x86_64)
iOS (iPhone、iPad) や Android にも DigiNotar のルート証明書が含まれていますが、まだ更新プログラムが用意されていないようです。
- DigiNotar 関連: iPad, iPhone, iOS のルート証明書を確認する (Security-Talk by Cozax)
- DigiNotar の件: Android の証明書を確認する (Security-Talk by Cozax)
アプリケーション
- Firefox: 6.0.2 または 3.6.22 に更新して下さい。Android 版 Firefox も 6.0.2 が用意されています。
- Thunderbird: 6.0.2 または 3.1.14 に更新して下さい。
- SeaMonkey: 2.3.3 に更新して下さい。
- Google Chrome: 13.0.782.218 以降に更新して下さい。
- Adobe Reader / Acrobat: 10.1.1 または 9.4.6 に更新して下さい。10.1.1 への更新を強く推奨します。ただし UNIX 版 Adobe Reader については、9.4.6 がまだ用意されていません。参照: APSB11-24
2011.10.18 追記
iOS については iOS 5 で対応されました。iPhone / iPad ユーザは更新してください。
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0396/tb/
▼ 2011/09/22(木) Flash Player 10.3.183.10 が公開されています
Flash Player 10.3.183.10 (Windows, Mac, Linux, Solaris)、10.3.186.7 (Android) が公開されています。6 件のセキュリティ欠陥が修正されています。そのうち 1 件は既に悪用されています。
Flash Player 利用者は早急に更新して下さい。
Flash Player 10.3.183.10 は Adobe のダウンロードページから入手できます。また主なプラットホーム用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。
- Mac OS X (.dmg ファイル)
.deb 形式での配布は行われなくなりました。Debian GNU/Linux の利用者はご注意下さい。
Flash Professional CS5, Flash CS4 Professional, Flex 4 については専用の Flash Player が存在します。Adobe Flash Player Support Center からダウンロードしてください。
Google Chrome に内蔵されている Flash Player は Google Chrome 14.0.835.186 で修正されています。Google Chrome 利用者は更新して下さい。
現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。
旧バージョンからアップグレードする場合は、既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.3.183.10 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。
- Flash Player のアンインストール手順(Windows) (Adobe)
- How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe)
Flash を利用しているアプリケーションが起動されていると、新バージョンをうまくインストールできないことがあります。新バージョンをうまくインストールできない場合は、以下の手順を試してみてください。
- アンインストール用のプログラムを実行する。
- 再起動する。
- 再起動後に、新バージョンをインストールする。
これでもうまくいかない場合は、スタートアップにおいて、Flash を利用しているアプリケーションが起動されていると考えられます。スタートアップで起動されているアプリケーションを終了させた後に新バージョンをインストールしてみてください。
関連キーワード: Flash Player
- TB-URL(確認後に公開) http://389060.uk36p.group/blog/vuln/0395/tb/