特に重要なセキュリティ欠陥・ウイルス情報

Java Platform, Standard Edition (Java SE) の更新版が公開されています。複数の重大なセキュリティ欠陥が修正されています。

• JVNTA08-340A - Java における複数の脆弱性に対するアップデート
• JDK and JRE 6 Update 11: リリースノート、ダウンロード
• JDK and JRE 5.0 Update 17: リリースノート、ダウンロード
• SDK and JRE 1.4.2_19: リリースノート、ダウンロード
• SDK and JRE 1.3.1_24: リリースノート、ダウンロード

Java SE を利用している場合は、最新のリリースにアップデートしてください。また、以下の点に注意してください。

• 特に支障がなければ、最新バージョンの Java SE (JDK / JRE 6 Update 11) を利用してください。
• 複数のバージョンの Java SE をインストールしている場合は、それぞれのバージョンについて最新のリリースにアップデートしてください。
• アップデート後、古いリリースをアンインストールしてください。古いリリースは自動的にはアンインストールされません。古いリリースをインストールしたままにすると、セキュリティ欠陥も残り続けます。

たとえば、お使いのコンピュータに JRE 6 Update 7 と JRE 5.0 Update 16 がインストールされている場合、

• JRE 6 Update 11 と JRE 5.0 Update 17 をインストールし、
• 動作確認後、JRE 6 Update 7 と JRE 5.0 Update 16 をアンインストールしてください。

関連キーワード: Java

OpenSSH を含む SSH 実装において、成功する確率はたいへん低いものの SSH 暗号化通信におけるデータが一部漏えいする可能性が指摘されています。

• CPNI-957037 - SSH 通信において一部データが漏えいする可能性 (JVN)

この欠陥を回避するには、暗号化において CBC (暗号ブロック連鎖) モードではなく CTR (カウンター) モードを使用します。あるいは暗号化アルゴリズムに Arcfour を使用しても回避できます。OpenSSH のデフォルト設定では CBC モードが使用されますが、OpenSSH のクライアント設定ファイル (/etc/ssh/ssh_config や ~/.ssh/config) において次のように設定すれば、CTR モードや Arcfour が使用されます。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour128,arcfour256,arcfour

上記は OpenSSH 4.2 以降で利用できる設定です。クライアントが OpenSSH 4.1 以前の場合は arcfour128 と arcfour256 が利用できないので、こうします。

Host *
  Ciphers aes128-ctr,aes192-ctr,aes256-ctr,arcfour

さらに、クライアントが OpenSSH 3.6 以前の場合は CTR モードが利用できないので、こうします。

Host *
  Ciphers arcfour

rins.st.ryukoku.ac.jp の OpenSSH (5.0p1) については上記設定を行ってあります。

その他の SSH 実装についてですが、

• SSH Tectia については Plaintext Recovery Attack Against SSH (ssh.com) を参照してください。
• PuTTY 0.60 は標準で CTR モードを使用するようです。
• Tera Term (旧称 UTF-8 TeraTerm Pro with TTSSH2) については、近くリリースされるはずのバージョン 4.61 で CTR モードに対応されます。Arcfour には対応していません。
• Poderosa については、最新のバージョン 4.10 においても、CTR モードにも Arcfour にも対応していないようです。

関連キーワード: OpenSSH, SSH

Adobe AIR 1.5 が公開されています。AIR 1.1 以前に存在する欠陥が修正されています。

• APSB08-23 - AIR update available to address security vulnerabilities (Adobe)
• ダウンロード (Adobe)

AIR の利用者は更新してください。

関連キーワード: AIR

Safari 3.2 が公開されています。複数の重大な欠陥が修正されています。

• About the security content of Safari 3.2 (Apple)
• Safari ダウンロード (Apple)

Safari を利用している場合は更新して下さい。

関連キーワード: Safari

Firefox 2.0.0.18 / 3.0.4 が公開されています。複数の重大な欠陥が修正されています。

• Firefox 2.0.0.18 リリースノート
• Firefox 3.0.4 リリースノート
• ダウンロード

Firefox 利用者は更新してください。また Firefox 2.x 以前の利用者は、Firefox 3.0.4 への移行を検討してください。

なお、Firefox で修正された欠陥の一部は Thunderbird にも存在し、Thunderbird 2.0.0.18 で修正される予定です。（まだ公開されていません）

関連キーワード: Firefox, Thunderbird

2008.11.20 追記

Thunderbird 2.0.0.18 が公開されました。

• Thunderbird 2.0.0.18 リリースノート
• ダウンロード

また、Firefox 2.x のセキュリティ更新の提供が 2008 年 12 月中旬に終了することが正式にアナウンスされています。Firefox 2.x 以前の利用者は、Firefox 3.0.4 への移行を早急に検討・実施してください。