特に重要なセキュリティ欠陥・ウイルス情報

Apache HTTPD (Webサーバ) 2.2.19 以前に重大な欠陥が発見されました。外部から大きな負荷をかけ、Web ページを参照できなくする攻撃 (DoS 攻撃) を受ける恐れがあります。攻撃プログラムも公開されており、誰でも実行できる状態です。

• Apache HTTPD Security ADVISORY UPDATE 3 - FINAL: Range header DoS vulnerability Apache HTTPD prior to 2.2.20 (apache.org)

Apache HTTPD 2.2.20 以降で修正されています。最新版は 2.2.21 です。また 2.2.19 以前、および 2.0.x 用の patch が用意されています。ソースコードから build する場合に利用できます。

• 2.2.9〜14 用 patch
• 2.2.15〜19 用 patch
• 2.0.55〜64 用 patch

Apache 1.3.x にはこの欠陥は無いとされています。

Linux 上で、各ディストリビューションに付属する Apache HTTPD パッケージを利用している場合は、各ディストリビューションが提供する更新版を適用して下さい。

• Red Hat Enterprise Linux: RHSA-2011:1245-1
• Debian GNU/Linux: DSA-2298-2 apache2
• ubuntu Linux: USN-1199-1
• Vine Linux: 6.0 用、5.2 用
• Scientific Linux: httpd
• CentOS: CentOS 4 は httpd-2.0.52-48.ent.centos4 (i386, x86_64) に、CentOS 5 は httpd-2.2.3-53.el5.centos.1 に更新して下さい。

更新できない場合は、Apache HTTPD Security ADVISORY UPDATE 3 に記載されている回避策を実施して下さい。

デジタル証明書発行機関の1つ DigiNotar 社がハッキングされ、不正なデジタル証明書を発行していたことが明らかとなりました。放置しておくと、たとえば偽の Web サイトに誘導されても全く気がつかないといった事態が発生する恐れがあります。

• 不正なデジタル署名の問題の影響と対策 (日本のセキュリティチーム)

各社から、DigiNotar のルート証明書を削除する更新プログラム等が公開されていますので適用して下さい。

OS

• Windows: 更新プログラム 2616676 を適用して下さい。Microsoft Update や Microsoft Windows Software Update Services などによる更新を勧めます。
• Mac OS X: セキュリティアップデート 2011-005 を適用して下さい。ただし Mac OS X 10.6 以降にしか用意されていません。Mac OS X 10.5 以前は、まず 10.6 以降にアップグレードする必要があります。
• Linux: 各ディストリビューションにおいて、更新パッケージを適用して下さい。
  • Red Hat Enterprise Linux: RHSA-2011:1248-1、RHSA-2011:1282-1
  • Debian GNU/Linux: DSA-2299-1 ca-certificates、DSA-2300-2 nss
  • ubuntu Linux: USN-1197-4、USN-1197-5
  • Scientific Linux: ca-certificates、nss and nspr
  • CentOS: RHSA-2011-1282 相当 (i386, x86_64)

iOS (iPhone、iPad) や Android にも DigiNotar のルート証明書が含まれていますが、まだ更新プログラムが用意されていないようです。

• DigiNotar 関連: iPad, iPhone, iOS のルート証明書を確認する (Security-Talk by Cozax)
• DigiNotar の件: Android の証明書を確認する (Security-Talk by Cozax)

アプリケーション

• Firefox: 6.0.2 または 3.6.22 に更新して下さい。Android 版 Firefox も 6.0.2 が用意されています。
• Thunderbird: 6.0.2 または 3.1.14 に更新して下さい。
• SeaMonkey: 2.3.3 に更新して下さい。
• Google Chrome: 13.0.782.218 以降に更新して下さい。
• Adobe Reader / Acrobat: 10.1.1 または 9.4.6 に更新して下さい。10.1.1 への更新を強く推奨します。ただし UNIX 版 Adobe Reader については、9.4.6 がまだ用意されていません。参照: APSB11-24

2011.10.18 追記

iOS については iOS 5 で対応されました。iPhone / iPad ユーザは更新してください。

Flash Player 10.3.183.10 (Windows, Mac, Linux, Solaris)、10.3.186.7 (Android) が公開されています。6 件のセキュリティ欠陥が修正されています。そのうち 1 件は既に悪用されています。

• APSB11-26: Security update available for Adobe Flash Player (Adobe)

Flash Player 利用者は早急に更新して下さい。

Flash Player 10.3.183.10 は Adobe のダウンロードページから入手できます。また主なプラットホーム用のバイナリについて RINS web ページでも配布しています (学内からのみ入手可)。

• Windows (Internet Explorer 用)
  • EXE 形式
  • MSI 形式

• Windows (Firefox, Opera, Safari などプラグイン方式用)
  • EXE 形式
  • MSI 形式

• Mac OS X (.dmg ファイル)
  • Intel 用バイナリ

• Linux
  • RPM 形式
  • tar.gz 形式

.deb 形式での配布は行われなくなりました。Debian GNU/Linux の利用者はご注意下さい。

Flash Professional CS5, Flash CS4 Professional, Flex 4 については専用の Flash Player が存在します。Adobe Flash Player Support Center からダウンロードしてください。

Google Chrome に内蔵されている Flash Player は Google Chrome 14.0.835.186 で修正されています。Google Chrome 利用者は更新して下さい。

現在使用している Flash Player のバージョンは About Flash Player ページ (adobe) で確認できます。Internet Explorer とその他のブラウザ (Firefox, Opera, Safari 等) とで個別に確認する必要があります。また、MyJVN バージョンチェッカー を利用すれば、Flash Player や Adobe Reader など攻撃されやすいアプリケーションが最新版になっているか否かを簡単に確認できます。

旧バージョンからアップグレードする場合は、既存の Flash Player をあらかじめアンインストールしておき、その後 Flash Player 10.3.183.10 をインストールすることを推奨します。アンインストール用のプログラムも用意されています。

• Flash Player のアンインストール手順（Windows） (Adobe)
• How to uninstall the Adobe Flash Player plug-in and ActiveX control (Adobe)

Flash を利用しているアプリケーションが起動されていると、新バージョンをうまくインストールできないことがあります。新バージョンをうまくインストールできない場合は、以下の手順を試してみてください。

1. アンインストール用のプログラムを実行する。
2. 再起動する。
3. 再起動後に、新バージョンをインストールする。

これでもうまくいかない場合は、スタートアップにおいて、Flash を利用しているアプリケーションが起動されていると考えられます。スタートアップで起動されているアプリケーションを終了させた後に新バージョンをインストールしてみてください。

関連キーワード: Flash Player

Adobe Reader / Acrobat 10.1.1 / 9.4.6 / 8.3.1 が公開されています。13 件のセキュリティ欠陥が修正されています。

• APSB11-24：Adobe Reader および Acrobat に関するセキュリティアップデート公開 (Adobe)

Adobe Reader / Acrobat のインストーラ / アップデータは以下のリンクから入手できます。更新する場合は Adobe Reader / Acrobat のアップデート機能の利用を推奨します。

• Adobe Reader for Windows
• Adobe Reader for Macintosh
• Adobe Reader for Unix
• Acrobat for Windows
• Acrobat Pro Extended for Windows
• Acrobat 3D
• Acrobat Pro for Macintosh

Adobe Reader 10.1.1 / 9.4.6 のインストーラ / アップデータは、次のリンクからも入手できます (龍大内部からのみアクセス可)。

• Windows: Adobe Reader 10.1.1 インストーラ(日本語版)、Adobe Reader 10.1.1 アップデータ、Adobe Reader 10.1.1 アップデータ(MUI版)、Adobe Reader 9.4.6 アップデータ
• Mac OS X: Adobe Reader 10.1.1 アップデータ、Adobe Reader 9.46 アップデータ (intel)、Adobe Reader 9.4.6 アップデータ (ppc)

Adobe Reader / Acrobat はウイルスに狙われやすいプログラムの 1 つです。早急に更新してください。

注意点:

• Adobe Reader / Acrobat 7.x 以前はもはやサポートされていません。また Adobe Reader / Acrobat 8.x のサポートは今年の11月3日までです。Adobe Reader / Acrobat 8.x 以前の利用者は、速やかに Adobe Reader / Acrobat 10.x / 9.x にアップグレードしてください。
• Adobe Reader 9.4.6 for UNIX だけはまだリリースされていません。2011.11.07 に登場する予定です。欠陥は UNIX 版にも存在しますので注意して下さい。9.4.6 for UNIX が公開されるまでは、xpdf や Google Chrome など、他の PDF 閲覧ソフトの利用を推奨します。

古いバージョンの Adobe Acrobat をアップグレードする費用を工面できないという場合は、Adobe Acrobat をアンインストールした上で、PrimoPDF などの無償ソフトウェアの利用を推奨します。

関連キーワード: Acrobat, Adobe Reader

Microsoft から 2011 年 9 月の月例セキュリティ更新プログラムが公開されています。

• 2011 年 9 月のセキュリティ情報 (Microsoft)
• 2011 年 9 月のセキュリティ情報 (月例) (日本のセキュリティチーム)

Microsoft Update や Microsoft Windows Software Update Services などを利用して更新プログラムをインストールしてください。「毎月第 2 火曜日 (米国時間) は Windows Update の日」に更新方法に関する情報をまとめてあります。また、自動更新を利用する場合は「自動更新について」を参照してください。再起動を促された場合には、再起動してください。

以下の点に注意してください。

• Mac 版の Office も影響を受けます。Mac 版 Office の更新機能を使うか、あるいは MS11-072 から更新プログラムをダウンロードして適用してください。

RINS の複数の Windows 機に更新プログラムをインストールしてみましたが、特に問題は発生していません。不具合が発生した場合は、RINS 担当教員 (内線 7414) までご連絡下さい。

関連キーワード: Windows, Office