<<< JPCERT/CC WEEKLY REPORT 2009-07-29 >>>
■07/19(日)〜07/25(土) のセキュリティ関連情報
目 次
【1】複数の Adobe 製品に脆弱性
【2】Mozilla 製品群に複数の脆弱性
【3】Cisco Unified Contact Center Express サーバに複数の脆弱性
【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中
【今週のひとくちメモ】Java JDK/JRE の古いバージョンを削除する
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr092901.txt
https://www.jpcert.or.jp/wr/2009/wr092901.xml
【1】複数の Adobe 製品に脆弱性
情報源
US-CERT Technical Cyber Security Alert TA09-204A
Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products
http://www.us-cert.gov/cas/techalerts/TA09-204A.htmlUS-CERT Vulnerability Note VU#259425
Adobe Flash vulnerability affects Flash Player and other Adobe products
http://www.kb.cert.org/vuls/id/259425DOE-CIRC Technical Bulletin T-191
Vulnerability in Adobe Acrobat, Reader, and Flash Player
http://www.doecirc.energy.gov/bulletins/t-191.shtml
概要
複数の Adobe 製品には Flash に起因する脆弱性があります。結果とし て、遠隔の第三者が細工した HTML 文書または PDF ファイルを閲覧さ せることで、任意のコードを実行する可能性があります。なお、本脆弱 性を使用した攻撃活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 9.0.159.0 およびそれ以前 - Adobe Flash Player 10.0.22.87 およびそれ以前 - Adobe Reader および Acrobat 9.1.2 およびそれ以前 Adobe によると Flash サポートが搭載されている他の Adobe 製品も影 響を受ける可能性があります。 2009年7月28日現在、この問題に対する解決策は提供されていません。 なお、Adobe によると、Flash Player は、米国時間 2009年7月30日、 Reader と Acrobat については、7月31日に対策版を提供するとのこと です。 回避策としては、Flash プラグインを無効にするなどの方法があります。 詳細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA09-204A
Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性
https://jvn.jp/cert/JVNTA09-204A/index.htmlJapan Vulnerability Notes JVNVU#259425
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU259425/index.html
関連文書 (英語)
Adobe Security Bulletin APSA09-03
Security advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.htmlAdobe TechNote
How to uninstall the Adobe Flash Player plug-in and ActiveX control
http://kb2.adobe.com/cps/141/tn_14157.html
【2】Mozilla 製品群に複数の脆弱性
情報源
Mozilla Developer News
Firefox 3.0.12 security and stability release now available
https://developer.mozilla.org/devnews/index.php/2009/07/21/firefox-3-0-12-security-and-stability-release-now-available/
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.0 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.12 なお、Firefox 3.5.1 は本脆弱性の影響を受けません。 2009年7月28日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。
関連文書 (日本語)
Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12
【3】Cisco Unified Contact Center Express サーバに複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-189
Directory Traversal Vulnerability in the Administration Interface in Cisco Customer Response Solutions
http://www.doecirc.energy.gov/bulletins/t-189.shtml
概要
Cisco Unified Contact Center Express (Cisco Unified CCX) サーバ には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報 を取得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品は以下の通りです。 - 以下の製品が動作する Cisco Unified CCX サーバ - Cisco Customer Response Solution (CRS) 3.x、4.x、5.x、6.x、7.x - Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) 3.x、4.x、5.x、6.x、7.x - Cisco Unified CCX 4.x、5.x、6.x、7.x - Cisco Unified IP Contact Center Express 3.x、5.x、6.x、7.x - Cisco Customer Response Applications 3.x - Cisco IP Queue Manager (IP QM) 3.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified CCX サーバを更新することで解決します。
関連文書 (英語)
Cisco Security Advisory 110307
Vulnerabilities in Unified Contact Center Express Administration Pages
http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml
【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中
情報源
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 先週もお知らせしましたが、「C/C++ セキュアコーディングハーフデイ キャンプ」part2 は 8月7日に開催予定です。奮ってお申し込み下さい。 日時: part2 <ファイル入出力 part1,part2,part3> 2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名
関連文書 (日本語)
JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html
■今週のひとくちメモ
○Java JDK/JRE の古いバージョンを削除する
Java JDK/JRE を更新した際、古いバージョンが削除されずにインストー ルされたままになっている場合があります (例えば Windows 版など)。 そのまま放置しておくと、古いバージョンにある脆弱性を攻撃に悪用さ れる可能性があります。更新作業を行なったら、コントロールパネルや ブラウザの設定画面から、JDK/JRE のどのバージョンが使える状態であ るかを確認し、古いバージョンは可能なかぎり速やかに削除しましょう。
参考文献 (日本語)
Java テクノロジ FAQ
JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
http://java.com/ja/download/faq/remove_olderversions.xmlJava ヘルプセンター
コンピュータに、RPM を使用してインストールした Java Runtime Environment のバージョンが 2 つあります。これらのバージョンの 1 つを削除するには、どうすればよいですか。
http://java.com/ja/download/help/5000012100.xmlJava ヘルプセンター
Windows から Java Runtime Environment をアンインストールする方法
http://java.com/ja/download/help/uninstall_java.xmlJPCERT/CC REPORT 2009-02-25
【今週のひとくちメモ】インストールされた Java のバージョンの確認
http://www.jpcert.or.jp/wr/2009/wr090801.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/