<<< JPCERT/CC WEEKLY REPORT 2009-08-26 >>>
■08/16(日)〜08/22(土) のセキュリティ関連情報
目 次
【1】Adobe ColdFusion および JRun に複数の脆弱性
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
【3】VMware 製品に複数の脆弱性
【4】Cisco Firewall Services Module に脆弱性
【5】Adobe Flex SDK にクロスサイトスクリプティングの脆弱性
【6】memcached にバッファオーバーフローの脆弱性
【7】libpurple ライブラリにバッファオーバーフローの脆弱性
【8】mycaljp にクロスサイトスクリプティングの脆弱性
【9】「Namazu」の古いバージョンを利用している Web サイトへの注意喚起
【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」参加者募集のお知らせ
【今週のひとくちメモ】Microsoft Office 2007 SP2 自動更新による提供開始
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093301.txt
https://www.jpcert.or.jp/wr/2009/wr093301.xml
【1】Adobe ColdFusion および JRun に複数の脆弱性
情報源
Adobe Security Bulletin APSB09-12
Security Update: Hotfixes available for ColdFusion and JRun
http://www.adobe.com/support/security/bulletins/apsb09-12.html
概要
Adobe ColdFusion および JRun には、複数の脆弱性があります。結果 として、遠隔の第三者が機密情報を取得したり、権限を昇格したり、ユー ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ColdFusion 8.0.1 およびそれ以前 - JRun 4.0 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVN#21388501
ColdFusion におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21388501/index.html
【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報
情報源
Mozilla Japan
Thunderbird リリースノート - Thunderbird 2.0.0.23 での変更点
http://mozilla.jp/thunderbird/2.0.0.23/releasenotes/
概要
JPCERT/CC REPORT 2009-08-12 号【2】で紹介した「Mozilla 製 品群に複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みバージョン 2.0.0.23 が提供されました。詳細 については、OS のベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC WEEKLY REPORT 2009-08-12
【2】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr093101.html#2
【3】VMware 製品に複数の脆弱性
情報源
VMware Security Announcements
VMSA-2009-0010 VMware Hosted products update libpng and Apache HTTP Server
http://lists.vmware.com/pipermail/security-announce/2009/000062.html
概要
VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - VMware Workstation 6.5.2 およびそれ以前 - VMware Player 2.5.2 およびそれ以前 - VMware ACE 2.5.2 およびそれ以前 - VMware Server 2.x - VMware Server 1.x この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、VMware Server に関してはパッ チがまだ提供されていません。詳細については、VMware が提供する情 報を参照してください。
【4】Cisco Firewall Services Module に脆弱性
情報源
Cisco Security Advisory 110460
Firewall Services Module Crafted ICMP Message Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml
概要
Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリーズのルー タで動作する Cisco Firewall Services Module (FWSM) には、ICMP メッ セージの処理に起因する脆弱性があります。結果として、遠隔の第三者 が細工した ICMP メッセージを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - FWSM 2.x、3.x、4.x のすべてのバージョン この問題は、Cisco が提供する修正済みのバージョンに FWSM を更新す ることで解決します。詳細については、Cisco が提供する情報を参照し てください。
【5】Adobe Flex SDK にクロスサイトスクリプティングの脆弱性
情報源
Adobe Security Bulletin APSB09-13
Security update available for Flex SDK
http://www.adobe.com/support/security/bulletins/apsb09-13.html
概要
Adobe Flex SDK に含まれるテンプレートファイルには、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flex 3.3 SDK およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex SDK を更新することで解決します。
関連文書 (英語)
Adobe Technote
Security Issue SDK-22303: XSS in express-install templates
http://kb2.adobe.com/cps/495/cpsid_49530.html
【6】memcached にバッファオーバーフローの脆弱性
情報源
DOE-CIRC Technical Bulletin T-211
Memcached Multiple Heap Based Buffer Overflow Vulnerability
http://www.doecirc.energy.gov/bulletins/t-211.shtml
概要
memcached には、バッファオーバーフローの脆弱性あります。結果とし て、遠隔の第三者が細工したデータを処理させることで任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Danga Interactive memcached 1.2.7 および 1.2.8 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する memcached を更新することで解決します。 詳細については、ベンダまたは配布元が提供する情報を参照してくださ い。
関連文書 (英語)
Danga Interactive
memcached
http://www.danga.com/memcached/Debian Security Advisory DSA-1853-1
memcached -- heap-based buffer overflow
http://www.debian.org/security/2009/dsa-1853
【7】libpurple ライブラリにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#582244
Libpurple buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/582244
概要
複数のインスタントメッセンジャーソフトウエアで使用されている libpurple ライブラリには、バッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が細工したパケットを処理させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する製品を更新することで解決します。
関連文書 (英語)
Pidgin Security Advisory
MSN overflow parsing SLP messages
http://pidgin.im/news/security/?id=34Pidgin
Who uses libpurple?
http://developer.pidgin.im/wiki/WhatIsLibpurple#WhouseslibpurpleRed Hat Security Advisory RHSA-2009:1218-1
Critical: pidgin security update
https://rhn.redhat.com/errata/RHSA-2009-1218.html
【8】mycaljp にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#20478978
サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN20478978/index.html
概要
Geeklog のカレンダープラグインであるサイトカレンダ mycaljp には、 クロスサイトスクリプティングの脆弱性があります。結果として、遠隔 の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで この問題の影響を受けるプラグインは以下のパッケージにも含まれてい ます。 - Geeklog1.5.0 から Geeklog1.5.2 までの日本語パッケージ拡張版 (ただし、リリース日が 2009-06-29 以前のパッケージ) この問題は、配布元が提供する修正済みのバージョンにサイトカレンダ mycaljp を更新することで解決します。詳細については、配布元が提供 する情報を参照してください。
関連文書 (日本語)
Geeklog Japanese
mycaljpプラグインにXSSの脆弱性が発見されました
http://www.geeklog.jp/article.php/20090820020302431Geeklog Japanese
サイトカレンダ mycaljp プラグイン
http://www.geeklog.jp/filemgmt/index.php/316
【9】「Namazu」の古いバージョンを利用している Web サイトへの注意喚起
情報源
独立行政法人 情報処理推進機構 セキュリティセンター
「Namazu」の古いバージョンを利用しているウェブサイトへの注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html
概要
独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ ンの Namazu を使用している Web サイトに対する注意喚起を発行しま した。古いバージョンの Namazu には、クロスサイトスクリプティング の脆弱性を含んだものがあり、任意のスクリプト実行の可能性がありま す。対策版へのバージョンアップを行ってください。
関連文書 (日本語)
Namazu Project
新着情報
http://www.namazu.org/index.html.ja#news
【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」参加者募集のお知らせ
情報源
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 のご案内
https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html
概要
JPCERT コーディネーションセンターは、経済産業省の委託によるソフ トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア コーディングセミナー」を開催しています。 ご好評いただいている「ハーフデイキャンプ 2009夏」に続き、関西エ リアのプログラム開発者の方々に受講いただけるよう、大阪を会場とし た「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」 を企画しました。2009年10月6日から11月2日まで、隔週開催の全3回コー スで開催いたします。多くの方のご参加をお待ちしております。 日時: part1 <文字列・整数> 2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜) part2 <ファイル入出力> 2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜) part3 <動的メモリ管理・書式指定文字列> 2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜) 会場: クリスタルタワー 20階 会議室 F 大阪市中央区城見 1-2-27 受講料: 無料 定員: 70名/1回のセミナー (参加者多数の場合はお申し込み先着順となります)
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 お申し込み
https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html
■今週のひとくちメモ
○Microsoft Office 2007 SP2 自動更新による提供開始
Microsoft は、2007 Office system Service Pack 2 (SP2) の自動更新 を 2009年9月22日より開始すると発表しました。 2007 Office system SP2 は、過去にリリースされたセキュリティ更新 プログラムとバグ修正更新プログラムをひとつにまとめ、最新の環境へ アップデートするためのサービスパックです。ダウンロードによる提供 は 4月29日から開始されていましたが、今回自動更新による提供が開始 されます。
参考文献 (日本語)
Microsoft
2007 Microsoft Office system Service Pack 2
http://www.microsoft.com/japan/office/2007/sp2/default.mspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/