<<< JPCERT/CC WEEKLY REPORT 2011-07-06 >>>
■06/26(日)〜07/02(土) のセキュリティ関連情報
目 次
【1】Java for Mac OS X に複数の脆弱性
【2】Google Chrome に複数の脆弱性
【3】WordPress に権限昇格の脆弱性
【4】ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性
【5】Drupal の Prepopulate モジュールに複数の脆弱性
【6】ALZip にバッファオーバーフローの脆弱性
【今週のひとくちメモ】2011年7月にサポート終了する Microsoft 製品
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr112501.txt
https://www.jpcert.or.jp/wr/2011/wr112501.xml
【1】Java for Mac OS X に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.5 and OS X 10.6
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#apple_releases_java_updates_for4
概要
Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔 の第三者が細工した Java アプレットまたは Java アプリケーションを 実行させることで任意のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - Java for Mac OS X 10.6 Update 5 より前のバージョン - Java for Mac OS X 10.5 Update 10 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Java for Mac OS X を更新することで解決します。詳細については Apple が提供する 情報を参照してください。
関連文書 (日本語)
Apple Support HT4738
Java for Mac OS X 10.6 Update 5 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4738?viewlocale=ja_JPApple Support HT4739
Java for Mac OS X 10.5 Update 10 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4739?viewlocale=ja_JPApple Support
Java (Mac OS X v10.6) - アップデート 5
http://support.apple.com/kb/DL1360?viewlocale=ja_JPApple Support
Java (Mac OS X v10.5) - アップデート 10
http://support.apple.com/kb/DL1359?viewlocale=ja_JPJapan Vulnerability Notes JVNVU#228710
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU228710/index.htmlJPCERT/CC WEEKLY REPORT 2011-06-15 JPCERT-WR-2011-2201
Oracle Java に複数の脆弱性
https://www.jpcert.or.jp/wr/2011/wr112201.html#2
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 12.0.742.112
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#google_releases_chrome_12_01
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 12.0.742.112 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/06/stable-channel-update_28.html
【3】WordPress に権限昇格の脆弱性
情報源
US-CERT Current Activity Archive
WordPress Releases Version 3.1.4
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#wordpress_releases_version_3_13
概要
WordPress には、脆弱性があります。結果として、編集者レベルのユー ザが権限を昇格する可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.1.4 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。
関連文書 (日本語)
WordPress ブログ
WordPress 3.1.4 (および 3.2 リリース候補 3)
http://ja.wordpress.org/2011/06/30/wordpress-3-1-4-and-3-2-release-candidate-3/WordPress ブログ
WordPress 3.1.4 日本語版
http://ja.wordpress.org/2011/07/01/wordpress-3-1-4-ja/
関連文書 (英語)
WordPress News
WordPress 3.1.4 (and 3.2 Release Candidate 3)
http://wordpress.org/news/2011/06/wordpress-3-1-4/
【4】ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性
情報源
US-CERT Vulnerability Note VU#543310
ManageEngine ServiceDesk directory traversal vulnerability
http://www.kb.cert.org/vuls/id/543310
概要
ManageEngine ServiceDesk Plus には、リクエスト処理時の入力値検証 エラーに起因するディレクトリトラバーサルの脆弱性があります。また、 ManageEngine ServiceDesk Plus 8.0 には、送られたリクエストがログ インしているユーザからのものであるかどうかを検証しない問題もあり ます。結果として、遠隔の第三者が機密情報を取得する可能性がありま す。 対象となるバージョンは以下の通りです。 - ManageEngine ServiceDesk Plus 8.0 およびそれ以前 この問題は、Zoho Corp. が提供する修正済みのバージョンに ManageEngine ServiceDesk Plus を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#543310
ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性
https://jvn.jp/cert/JVNVU543310/index.html
関連文書 (英語)
Zoho Corp.
Download Service Packs
http://www.manageengine.com/products/service-desk/service-packs.htmlZoho Corp.
ServiceDesk Plus 8.0
http://www.manageengine.com/products/service-desk/
【5】Drupal の Prepopulate モジュールに複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-657
Drupal Prepopulate - Multiple vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-657.shtml
概要
オープンソースのコンテンツ管理システム Drupal の Prepopulate モ ジュールには、入力検証機能に起因する複数の脆弱性があります。結果 として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - Drupal 6.x の Prepopulate 6.x-2.2 より前のバージョン この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに Drupal の Prepopulate モジュールを更新すること で解決します。詳細については、ベンダまたは配布元が提供する情報を 参照してください。
関連文書 (英語)
Drupal Security advisories SA-CONTRIB-2011-023
Prepopulate - Multiple vulnerabilities
http://drupal.org/node/1182968Drupal
prepopulate 6.x-2.2
http://drupal.org/node/1182972
【6】ALZip にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#01547302
ALZip におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN01547302/index.html
概要
ESTsoft Japan の圧縮解凍ソフト ALZip には、mim 形式ファイルの処理 に起因するバッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工したファイルを開かせることで任意のコードを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - ALZip 8.21 およびそれ以前 なお、ESTsoft Japan によると ALZip 8.21 については、2011年6月29日 12時より前にダウンロードされたものが影響を受けるとのことです。 この問題は、ESTsoft Japan が提供する修正済みのバージョンに ALZip を更新することで解決します。詳細については、ESTsoft Japan が提供 する情報を参照してください。
関連文書 (日本語)
ESTsoft Japan
ALZip におけるバッファオーバーフローの脆弱性
http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=118独立行政法人 情報処理推進機構 セキュリティセンター
「ALZip」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110629.html
■今週のひとくちメモ
○2011年7月にサポート終了する Microsoft 製品
2011年7月13日 (日本時間) に Microsoft の以下の製品のサポート終了 が予定されています。 - Windows Vista Service Pack 1 (SP1) (32 ビット版/64 ビット版) - Windows Server 2008 製品出荷版 (32 ビット版/64 ビット版) - Microsoft Office XP (Excel, Word, Outlook, PowerPoint, Access, Visio, FrontPage, Publisher) - .NET Framework 3.0, 3.0 SP1, 3.0 SP2, 3.5 - Exchange Server 2007 Service Pack 2 サポート終了後はセキュリティ更新は提供されません。上記製品を現在 も利用しているユーザは至急対応を検討してください。
参考文献 (日本語)
TechNet 日本のセキュリティチーム
サポート ライフサイクル終了に伴うセキュリティ更新プログラム配信終了の予告
http://blogs.technet.com/b/jpsecurity/archive/2011/06/28/3437811.aspxマイクロソフト サポート オンライン
プロダクト サポート ライフサイクル - 製品一覧
http://support.microsoft.com/select/?target=lifecycle&ln=ja
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/