<<< JPCERT/CC WEEKLY REPORT 2009-10-07 >>>
■09/27(日)〜10/03(土) のセキュリティ関連情報
目 次
【1】SugarCRM にクロスサイトスクリプティングの脆弱性
【2】BlackBerry Device Software に脆弱性
【今週のひとくちメモ】マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093801.txt
https://www.jpcert.or.jp/wr/2009/wr093801.xml
【1】SugarCRM にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#84396512
SugarCRM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN84396512/index.html
概要
CRM (Customer Relationship Management) ソフトウェアの SugarCRM には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が SugarCRM にログインしているユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM Community/Professional/Enterprise Editions 5.2.0i お よびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 5.0.0l お よびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 4.5.1p お よびそれ以前 この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更 新することで解決します。
関連文書 (英語)
SugarCRM Forums
Sugar Community Edition 5.2.0 Patch J
http://www.sugarcrm.com/forums/showthread.php?t=52401SugarCRM Forums
Sugar Community Edition - Patches 5.0.0m and 4.5.1q Now Available
http://www.sugarcrm.com/forums/showthread.php?t=52402SugarCRM
Download Sugar Community Edition
http://www.sugarcrm.com/crm/download/sugar-suite.htmlSugarForge
SugarCRM
http://www.sugarforge.org/frs/?group_id=6
【2】BlackBerry Device Software に脆弱性
情報源
US-CERT Current Activity Archive
Research in Motion Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/10/01/archive.html#research_in_motion_releases_securityDOE-CIRC Technical Bulletin T-241
Blackberry OS NULL Character Flaw in Common Name Field Lets Remote Users Spoof Certificates
http://www.doecirc.energy.gov/bulletins/t-241.shtml
概要
BlackBerry Device Software には、サーバ証明書に含まれる NULL 文 字の処理に起因する脆弱性があります。結果として、遠隔の第三者が細 工した証明書を正規の証明書に見せかける可能性があります。 対象となる製品は以下のとおりです。 - BlackBerry Device Software この問題は、Research In Motion が提供する修正済みのバージョンに、 BlackBerry Device Software を更新することで解決します。詳細につ いては、Research In Motion が提供する情報を参照してください。
関連文書 (英語)
Research In Motion - Security Advisory KB19552
BlackBerry browser dialog box does not clearly indicate mismatches between web site domain names and associated certificates
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19552
■今週のひとくちメモ
○マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials
マイクロソフトは、2009年9月30日、ウイルス対策ソフト Microsoft Security Essentials の提供を開始しました。Microsoft Security Essentials は、無料で提供され、ウイルス、スパイウエアなどのマル ウエアからユーザの PC をリアルタイムで保護します。 対応する OS は以下の通りです。 - Windows XP (Service Pack 2, Service Pack 3) - Windows Vista (Service Pack 1, Service Pack 2) - Windows 7 サポート期限が切れたままのウイルス対策ソフトを利用している場合や、 ウイルス対策ソフトが導入されていない場合には、まずこのソフトを導 入し、今後の対策について検討することをおすすめします。
参考文献 (日本語)
Microsoft
Microsoft Security Essentials
http://www.microsoft.com/security_essentials/default.aspx?mkt=ja-jp
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/