<<< JPCERT/CC WEEKLY REPORT 2010-09-29 >>>
■09/19(日)〜09/25(土) のセキュリティ関連情報
目 次
【1】Cisco 製品群に複数の脆弱性
【2】Apple 製品に脆弱性
【3】VMware 製品群に複数の脆弱性
【4】bzip2 に脆弱性
【5】Quagga の BGP デーモンに複数の脆弱性
【6】OpenX に脆弱性
【7】C/C++ セキュアコーディングセミナー 2010 @東京 part 3 参加者募集中
【今週のひとくちメモ】Linux カーネル 2.4 系サポート終了予定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr103701.txt
https://www.jpcert.or.jp/wr/2010/wr103701.xml
【1】Cisco 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisories
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#cisco_releases_security_advisories3
概要
Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco IOS - Cisco Unified Communication Manager この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。
関連文書 (日本語)
Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/JP/support/public/ht/security/109/1091515/cisco-sa-20100922-bundle-j.shtml
関連文書 (英語)
Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a315.shtml
【2】Apple 製品に脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases Security Update 2010-006
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#apple_releases_security_update_20105
概要
Mac OS X および Mac OS X Server の AFP パッケージには、脆弱性が あります。結果として、遠隔の第三者が認証処理を回避して AFP 共有 フォルダにアクセスする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X Server 10.6 から 10.6.4 - Apple Mac OS X 10.6 から 10.6.4 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。
関連文書 (日本語)
Apple Support HT4361
セキュリティアップデート 2010-006 について
http://support.apple.com/kb/HT4361?viewlocale=ja_JP
関連文書 (英語)
Apple Mailing Lists
APPLE-SA-2010-09-20-1 Security Update 2010-006
http://lists.apple.com/archives/security-announce/2010/Sep/msg00004.html
【3】VMware 製品群に複数の脆弱性
情報源
VMware Security Advisories (VMSAs)
VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues
http://www.vmware.com/security/advisories/VMSA-2010-0014.html
概要
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、細工したファイルを表示させたり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、2010年9月26日現在、一部の問 題については修正版が提供されていません。詳細については、VMware が提供する情報を参照してください。
関連文書 (英語)
VMware Security Announcements
[Security-announce] VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues
http://lists.vmware.com/pipermail/security-announce/2010/000105.html
【4】bzip2 に脆弱性
情報源
CERT-FI Reports
CERT-FI Advisory on bzip2
http://www.cert.fi/en/reports/2010/vulnerability408516.html
概要
bzip2 には、脆弱性があります。結果として、遠隔の第三者が細工した bzip2 アーカイブファイルを処理させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - bzip2/libbzip2 1.0.6 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。
関連文書 (英語)
bzip.org
bzip2 and libbzip2
http://www.bzip.org/Red Hat Security Advisory RHSA-2010:0703-1
Important: bzip2 security update
https://rhn.redhat.com/errata/RHSA-2010-0703.htmlDebian Security Advisory DSA-2112-1
bzip2 -- integer overflow
http://www.debian.org/security/2010/dsa-2112The FreeBSD Project Security Advisory
Integer overflow in bzip2 decompression
http://security.freebsd.org/advisories/FreeBSD-SA-10:08.bzip2.asc
【5】Quagga の BGP デーモンに複数の脆弱性
情報源
CERT-FI Reports
CERT-FI Advisory on Quagga
http://www.cert.fi/en/reports/2010/vulnerability370218.html
概要
Quagga の BGP デーモンには、複数の脆弱性があります。結果として、 遠隔の第三者が細工した BGP パケットを処理させることで、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.17 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Quagga を更新することで解決します。
関連文書 (英語)
quagga.net
2010-08-19: Quagga 0.99.17 Released
http://www.quagga.net/news2.php?y=2010&m=8&d=19#id1282241100
【6】OpenX に脆弱性
情報源
US-CERT Current Activity Archive
OpenX Releases Security Update
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#openx_releases_security_update
概要
OpenX には、脆弱性があります。結果として、遠隔の第三者が OpenX の稼動しているサーバで任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenX 2.8.7 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに OpenX を更新 することで解決します。
関連文書 (英語)
OpenX Blog
Security Update
http://blog.openx.org/09/security-update/OpenX
Download OpenX Community for your own environment
http://www.openx.org/ad-server/downloadAusCERT
OpenX - website revenue, or website regret?
http://www.auscert.org.au/13386
【7】C/C++ セキュアコーディングセミナー 2010 @東京 part 3 参加者募集中
情報源
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」では、参加申し込みを受け付けております。皆様ふるってご 参加ください。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等
関連文書 (日本語)
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
■今週のひとくちメモ
○Linux カーネル 2.4 系サポート終了予定
Linux カーネル 2.4 系の最新版 2.4.37.10 が 2010年9月6日にリリー スされ、今後のサポート終了予定が発表されています。それによると 2011年9月に 2.4 系のサポート終了が提案されており、2.6 系への移行 が推奨されています。 現在、Linux カーネル 2.4 系を使ったシステムを運用している場合、 脆弱性対応を適切に行なうためにも、2.6 系への移行をおすすめします。
参考文献 (英語)
Linux Kernel Mailing List
Linux 2.4.37.10 + 2.4 EOL plans
http://lkml.org/lkml/2010/9/6/15
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/