JPCERT-WR-2009-3301 2009-08-26 2009-08-16 2009-08-22

Adobe Security Bulletin APSB09-12 http://www.adobe.com/support/security/bulletins/apsb09-12.html

Adobe ColdFusion および JRun には、複数の脆弱性があります。結果 として、遠隔の第三者が機密情報を取得したり、権限を昇格したり、ユー ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ColdFusion 8.0.1 およびそれ以前 - JRun 4.0 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。

Japan Vulnerability Notes JVN#21388501 https://jvn.jp/jp/JVN21388501/index.html

Mozilla Japan http://mozilla.jp/thunderbird/2.0.0.23/releasenotes/

JPCERT/CC REPORT 2009-08-12 号【2】で紹介した「Mozilla 製 品群に複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みバージョン 2.0.0.23 が提供されました。詳細 については、OS のベンダや配布元が提供する情報を参照してください。

JPCERT/CC WEEKLY REPORT 2009-08-12 https://www.jpcert.or.jp/wr/2009/wr093101.html#2

VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2009/000062.html

VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - VMware Workstation 6.5.2 およびそれ以前 - VMware Player 2.5.2 およびそれ以前 - VMware ACE 2.5.2 およびそれ以前 - VMware Server 2.x - VMware Server 1.x この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、VMware Server に関してはパッ チがまだ提供されていません。詳細については、VMware が提供する情 報を参照してください。

Cisco Security Advisory 110460 http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml

Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリーズのルー タで動作する Cisco Firewall Services Module (FWSM) には、ICMP メッ セージの処理に起因する脆弱性があります。結果として、遠隔の第三者 が細工した ICMP メッセージを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - FWSM 2.x、3.x、4.x のすべてのバージョン この問題は、Cisco が提供する修正済みのバージョンに FWSM を更新す ることで解決します。詳細については、Cisco が提供する情報を参照し てください。

Adobe Security Bulletin APSB09-13 http://www.adobe.com/support/security/bulletins/apsb09-13.html

Adobe Flex SDK に含まれるテンプレートファイルには、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flex 3.3 SDK およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex SDK を更新することで解決します。

Adobe Technote http://kb2.adobe.com/cps/495/cpsid_49530.html

DOE-CIRC Technical Bulletin T-211 http://www.doecirc.energy.gov/bulletins/t-211.shtml

memcached には、バッファオーバーフローの脆弱性あります。結果とし て、遠隔の第三者が細工したデータを処理させることで任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Danga Interactive memcached 1.2.7 および 1.2.8 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する memcached を更新することで解決します。 詳細については、ベンダまたは配布元が提供する情報を参照してくださ い。

Danga Interactive http://www.danga.com/memcached/ Debian Security Advisory DSA-1853-1 http://www.debian.org/security/2009/dsa-1853

US-CERT Vulnerability Note VU#582244 http://www.kb.cert.org/vuls/id/582244

複数のインスタントメッセンジャーソフトウエアで使用されている libpurple ライブラリには、バッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が細工したパケットを処理させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する製品を更新することで解決します。

Pidgin Security Advisory http://pidgin.im/news/security/?id=34 Pidgin http://developer.pidgin.im/wiki/WhatIsLibpurple#Whouseslibpurple Red Hat Security Advisory RHSA-2009:1218-1 https://rhn.redhat.com/errata/RHSA-2009-1218.html

Japan Vulnerability Notes JVN#20478978 https://jvn.jp/jp/JVN20478978/index.html

Geeklog のカレンダープラグインであるサイトカレンダ mycaljp には、 クロスサイトスクリプティングの脆弱性があります。結果として、遠隔 の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで この問題の影響を受けるプラグインは以下のパッケージにも含まれてい ます。 - Geeklog1.5.0 から Geeklog1.5.2 までの日本語パッケージ拡張版 (ただし、リリース日が 2009-06-29 以前のパッケージ) この問題は、配布元が提供する修正済みのバージョンにサイトカレンダ mycaljp を更新することで解決します。詳細については、配布元が提供 する情報を参照してください。

Geeklog Japanese http://www.geeklog.jp/article.php/20090820020302431 Geeklog Japanese http://www.geeklog.jp/filemgmt/index.php/316

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html

独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ ンの Namazu を使用している Web サイトに対する注意喚起を発行しま した。古いバージョンの Namazu には、クロスサイトスクリプティング の脆弱性を含んだものがあり、任意のスクリプト実行の可能性がありま す。対策版へのバージョンアップを行ってください。

Namazu Project http://www.namazu.org/index.html.ja#news

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html

JPCERT コーディネーションセンターは、経済産業省の委託によるソフ トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア コーディングセミナー」を開催しています。 ご好評いただいている「ハーフデイキャンプ 2009夏」に続き、関西エ リアのプログラム開発者の方々に受講いただけるよう、大阪を会場とし た「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 ＠大阪」 を企画しました。2009年10月6日から11月2日まで、隔週開催の全3回コー スで開催いたします。多くの方のご参加をお待ちしております。 日時: part1 ＜文字列・整数＞ 2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜) part2 ＜ファイル入出力＞ 2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜) part3 ＜動的メモリ管理・書式指定文字列＞ 2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜) 会場: クリスタルタワー 20階 会議室 F 大阪市中央区城見 1-2-27 受講料: 無料 定員: 70名/1回のセミナー (参加者多数の場合はお申し込み先着順となります)

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html

Microsoft は、2007 Office system Service Pack 2 (SP2) の自動更新 を 2009年9月22日より開始すると発表しました。 2007 Office system SP2 は、過去にリリースされたセキュリティ更新 プログラムとバグ修正更新プログラムをひとつにまとめ、最新の環境へ アップデートするためのサービスパックです。ダウンロードによる提供 は 4月29日から開始されていましたが、今回自動更新による提供が開始 されます。 Microsoft http://www.microsoft.com/japan/office/2007/sp2/default.mspx