<<< JPCERT/CC WEEKLY REPORT 2009-09-02 >>>

■08/23(日)〜08/29(土) のセキュリティ関連情報

目　次

【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性

【2】Cisco Unified Communications Manager に複数の脆弱性

【3】SugarCRM に SQL インジェクションの脆弱性

【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性

【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中

【今週のひとくちメモ】Windows Server Update Services (WSUS)

【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性

情報源

US-CERT Current Activity Archive
Autonomy KeyView SDK Vulnerability
http://www.us-cert.gov/current/archive/2009/08/28/archive.html#autonomy_keyview_sdk_vulnerability1

概要

Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理
に起因するバッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任
意のコードを実行する可能性があります。

なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes
および Symantec の複数の製品にも影響します。詳細については、下記
関連文書を参照してください。

この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。

関連文書 (英語)

IBM
Potential security issue with Lotus Notes file viewer for Microsoft Excel
http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492

Symantec Security Response SYM09-010
Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00

Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html

【2】Cisco Unified Communications Manager に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for Unified Communications Manager
http://www.us-cert.gov/current/archive/2009/08/27/archive.html#cisco_release_security_advisory_for

概要

Cisco Unified Communications Manager (旧 CallManager) には、脆弱
性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 
攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Unified Communications Manager 4.x、5.x、6.x、7.x

この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
Communications Manager を更新することで解決します。詳細について
は、Cisco が提供する情報を参照してください。

関連文書 (英語)

Cisco Security Advisory 110580
Cisco Unified Communications Manager Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml

【3】SugarCRM に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#31035930
SugarCRM における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN31035930/index.html

概要

CRM (Customer Relationship Management) ソフトウェアの SugarCRM 
には、SQL インジェクションの脆弱性があります。結果として、
SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ
れたコンテンツを改ざんしたりする可能性があります。

対象となるバージョンは以下の通りです。

- SugarCRM Community/Professional/Enterprise Editions 5.2.0g 
  およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 5.0.0k 
  およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 4.5.1o 
  およびそれ以前

この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更
新することで解決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
「SugarCRM」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html

関連文書 (英語)

SugarCRM Forums
Sugar Community Edition 5.2.0 Patch H
http://www.sugarcrm.com/forums/showthread.php?t=50907

SugarCRM Forums
Sugar Community Edition 5.0.0l and 4.5.1p Now Available
http://www.sugarcrm.com/forums/showthread.php?t=50953

SugarForge
Downloads
http://www.sugarforge.org/content/downloads/

【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性

情報源

Japan Vulnerability Notes JVN#68640473
bingo!CMS core および bingo!CMS におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN68640473/index.html

概要

株式会社アイ・ティー・ディーが提供するコンテンツ管理システム 
bingo!CMS core および bingo!CMS には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、遠隔の第三者が設定を変更し
たり、作成されたコンテンツを改ざんしたりする可能性があります。

対象となる製品及びバージョンは以下の通りです。

- bingo!CMS core バージョン 1.2 およびそれ以前
- bingo!CMS (商用版) バージョン 1.2 およびそれ以前

この問題は、アイ・ティー・ディーが提供する修正済みのバージョンに、
該当する製品を更新することで解決します。

関連文書 (日本語)

アイ・ティー・ディー
JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性
http://www.bingo-cms.jp/security/jvn68640473.html

アイ・ティー・ディー
「bingo!CMS core」ダウンロード
http://www.bingo-cms.jp/opensource/download/

【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中

情報源

JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。
 
9月10日(木)に開催予定の part3 ＜動的メモリ管理・書式指定文字列＞
は、まだお席に余裕がございます。多くの方のご参加をお待ちしており
ます。
 
日時:   part3 ＜動的メモリ管理・書式指定文字列＞
        2009年09月10日(木) 13:00 〜 17:30 (受付 12:30〜)
会場:   株式会社インターネットイニシアティブ　大会議室1
        東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員:   80名

関連文書 (日本語)

JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html

■今週のひとくちメモ

○Windows Server Update Services (WSUS)

マイクロソフトは、組織内の Windows PC に更新プログラムなどを配信
する Windows Server Update Services (WSUS) を提供しています。

システム管理者は WSUS を導入することにより、組織内の Windows PC 
の更新プログラム適用の一元管理を行い、各 PC の適用状況を確認する
ことも可能となります。また、更新プログラムのダウンロードについて
も WSUS サーバでダウンロードした更新プログラムを組織内に配信する
ため、インターネットトラフィックも軽減することが可能になります。

2009年8月26日には、Windows Server Update Services 3.0 SP2 がリリー
スされ、Windows 7 のサポートも開始されました。

参考文献 (日本語)

Microsoft TechNet
Microsoft Windows Server Update Services (WSUS)
http://technet.microsoft.com/ja-jp/wsus/default.aspx

マイクロソフト ダウンロードセンター
Microsoft Windows Server Update Services 3.0 SP2 リリース ノート
http://www.microsoft.com/downloads/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&DisplayLang=ja

Microsoft TechNet Blogs
Japan WSUS Support Team Blog
http://blogs.technet.com/jpwsus/default.aspx

■JPCERT/CC からのお願い