JPCERT-WR-2009-3401 2009-09-02 2009-08-23 2009-08-29

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/08/28/archive.html#autonomy_keyview_sdk_vulnerability1

Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理 に起因するバッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任 意のコードを実行する可能性があります。 なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes および Symantec の複数の製品にも影響します。詳細については、下記 関連文書を参照してください。 この問題は、各ベンダが提供する修正済みのバージョンに、該当する製 品を更新することで解決します。

IBM http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492 Symantec Security Response SYM09-010 http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00 Autonomy Corporation http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/08/27/archive.html#cisco_release_security_advisory_for

Cisco Unified Communications Manager (旧 CallManager) には、脆弱 性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified Communications Manager 4.x、5.x、6.x、7.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified Communications Manager を更新することで解決します。詳細について は、Cisco が提供する情報を参照してください。

Cisco Security Advisory 110580 http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml

Japan Vulnerability Notes JVN#31035930 https://jvn.jp/jp/JVN31035930/index.html

CRM (Customer Relationship Management) ソフトウェアの SugarCRM には、SQL インジェクションの脆弱性があります。結果として、 SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ れたコンテンツを改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM Community/Professional/Enterprise Editions 5.2.0g およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 5.0.0k およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 4.5.1o およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更 新することで解決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html SugarCRM Forums http://www.sugarcrm.com/forums/showthread.php?t=50907 SugarCRM Forums http://www.sugarcrm.com/forums/showthread.php?t=50953 SugarForge http://www.sugarforge.org/content/downloads/

Japan Vulnerability Notes JVN#68640473 https://jvn.jp/jp/JVN68640473/index.html

株式会社アイ・ティー・ディーが提供するコンテンツ管理システム bingo!CMS core および bingo!CMS には、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、遠隔の第三者が設定を変更し たり、作成されたコンテンツを改ざんしたりする可能性があります。 対象となる製品及びバージョンは以下の通りです。 - bingo!CMS core バージョン 1.2 およびそれ以前 - bingo!CMS (商用版) バージョン 1.2 およびそれ以前 この問題は、アイ・ティー・ディーが提供する修正済みのバージョンに、 該当する製品を更新することで解決します。

アイ・ティー・ディー http://www.bingo-cms.jp/security/jvn68640473.html アイ・ティー・ディー http://www.bingo-cms.jp/opensource/download/

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 9月10日(木)に開催予定の part3 ＜動的メモリ管理・書式指定文字列＞ は、まだお席に余裕がございます。多くの方のご参加をお待ちしており ます。 日時: part3 ＜動的メモリ管理・書式指定文字列＞ 2009年09月10日(木) 13:00 〜 17:30 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ　大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-application.html

マイクロソフトは、組織内の Windows PC に更新プログラムなどを配信 する Windows Server Update Services (WSUS) を提供しています。 システム管理者は WSUS を導入することにより、組織内の Windows PC の更新プログラム適用の一元管理を行い、各 PC の適用状況を確認する ことも可能となります。また、更新プログラムのダウンロードについて も WSUS サーバでダウンロードした更新プログラムを組織内に配信する ため、インターネットトラフィックも軽減することが可能になります。 2009年8月26日には、Windows Server Update Services 3.0 SP2 がリリー スされ、Windows 7 のサポートも開始されました。 Microsoft TechNet http://technet.microsoft.com/ja-jp/wsus/default.aspx マイクロソフト ダウンロードセンター http://www.microsoft.com/downloads/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&DisplayLang=ja Microsoft TechNet Blogs http://blogs.technet.com/jpwsus/default.aspx