JPCERT-WR-2009-3701 2009-09-30 2009-09-13 2009-09-26

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/09/24/archive.html#cisco_release_security_advisory_for1 DOE-CIRC Technical Bulletin T-238 http://www.doecirc.energy.gov/bulletins/t-238.shtml

Cisco IOS および Unified Communications Manager (旧 CallManager) には、複数の脆弱性があります。結果として、遠隔の第三者が認証を回 避したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり ます。 対象となる製品は以下の通りです。 - Cisco IOS - Cisco Unified Communications Manager この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。

Cisco Security Advisory 110447 http://www.cisco.com/warp/public/707/cisco-sa-20090923-ntp.shtml Cisco Security Advisory 110410 http://www.cisco.com/warp/public/707/cisco-sa-20090923-ios-fw.shtml Cisco Security Advisory 110478 http://www.cisco.com/warp/public/707/cisco-sa-20090923-auth-proxy.shtml Cisco Security Advisory 110393 http://www.cisco.com/warp/public/707/cisco-sa-20090923-tls.shtml Cisco Security Advisory 110395 http://www.cisco.com/warp/public/707/cisco-sa-20090923-sip.shtml Cisco Security Advisory 110396 http://www.cisco.com/warp/public/707/cisco-sa-20090923-h323.shtml Cisco Security Advisory 110412 http://www.cisco.com/warp/public/707/cisco-sa-20090923-cm.shtml Cisco Security Advisory 110398 http://www.cisco.com/warp/public/707/cisco-sa-20090923-acl.shtml Cisco Security Advisory 109482 http://www.cisco.com/warp/public/707/cisco-sa-20090923-tunnels.shtml Cisco Security Advisory 110559 http://www.cisco.com/warp/public/707/cisco-sa-20090923-ipsec.shtml Cisco Security Advisory 110451 http://www.cisco.com/warp/public/707/cisco-sa-20090923-cme.shtml

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/09/24/archive.html#apple_releases_itunes_9_0

Apple iTunes には、脆弱性があります。結果として、遠隔の第三者が 細工した .pls ファイルを開かせることで任意のコードを実行するなど の可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - iTunes 9 for Windows - iTunes 9 for Mac この問題は、Apple が提供する修正済みのバージョンに、iTunes を更 新することで解決します。

Apple Support HT3884 http://support.apple.com/kb/HT3884 Apple Mailing List APPLE-SA-2009-09-22-1 http://lists.apple.com/archives/security-announce/2009/Sep/msg00006.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2009/09/24/archive.html#microsoft_releases_fix_it_for

JPCERT/CC WEEKLY REPORT 2009-09-16 号【5】で紹介した「Windows SMB version 2 に脆弱性」に関する追加情報です。 マイクロソフトは、SMBv2 を無効にする回避策として「Fix it」を公開 しました。詳細については、下記関連文書を参照してください。

マイクロソフト サポート技術情報 (975497) http://support.microsoft.com/kb/975497/ja JPCERT/CC WEEKLY REPORT 2009-09-16 https://www.jpcert.or.jp/wr/2009/wr093601.html#5

US-CERT Vulnerability Note VU#180065 http://www.kb.cert.org/vuls/id/180065

nginx Web サーバには、バッファアンダーランの脆弱性があります。結 果として、遠隔の第三者が細工した URI を処理させることで、任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となるバージョンは、以下の通りです。 - nginx 0.1.0 から 0.5.37 まで - nginx 0.6.39 より前のバージョン - nginx 0.7.62 より前のバージョン - nginx 0.8.15 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに nginx を更新 することで解決します。

Japan Vulnerability Notes JVNVU#180065 https://jvn.jp/cert/JVNVU180065/index.html nginx.net http://nginx.net/

Japan Vulnerability Notes JVN#39157969 https://jvn.jp/jp/JVN39157969/index.html

Opera ブラウザには、サードパーティ Cookie の取り扱いに起因する脆 弱性があります。結果として、デフォルトでは無効になっている、「ア クセスしているサイトからの Cookie のみ許可する」 の設定を有効に したとき、遠隔の第三者がユーザのアクセス履歴を追跡する可能性があ ります。 対象となるバージョンは以下の通りです。 - Opera 9.64 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Opera ブラウザを更新することで解決します。

Opera Software http://jp.opera.com/browser/ Opera Software http://jp.opera.com/docs/changelogs/windows/1000/

Japan Vulnerability Notes JVN#53591199 https://jvn.jp/jp/JVN53591199/index.html Japan Vulnerability Notes JVN#65914253 https://jvn.jp/jp/JVN65914253/index.html

phpspot の製品には、複数の脆弱性があります。結果として、遠隔の第 三者がサーバ内にある任意のファイルを閲覧したり、ユーザのブラウザ 上で任意のスクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - PHP掲示板 - PHP画像キャプチャ掲示板 - PHP＆CSS掲示板 - PHP掲示板CE - PHP_RSS_Builder - webshot 2009年9月14日およびそれ以前に配布されていた上記製品 (更新日付が 2009年9月14日以降の php ファイルが同梱されていない場合) は、本脆 弱性の影響を受けます。 この問題は、phpspot が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。

phpspot http://phpspot.net/php/pg2009%94N9%8C%8E%20PHP%83X%83N%83%8A%83v%83g%82%CC%90%C6%8E%E3%90%AB.html

Japan Vulnerability Notes JVN#00425482 https://jvn.jp/jp/JVN00425482/index.html

はっぴぃ・りなっくすの XF-Section には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - XF-Section 1.12a およびそれ以前 2009年9月29日現在、この問題に対する解決策は提供されていません。 XF-Section の開発は終了しているため、使用を停止してください。配 布元は、同等の機能が実装された他製品に切り替えることを推奨してい ます。

はっぴぃ・りなっくす http://linux.ohwada.jp/modules/smartsection/item.php?itemid=458

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html

JPCERT コーディネーションセンターは、経済産業省の委託によるソフ トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア コーディングセミナー」を開催しています。 「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 ＠大阪」 は、関西エリアのプログラム開発者の方々に受講いただけるよう、大阪 を会場とし、2009年10月6日から隔週で全3回コースにて開催します。 part1 開催まで残り一週間となりました。引き続き申込みを受け付けてお ります。皆様、奮ってご参加ください。 日時: part1 ＜文字列・整数＞ 2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜) part2 ＜ファイル入出力＞ 2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜) part3 ＜動的メモリ管理・書式指定文字列＞ 2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜) 会場: クリスタルタワー 20階 会議室 F 大阪市中央区城見 1-2-27 受講料: 無料 定員: 70名/1回のセミナー (参加者多数の場合はお申し込み先着順となります)

JPCERT/CC https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html

2009年9月23日、Namazu Project は新たな脆弱性への対策を行ったバー ジョン Namazu 2.0.20 を公開しました。Namazu にはこれまでにもバッ ファオーバーランやディレクトリトラバーサルなど複数の脆弱性が見つ かっており、これらの脆弱性による被害を受けないためには、対策済み のバージョンに更新することが重要です。 JPCERT/CC WEEKLY REPORT 2009-08-26 号【9】でもお知らせしている通 り、IPA からは Namazu のバージョンアップを呼びかける注意喚起が発 行されています。また、JPCERT/CC でも、脆弱性のある古い Namazu が 多くの Web サイトで動作していることを確認しています。 Namazu を使用している Web サイト管理者は、現在使用しているバージョ ンを確認するとともに、できるだけ早く最新版に更新してください。 Namazu Project http://www.namazu.org/pipermail/namazu-users-ja/2009-September/001182.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html JPCERT/CC WEEKLY REPORT 2009-08-26 https://www.jpcert.or.jp/wr/2009/wr093301.html#9