JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2009 > Weekly Report 2009-10-07号

最終更新: 2009-10-07

Weekly Report 2009-10-07号


JPCERT-WR-2009-3801
JPCERT/CC
2009-10-07

<<< JPCERT/CC WEEKLY REPORT 2009-10-07 >>>

■09/27(日)〜10/03(土) のセキュリティ関連情報

目 次

【1】SugarCRM にクロスサイトスクリプティングの脆弱性

【2】BlackBerry Device Software に脆弱性

【今週のひとくちメモ】マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093801.txt
https://www.jpcert.or.jp/wr/2009/wr093801.xml

【1】SugarCRM にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#84396512
SugarCRM におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN84396512/index.html

概要

CRM (Customer Relationship Management) ソフトウェアの SugarCRM 
には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が SugarCRM にログインしているユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SugarCRM Community/Professional/Enterprise Editions 5.2.0i お
  よびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 5.0.0l お
  よびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 4.5.1p お
  よびそれ以前

この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更
新することで解決します。

関連文書 (英語)

SugarCRM Forums
Sugar Community Edition 5.2.0 Patch J
http://www.sugarcrm.com/forums/showthread.php?t=52401

SugarCRM Forums
Sugar Community Edition - Patches 5.0.0m and 4.5.1q Now Available
http://www.sugarcrm.com/forums/showthread.php?t=52402

SugarCRM
Download Sugar Community Edition
http://www.sugarcrm.com/crm/download/sugar-suite.html

SugarForge
SugarCRM
http://www.sugarforge.org/frs/?group_id=6

【2】BlackBerry Device Software に脆弱性

情報源

US-CERT Current Activity Archive
Research in Motion Releases Security Advisory
http://www.us-cert.gov/current/archive/2009/10/01/archive.html#research_in_motion_releases_security

DOE-CIRC Technical Bulletin T-241
Blackberry OS NULL Character Flaw in Common Name Field Lets Remote Users Spoof Certificates
http://www.doecirc.energy.gov/bulletins/t-241.shtml

概要

BlackBerry Device Software には、サーバ証明書に含まれる NULL 文
字の処理に起因する脆弱性があります。結果として、遠隔の第三者が細
工した証明書を正規の証明書に見せかける可能性があります。

対象となる製品は以下のとおりです。

- BlackBerry Device Software

この問題は、Research In Motion が提供する修正済みのバージョンに、
BlackBerry Device Software を更新することで解決します。詳細につ
いては、Research In Motion が提供する情報を参照してください。

関連文書 (英語)

Research In Motion - Security Advisory KB19552
BlackBerry browser dialog box does not clearly indicate mismatches between web site domain names and associated certificates
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19552

■今週のひとくちメモ

○マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials

マイクロソフトは、2009年9月30日、ウイルス対策ソフト Microsoft
Security Essentials の提供を開始しました。Microsoft Security
Essentials は、無料で提供され、ウイルス、スパイウエアなどのマル
ウエアからユーザの PC をリアルタイムで保護します。

対応する OS は以下の通りです。

 - Windows XP (Service Pack 2, Service Pack 3)
 - Windows Vista (Service Pack 1, Service Pack 2)
 - Windows 7

サポート期限が切れたままのウイルス対策ソフトを利用している場合や、
ウイルス対策ソフトが導入されていない場合には、まずこのソフトを導
入し、今後の対策について検討することをおすすめします。

参考文献 (日本語)

Microsoft
Microsoft Security Essentials
http://www.microsoft.com/security_essentials/default.aspx?mkt=ja-jp

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english