「Adobe の複数の製品に脆弱性」に関する追加情報

JPCERT-WR-2010-0701 2010-02-24 2010-02-14 2010-02-20

「Adobe の複数の製品に脆弱性」に関する追加情報 DOE-CIRC Technical Bulletin T-307 New Adobe Updates for Multiple Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-307.shtml

JPCERT/CC WEEKLY REPORT 2010-02-17 号【2】で紹介した「Adobe の複数の製品に脆弱性」に関する追加情報です。 Adobe は、Adobe Reader および Acrobat の修正済みのバージョンを 2010年2月16日 (日本時間) に公開しました。詳細については、Adobe が提供する情報を参照してください。

@police アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=2085 JPCERT/CC WEEKLY REPORT JPCERT-WR-2010-0601 【2】Adobe の複数の製品に脆弱性 https://www.jpcert.or.jp/wr/2010/wr100601.html#2 Adobe Security Bulletin APSB10-07 Security updates available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb10-07.html

Mozilla 製品群に複数の脆弱性 US-CERT Current Activity Archive Mozilla Releases Security Advisories http://www.us-cert.gov/current/archive/2010/02/19/archive.html#mozilla_releases_security_advisories1 DOE-CIRC Technical Bulletin T-309 Mozilla Firefox Unspecified Remote Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-309.shtml

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、セキュリティ制限を回避したりする可能性があります。対象となる製品は以下の通りです。 - Firefox - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに、該当する製品を更新することで解決します。Mozilla からは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.18 - Firefox 3.5.8 - Firefox 3.6 - SeaMonkey 2.0.3 なお、2010年2月23日現在、Thunderbird の修正プログラムは提供されていません。詳細については、OS のベンダや配布元が提供する情報を参照してください。

Mozilla Japan Firefox 3.6 リリースノート - バージョン 3.6 - 2010/01/21 リリース http://mozilla.jp/firefox/3.6/releasenotes/ Mozilla Japan Firefox 3.5 リリースノート - バージョン 3.5.8 - 2010/02/17 リリース http://mozilla.jp/firefox/3.5.8/releasenotes/ Mozilla Japan Firefox 3 リリースノート - バージョン 3.0.18 - 2010/02/17 リリース http://mozilla.jp/firefox/3.0.18/releasenotes/ Firefox 3.6 セキュリティアドバイザリ Firefox 3.6 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6 Firefox 3.5 セキュリティアドバイザリ Firefox 3.5.8 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.8 Firefox 3.0 セキュリティアドバイザリ Firefox 3.0.18 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.18 SeaMonkey 2.0 セキュリティアドバイザリ SeaMonkey 2.0.3 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.3 The SeaMonkey Project SeaMonkey 2.0.3 http://www.seamonkey-project.org/releases/seamonkey2.0.3/

Cisco 製品群に複数の脆弱性 US-CERT Current Activity Archive Cisco Releases Multiple Security Advisories http://www.us-cert.gov/current/archive/2010/02/19/archive.html#cisco_releases_multiple_security_advisories

Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、任意のファイルを閲覧したり、設定を変更したりする可能性があります。対象となる製品は以下の通りです。 - Cisco Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリーズルータの Cisco Firewall Services Module (FWSM) - Cisco Security Agent - Cisco ASA 5500 シリーズ Adaptive Security Appliance この問題は、Cisco が提供する修正済みのバージョンに、該当する製品を更新することで解決します。詳細については、Cisco が提供する情報を参照してください。

Cisco Security Advisory 111553 Cisco Firewall Services Module Skinny Client Control Protocol Inspection Denial of Service Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910e.shtml Cisco Security Advisory 111512 Multiple Vulnerabilities in Cisco Security Agent http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910d.shtml Cisco Security Advisory 111485 Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances http://www.cisco.com/en/US/products/products_security_advisory09186a0080b1910c.shtml Cisco Applied Mitigation Bulletin 111742 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco Security Agent http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b19110.html Cisco Applied Mitigation Bulletin 111741 Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b1910f.html

VMware ESX の net-snmp パッケージに脆弱性 VMware Security Advisories (VMSAs) VMSA-2010-0003 ESX Service Console update for net-snmp http://www.vmware.com/security/advisories/VMSA-2010-0003.html

VMware ESX の net-snmp パッケージには、脆弱性があります。結果として遠隔の第三者が細工したリクエストを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - VMware ESX 3.5 (ESX350-201002401-SG 未適用のもの) - VMware ESX 3.0.3 この問題は、VMware が提供する修正済みのバージョンに、該当する製品を更新することで解決します。2010年2月23日現在、一部のバージョンについては修正版が提供されていません。詳細については、VMware が提供する情報を参照してください。

SANS Consensus Research IT セキュリティに関して活動を行っている SANS から、IT セキュリティに関してプログラム開発者やシステム管理者が注意すべき事項について、以下のドキュメントが公開されています。セキュリティ対策や運用体制の検討の際に参考にしてください。 The Top Cyber Security Risks http://www.sans.org/top-cyber-security-risks/ 2009年の3月から8月までに観測された攻撃パターンをもとに、いま最も注意すべき攻撃について分析しています。 CWE/SANS TOP 25 Most Dangerous Programming Errors http://www.sans.org/top25-programming-errors/ 実際のソフトウェアに発見されるプログラミングエラーの状況をもとに、重要なプログラミングエラーについてまとめています。 20 Critical Security Controls http://www.sans.org/critical-security-controls/guidelines.php システム管理者が優先的にやっておくべきセキュリティ対策についてまとめています。 SANS Japan CWE/SANS最も危険なプログラミングエラーTOP25 (2009年版) http://www.sans-japan.jp/resources/index.html#top25