JPCERT-WR-2010-2801
JPCERT/CC
2010-07-28

<<< JPCERT/CC WEEKLY REPORT 2010-07-28 >>>

■07/18(日)〜07/24(土) のセキュリティ関連情報

目 次

【1】Mozilla 製品群に複数の脆弱性

【2】Apple iTunes に脆弱性

【3】OpenLDAP に複数の脆弱性

【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性

【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】システム管理者の日 (System Administrator Appreciation Day)


※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102801.txt
https://www.jpcert.or.jp/wr/2010/wr102801.xml


【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.7
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#mozilla_releases_3_6_7

DOE-CIRC Technical Bulletin T-401
Multiple Mozilla Product Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-401.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、Mozilla プロジェクトからは、Firefox の最新版として 3.6.8
が公開されています。

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 3.6.8 - 2010/07/23 リリース
http://mozilla.jp/firefox/3.6.8/releasenotes/

Mozilla Japan
Firefox リリースノート - バージョン 3.6.7 - 2010/07/20 リリース
http://mozilla.jp/firefox/3.6.7/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.8

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.7

Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.11 - 2010/07/20 リリース
http://mozilla.jp/firefox/3.5.11/releasenotes/

Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.11 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.11

SeaMonkey Project
SeaMonkey 2.0.6 リリースノート
http://www.seamonkey.jp/ja/releases/seamonkey2.0.6/

SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.6

Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.6 - 2010/07/20 リリース
http://mozilla.jp/thunderbird/3.0.6/releasenotes/

Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.6

関連文書 (英語)

Red Hat Security Advisory RHSA-2010:0556-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0556.html

Red Hat Security Advisory RHSA-2010:0547-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0547.html

Red Hat Security Advisory RHSA-2010:0557-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0557.html

Red Hat Security Advisory RHSA-2010:0546-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0546.html

Red Hat Security Advisory RHSA-2010:0544-1
Moderate: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2010-0544.html


【2】Apple iTunes に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iTunes 9.2.1
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#apple_releases_itunes_9_21

概要

Apple iTunes には、itpc プロトコル URL の処理に起因する脆弱性が
あります。結果として、遠隔の第三者が細工した itpc プロトコル URL 
にアクセスさせることで、任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iTunes 9 for Windows
- iTunes 9 for Mac

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。

関連文書 (日本語)

Apple Support HT4263
iTunes 9.2.1 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4263?viewlocale=ja_JP

関連文書 (英語)

Apple Support HT4263
About the security content of iTunes 9.2.1
http://support.apple.com/kb/HT4263?viewlocale=en_US

Apple Mailing Lists
APPLE-SA-2010-07-19-1 iTunes 9.2.1
http://lists.apple.com/archives/security-announce/2010/Jul/msg00000.html


【3】OpenLDAP に複数の脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on OpenLDAP
http://www.cert.fi/en/reports/2010/vulnerability383115.html

DOE-CIRC Technical Bulletin T-399
OpenLDAP 'modrdn' Request Multiple Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-399.shtml

概要

OpenLDAP には、複数の脆弱性があります。結果として、遠隔の第三者
が細工したリクエストを OpenLDAP サーバに送ることで、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。

対象となるバージョンは以下の通りです。

- OpenLDAP 2.4.23 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenLDAP を更新することで解決します。

関連文書 (英語)

OpenLDAP Foundation
SECURITY: Two OpenLDAP preauth vulnerabilities
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6570

OpenLDAP Foundation
2.4.23 Release Changes
http://www.openldap.org/software/release/changes.html

Red Hat Security Advisory RHSA-2010:0542-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0542.html

Red Hat Security Advisory RHSA-2010:0543-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0543.html


【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-400
HP OpenView Network Node Manager CVE-2010-2704 Multiple Code Execution Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-400.shtml

概要

HP OpenView Network Node Manager (OV NNM) には、複数の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- OV NNM v7.51 および v7.53

この問題は、最新版にアップデートを行い hotfix を適用することで解
決します。詳細については、HP が提供する情報を参照してください。

関連文書 (英語)

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02286088
HPSBMA02557 SSRT100025 rev.1- HP OpenView Network Node Manager (OV NNM) Running on Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02286088

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02290344
HPSBMA02558 SSRT100158 rev.2 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02290344


【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for CDS Internet Streamer
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#cisco_releases_security_advisory_for18

概要

Cisco Internet Streamer CDS には、ディレクトリトラバーサルの脆弱
性があります。結果として、遠隔の第三者が細工した URL を処理させ
ることで、デバイス上の任意のファイルを閲覧する可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Internet Streamer CDS 2.5.7 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco Internet 
Streamer CDS を更新することで解決します。詳細については、Cisco 
が提供する情報を参照してください。

関連文書 (日本語)

Cisco Security Advisory 112019
CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/JP/support/public/ht/security/109/1090194/cisco-sa-20100721-spcdn-j.shtml

関連文書 (英語)

Cisco Security Advisory 112019
CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b3bd1c.shtml

Cisco Content Delivery Applications
Release Notes for Cisco Internet Streamer CDS 2.5.9
http://www.cisco.com/en/US/docs/video/cds/cda/is/2_5/release_notes/CDS_RelNotes2_5_9.html

■今週のひとくちメモ

○システム管理者の日 (System Administrator Appreciation Day)

7月の最終金曜日は System Administrator Appreciation Day です。今
年は今週金曜日 7月30日となります。これは、米国のシステム管理者が 
2000年から提唱しているものです。ユーザのため、システム管理者は、
日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね
ぎらい感謝の意を伝えてみてはいかがでしょうか。

参考文献 (日本語)

Wikipedia
システム管理者の日
http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5

参考文献 (英語)

System Administrator Appreciation Day
http://www.sysadminday.com/

■JPCERT/CC からのお願い


以上。

2010 (C) JPCERT/CC