-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2010-2801
                                                                   JPCERT/CC
                                                                  2010-07-28

            <<< JPCERT/CC WEEKLY REPORT 2010-07-28 >>>

――――――――――――――――――――――――――――――――――――――
■07/18(日)〜07/24(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla 製品群に複数の脆弱性
【2】Apple iTunes に脆弱性
【3】OpenLDAP に複数の脆弱性
【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性
【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】システム管理者の日 (System Administrator Appreciation Day)

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2010/wr102801.html
        https://www.jpcert.or.jp/wr/2010/wr102801.xml
============================================================================


【1】Mozilla 製品群に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Mozilla Releases Firefox 3.6.7
      http://www.us-cert.gov/current/archive/2010/07/23/archive.html#mozilla_releases_3_6_7

      DOE-CIRC Technical Bulletin T-401
      Multiple Mozilla Product Vulnerabilities
      http://www.doecirc.energy.gov/bulletins/t-401.shtml

    概要
      Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
      三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
      プトを実行したりする可能性があります。

      対象となる製品は以下の通りです。

      - Firefox
      - Thunderbird
      - SeaMonkey

      その他に Mozilla コンポーネントを用いている製品も影響を受ける可
      能性があります。

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに、該当する製品を更新することで解決します。

      なお、Mozilla プロジェクトからは、Firefox の最新版として 3.6.8
      が公開されています。

    関連文書 (日本語)
      Mozilla Japan
      Firefox リリースノート - バージョン 3.6.8 - 2010/07/23 リリース
      http://mozilla.jp/firefox/3.6.8/releasenotes/

      Mozilla Japan
      Firefox リリースノート - バージョン 3.6.7 - 2010/07/20 リリース
      http://mozilla.jp/firefox/3.6.7/releasenotes/

      Firefox 3.6 セキュリティアドバイザリ
      Firefox 3.6.8 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.8

      Firefox 3.6 セキュリティアドバイザリ
      Firefox 3.6.7 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.7

      Mozilla Japan
      Firefox 3.5 リリースノート - バージョン 3.5.11 - 2010/07/20 リリース
      http://mozilla.jp/firefox/3.5.11/releasenotes/

      Firefox 3.5 セキュリティアドバイザリ
      Firefox 3.5.11 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.11

      SeaMonkey Project
      SeaMonkey 2.0.6 リリースノート
      http://www.seamonkey.jp/ja/releases/seamonkey2.0.6/

      SeaMonkey 2.0 セキュリティアドバイザリ
      SeaMonkey 2.0.6 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.6

      Mozilla Japan
      Thunderbird リリースノート - バージョン 3.0.6 - 2010/07/20 リリース
      http://mozilla.jp/thunderbird/3.0.6/releasenotes/

      Thunderbird 3.0 セキュリティアドバイザリ
      Thunderbird 3.0.6 で修正済み
      http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.6

    関連文書 (英語)
      Red Hat Security Advisory RHSA-2010:0556-1
      Critical: firefox security update
      https://rhn.redhat.com/errata/RHSA-2010-0556.html

      Red Hat Security Advisory RHSA-2010:0547-1
      Critical: firefox security update
      https://rhn.redhat.com/errata/RHSA-2010-0547.html

      Red Hat Security Advisory RHSA-2010:0557-1
      Critical: seamonkey security update
      https://rhn.redhat.com/errata/RHSA-2010-0557.html

      Red Hat Security Advisory RHSA-2010:0546-1
      Critical: seamonkey security update
      https://rhn.redhat.com/errata/RHSA-2010-0546.html

      Red Hat Security Advisory RHSA-2010:0544-1
      Moderate: thunderbird security update
      https://rhn.redhat.com/errata/RHSA-2010-0544.html

【2】Apple iTunes に脆弱性

    情報源
      US-CERT Current Activity Archive
      Apple Releases iTunes 9.2.1
      http://www.us-cert.gov/current/archive/2010/07/23/archive.html#apple_releases_itunes_9_21

    概要
      Apple iTunes には、itpc プロトコル URL の処理に起因する脆弱性が
      あります。結果として、遠隔の第三者が細工した itpc プロトコル URL 
      にアクセスさせることで、任意のコードを実行したり、サービス運用妨
      害 (DoS) 攻撃を行ったりする可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - iTunes 9 for Windows
      - iTunes 9 for Mac

      この問題は、Apple が提供する修正済みのバージョンに、該当する製品
      を更新することで解決します。詳細については、Apple が提供する情報
      を参照してください。

    関連文書 (日本語)
      Apple Support HT4263
      iTunes 9.2.1 のセキュリティコンテンツについて
      http://support.apple.com/kb/HT4263?viewlocale=ja_JP

    関連文書 (英語)
      Apple Support HT4263
      About the security content of iTunes 9.2.1
      http://support.apple.com/kb/HT4263?viewlocale=en_US

      Apple Mailing Lists
      APPLE-SA-2010-07-19-1 iTunes 9.2.1
      http://lists.apple.com/archives/security-announce/2010/Jul/msg00000.html

【3】OpenLDAP に複数の脆弱性

    情報源
      CERT-FI Reports
      CERT-FI Advisory on OpenLDAP
      http://www.cert.fi/en/reports/2010/vulnerability383115.html

      DOE-CIRC Technical Bulletin T-399
      OpenLDAP 'modrdn' Request Multiple Vulnerabilities
      http://www.doecirc.energy.gov/bulletins/t-399.shtml

    概要
      OpenLDAP には、複数の脆弱性があります。結果として、遠隔の第三者
      が細工したリクエストを OpenLDAP サーバに送ることで、任意のコード
      を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - OpenLDAP 2.4.23 より前のバージョン

      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに OpenLDAP を更新することで解決します。

    関連文書 (英語)
      OpenLDAP Foundation
      SECURITY: Two OpenLDAP preauth vulnerabilities
      http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6570

      OpenLDAP Foundation
      2.4.23 Release Changes
      http://www.openldap.org/software/release/changes.html

      Red Hat Security Advisory RHSA-2010:0542-1
      Moderate: openldap security update
      https://rhn.redhat.com/errata/RHSA-2010-0542.html

      Red Hat Security Advisory RHSA-2010:0543-1
      Moderate: openldap security update
      https://rhn.redhat.com/errata/RHSA-2010-0543.html

【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性

    情報源
      DOE-CIRC Technical Bulletin T-400
      HP OpenView Network Node Manager CVE-2010-2704 Multiple Code Execution Vulnerabilities
      http://www.doecirc.energy.gov/bulletins/t-400.shtml

    概要
      HP OpenView Network Node Manager (OV NNM) には、複数の脆弱性があ
      ります。結果として、遠隔の第三者が任意のコードを実行する可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - OV NNM v7.51 および v7.53

      この問題は、最新版にアップデートを行い hotfix を適用することで解
      決します。詳細については、HP が提供する情報を参照してください。

    関連文書 (英語)
      HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02286088
      HPSBMA02557 SSRT100025 rev.1- HP OpenView Network Node Manager (OV NNM) Running on Windows, Remote Execution of Arbitrary Code
      http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02286088

      HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02290344
      HPSBMA02558 SSRT100158 rev.2 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
      http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02290344

【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性

    情報源
      US-CERT Current Activity Archive
      Cisco Releases Security Advisory for CDS Internet Streamer
      http://www.us-cert.gov/current/archive/2010/07/23/archive.html#cisco_releases_security_advisory_for18

    概要
      Cisco Internet Streamer CDS には、ディレクトリトラバーサルの脆弱
      性があります。結果として、遠隔の第三者が細工した URL を処理させ
      ることで、デバイス上の任意のファイルを閲覧する可能性があります。

      対象となるバージョンは以下の通りです。

      - Cisco Internet Streamer CDS 2.5.7 より前のバージョン

      この問題は、Cisco が提供する修正済みのバージョンに Cisco Internet 
      Streamer CDS を更新することで解決します。詳細については、Cisco 
      が提供する情報を参照してください。

    関連文書 (日本語)
      Cisco Security Advisory 112019
      CDS Internet Streamer: Web Server Directory Traversal Vulnerability
      http://www.cisco.com/JP/support/public/ht/security/109/1090194/cisco-sa-20100721-spcdn-j.shtml

    関連文書 (英語)
      Cisco Security Advisory 112019
      CDS Internet Streamer: Web Server Directory Traversal Vulnerability
      http://www.cisco.com/en/US/products/products_security_advisory09186a0080b3bd1c.shtml

      Cisco Content Delivery Applications
      Release Notes for Cisco Internet Streamer CDS 2.5.9
      http://www.cisco.com/en/US/docs/video/cds/cda/is/2_5/release_notes/CDS_RelNotes2_5_9.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○システム管理者の日 (System Administrator Appreciation Day)

      7月の最終金曜日は System Administrator Appreciation Day です。今
      年は今週金曜日 7月30日となります。これは、米国のシステム管理者が 
      2000年から提唱しているものです。ユーザのため、システム管理者は、
      日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね
      ぎらい感謝の意を伝えてみてはいかがでしょうか。

    参考文献 (日本語)
      Wikipedia
      システム管理者の日
      http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5

    参考文献 (英語)
      System Administrator Appreciation Day
      http://www.sysadminday.com/


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2010 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJMT4RsAAoJEDF9l6Rp7OBIRvYH/2msvLklgU4xC8Wf0YBPvARm
LfL4lF7IwaLoygfni/Hso/16O591RFVmYT57/Nz1IgaSjPrucrK78l67iFo2ZsWy
y+x0qyNY+OJ5nf8hX0p3q1l/fYYz1N4cycXUkKmreo6SX7BtZqt2BER9w5qzb9pC
APKfXz+OWTRYbAyGaNLFT7KEMkwoDaitnMKNY5lJHM+fjsGsM98dM0Z2WrwaCMgu
bCzvcSi1ALXkKSe7KVRbMzRRDm0YVFxQhFQjFgYyZJhXAECJPm2le7Crr7LSQgWv
iFfzOU2J72YadcsFSX4+CSR3zT01gfRaTEJUKNYkdSO56JVamBqE6mrteGYIqZU=
=Nioc
-----END PGP SIGNATURE-----