-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2010-3701 JPCERT/CC 2010-09-29 <<< JPCERT/CC WEEKLY REPORT 2010-09-29 >>> ―――――――――――――――――――――――――――――――――――――― ■09/19(日)〜09/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Cisco 製品群に複数の脆弱性 【2】Apple 製品に脆弱性 【3】VMware 製品群に複数の脆弱性 【4】bzip2 に脆弱性 【5】Quagga の BGP デーモンに複数の脆弱性 【6】OpenX に脆弱性 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part 3 参加者募集中 【今週のひとくちメモ】Linux カーネル 2.4 系サポート終了予定 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2010/wr103701.html https://www.jpcert.or.jp/wr/2010/wr103701.xml ============================================================================ 【1】Cisco 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisories http://www.us-cert.gov/current/archive/2010/09/23/archive.html#cisco_releases_security_advisories3 概要 Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco IOS - Cisco Unified Communication Manager この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。 関連文書 (日本語) Cisco Security Advisory 112122 Summary of Cisco IOS Software Bundled Advisories, September 22, 2010 http://www.cisco.com/JP/support/public/ht/security/109/1091515/cisco-sa-20100922-bundle-j.shtml 関連文書 (英語) Cisco Security Advisory 112122 Summary of Cisco IOS Software Bundled Advisories, September 22, 2010 http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a315.shtml 【2】Apple 製品に脆弱性 情報源 US-CERT Current Activity Archive Apple Releases Security Update 2010-006 http://www.us-cert.gov/current/archive/2010/09/23/archive.html#apple_releases_security_update_20105 概要 Mac OS X および Mac OS X Server の AFP パッケージには、脆弱性が あります。結果として、遠隔の第三者が認証処理を回避して AFP 共有 フォルダにアクセスする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X Server 10.6 から 10.6.4 - Apple Mac OS X 10.6 から 10.6.4 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。 関連文書 (日本語) Apple Support HT4361 セキュリティアップデート 2010-006 について http://support.apple.com/kb/HT4361?viewlocale=ja_JP 関連文書 (英語) Apple Mailing Lists APPLE-SA-2010-09-20-1 Security Update 2010-006 http://lists.apple.com/archives/security-announce/2010/Sep/msg00004.html 【3】VMware 製品群に複数の脆弱性 情報源 VMware Security Advisories (VMSAs) VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues http://www.vmware.com/security/advisories/VMSA-2010-0014.html 概要 VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、細工したファイルを表示させたり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、2010年9月26日現在、一部の問 題については修正版が提供されていません。詳細については、VMware が提供する情報を参照してください。 関連文書 (英語) VMware Security Announcements [Security-announce] VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues http://lists.vmware.com/pipermail/security-announce/2010/000105.html 【4】bzip2 に脆弱性 情報源 CERT-FI Reports CERT-FI Advisory on bzip2 http://www.cert.fi/en/reports/2010/vulnerability408516.html 概要 bzip2 には、脆弱性があります。結果として、遠隔の第三者が細工した bzip2 アーカイブファイルを処理させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - bzip2/libbzip2 1.0.6 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 関連文書 (英語) bzip.org bzip2 and libbzip2 http://www.bzip.org/ Red Hat Security Advisory RHSA-2010:0703-1 Important: bzip2 security update https://rhn.redhat.com/errata/RHSA-2010-0703.html Debian Security Advisory DSA-2112-1 bzip2 -- integer overflow http://www.debian.org/security/2010/dsa-2112 The FreeBSD Project Security Advisory Integer overflow in bzip2 decompression http://security.freebsd.org/advisories/FreeBSD-SA-10:08.bzip2.asc 【5】Quagga の BGP デーモンに複数の脆弱性 情報源 CERT-FI Reports CERT-FI Advisory on Quagga http://www.cert.fi/en/reports/2010/vulnerability370218.html 概要 Quagga の BGP デーモンには、複数の脆弱性があります。結果として、 遠隔の第三者が細工した BGP パケットを処理させることで、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.17 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Quagga を更新することで解決します。 関連文書 (英語) quagga.net 2010-08-19: Quagga 0.99.17 Released http://www.quagga.net/news2.php?y=2010&m=8&d=19#id1282241100 【6】OpenX に脆弱性 情報源 US-CERT Current Activity Archive OpenX Releases Security Update http://www.us-cert.gov/current/archive/2010/09/23/archive.html#openx_releases_security_update 概要 OpenX には、脆弱性があります。結果として、遠隔の第三者が OpenX の稼動しているサーバで任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenX 2.8.7 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに OpenX を更新 することで解決します。 関連文書 (英語) OpenX Blog Security Update http://blog.openx.org/09/security-update/ OpenX Download OpenX Community for your own environment http://www.openx.org/ad-server/download AusCERT OpenX - website revenue, or website regret? http://www.auscert.org.au/13386 【7】C/C++ セキュアコーディングセミナー 2010 @東京 part 3 参加者募集中 情報源 JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」では、参加申し込みを受け付けております。皆様ふるってご 参加ください。 [日時] part3 <CERT C セキュアコーディングスタンダード> 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員] 70名/回 (参加者多数の場合はお申し込み先着順となります) [対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Linux カーネル 2.4 系サポート終了予定 Linux カーネル 2.4 系の最新版 2.4.37.10 が 2010年9月6日にリリー スされ、今後のサポート終了予定が発表されています。それによると 2011年9月に 2.4 系のサポート終了が提案されており、2.6 系への移行 が推奨されています。 現在、Linux カーネル 2.4 系を使ったシステムを運用している場合、 脆弱性対応を適切に行なうためにも、2.6 系への移行をおすすめします。 参考文献 (英語) Linux Kernel Mailing List Linux 2.4.37.10 + 2.4 EOL plans http://lkml.org/lkml/2010/9/6/15 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2010 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJMopNWAAoJEDF9l6Rp7OBIGjMH/0Q8J8R3O0FFNQvu/10HJv0V zibK+FaNAnY1h2/3DH0GkzbSG2C2Itek0qfQ5PY310xIY5ruxF1mOvkH1oPceSTw a05iTG5WyAH6y/tkGmVJeahA0w1G1tSTkzkcT0at33Q1pgU/kwPdYkAz84Ge6xY7 SbvZbKSocfgfHhp6zBdcUDKpLru5gKcR/N/+yZlRM+h05zRIvnXG9QC4icOTAHf6 2Tg7kPbw8BLXEWyJ0Q5A3pWZbdcmVMbDQq4bY+LjoLGz3bH6eLs41JPTdQJjqmh/ WR/OtZUtQ9cOmaVtE2JKPdgbeAMctPmvYRNMZ6XvIrTtoI50oHYkx1U9z7gfH3M= =U+JO -----END PGP SIGNATURE-----