JPCERT-WR-2010-3701
2010-09-29
2010-09-19
2010-09-25
Cisco 製品群に複数の脆弱性
Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となる製品は以下の通りです。
- Cisco IOS
- Cisco Unified Communication Manager
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/JP/support/public/ht/security/109/1091515/cisco-sa-20100922-bundle-j.shtml
Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a315.shtml
Apple 製品に脆弱性
Mac OS X および Mac OS X Server の AFP パッケージには、脆弱性が
あります。結果として、遠隔の第三者が認証処理を回避して AFP 共有
フォルダにアクセスする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Apple Mac OS X Server 10.6 から 10.6.4
- Apple Mac OS X 10.6 から 10.6.4
この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。
Apple Support HT4361
セキュリティアップデート 2010-006 について
http://support.apple.com/kb/HT4361?viewlocale=ja_JP
Apple Mailing Lists
APPLE-SA-2010-09-20-1 Security Update 2010-006
http://lists.apple.com/archives/security-announce/2010/Sep/msg00004.html
VMware 製品群に複数の脆弱性
VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、細工したファイルを表示させたり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。なお、2010年9月26日現在、一部の問
題については修正版が提供されていません。詳細については、VMware
が提供する情報を参照してください。
VMware Security Announcements
[Security-announce] VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues
http://lists.vmware.com/pipermail/security-announce/2010/000105.html
bzip2 に脆弱性
bzip2 には、脆弱性があります。結果として、遠隔の第三者が細工した
bzip2 アーカイブファイルを処理させることで任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- bzip2/libbzip2 1.0.6 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。
bzip.org
bzip2 and libbzip2
http://www.bzip.org/
Red Hat Security Advisory RHSA-2010:0703-1
Important: bzip2 security update
https://rhn.redhat.com/errata/RHSA-2010-0703.html
Debian Security Advisory DSA-2112-1
bzip2 -- integer overflow
http://www.debian.org/security/2010/dsa-2112
The FreeBSD Project Security Advisory
Integer overflow in bzip2 decompression
http://security.freebsd.org/advisories/FreeBSD-SA-10:08.bzip2.asc
Quagga の BGP デーモンに複数の脆弱性
Quagga の BGP デーモンには、複数の脆弱性があります。結果として、
遠隔の第三者が細工した BGP パケットを処理させることで、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となるバージョンは以下の通りです。
- Quagga 0.99.17 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Quagga を更新することで解決します。
quagga.net
2010-08-19: Quagga 0.99.17 Released
http://www.quagga.net/news2.php?y=2010&m=8&d=19#id1282241100
OpenX に脆弱性
OpenX には、脆弱性があります。結果として、遠隔の第三者が OpenX
の稼動しているサーバで任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- OpenX 2.8.7 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに OpenX を更新
することで解決します。
OpenX Blog
Security Update
http://blog.openx.org/09/security-update/
OpenX
Download OpenX Community for your own environment
http://www.openx.org/ad-server/download
AusCERT
OpenX - website revenue, or website regret?
http://www.auscert.org.au/13386
C/C++ セキュアコーディングセミナー 2010 @東京 part 3 参加者募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。
東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ
ンダード」では、参加申し込みを受け付けております。皆様ふるってご
参加ください。
[日時] part3 <CERT C セキュアコーディングスタンダード>
2010年10月13日(水)
13:30 - 受付開始
14:00 - 14:45 CERT C セキュアコーディングスタンダード概論
15:00 - 16:30 CERT C セキュアコーディングスタンダード各論
16:45 - 17:15 CERT C セキュアコーディングスタンダード活用
[会場] 株式会社インターネットイニシアティブ大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
(MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif
[定員] 70名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者、等
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
Linux カーネル 2.4 系サポート終了予定
Linux カーネル 2.4 系の最新版 2.4.37.10 が 2010年9月6日にリリー
スされ、今後のサポート終了予定が発表されています。それによると
2011年9月に 2.4 系のサポート終了が提案されており、2.6 系への移行
が推奨されています。
現在、Linux カーネル 2.4 系を使ったシステムを運用している場合、
脆弱性対応を適切に行なうためにも、2.6 系への移行をおすすめします。
Linux Kernel Mailing List
Linux 2.4.37.10 + 2.4 EOL plans
http://lkml.org/lkml/2010/9/6/15