JPCERT-WR-2010-3701 2010-09-29 2010-09-19 2010-09-25

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/23/archive.html#cisco_releases_security_advisories3

Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第 三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品は以下の通りです。 - Cisco IOS - Cisco Unified Communication Manager この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。

Cisco Security Advisory 112122 http://www.cisco.com/JP/support/public/ht/security/109/1091515/cisco-sa-20100922-bundle-j.shtml Cisco Security Advisory 112122 http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a315.shtml

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/23/archive.html#apple_releases_security_update_20105

Mac OS X および Mac OS X Server の AFP パッケージには、脆弱性が あります。結果として、遠隔の第三者が認証処理を回避して AFP 共有 フォルダにアクセスする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X Server 10.6 から 10.6.4 - Apple Mac OS X 10.6 から 10.6.4 この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。

Apple Support HT4361 http://support.apple.com/kb/HT4361?viewlocale=ja_JP Apple Mailing Lists http://lists.apple.com/archives/security-announce/2010/Sep/msg00004.html

VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0014.html

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、細工したファイルを表示させたり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、2010年9月26日現在、一部の問 題については修正版が提供されていません。詳細については、VMware が提供する情報を参照してください。

VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2010/000105.html

CERT-FI Reports http://www.cert.fi/en/reports/2010/vulnerability408516.html

bzip2 には、脆弱性があります。結果として、遠隔の第三者が細工した bzip2 アーカイブファイルを処理させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - bzip2/libbzip2 1.0.6 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。

bzip.org http://www.bzip.org/ Red Hat Security Advisory RHSA-2010:0703-1 https://rhn.redhat.com/errata/RHSA-2010-0703.html Debian Security Advisory DSA-2112-1 http://www.debian.org/security/2010/dsa-2112 The FreeBSD Project Security Advisory http://security.freebsd.org/advisories/FreeBSD-SA-10:08.bzip2.asc

CERT-FI Reports http://www.cert.fi/en/reports/2010/vulnerability370218.html

Quagga の BGP デーモンには、複数の脆弱性があります。結果として、 遠隔の第三者が細工した BGP パケットを処理させることで、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.17 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Quagga を更新することで解決します。

quagga.net http://www.quagga.net/news2.php?y=2010&m=8&d=19#id1282241100

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/23/archive.html#openx_releases_security_update

OpenX には、脆弱性があります。結果として、遠隔の第三者が OpenX の稼動しているサーバで任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenX 2.8.7 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに OpenX を更新 することで解決します。

OpenX Blog http://blog.openx.org/09/security-update/ OpenX http://www.openx.org/ad-server/download AusCERT http://www.auscert.org.au/13386

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」では、参加申し込みを受け付けております。皆様ふるってご 参加ください。 [日時] part3 ＜CERT C セキュアコーディングスタンダード＞ 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-application.html

Linux カーネル 2.4 系の最新版 2.4.37.10 が 2010年9月6日にリリー スされ、今後のサポート終了予定が発表されています。それによると 2011年9月に 2.4 系のサポート終了が提案されており、2.6 系への移行 が推奨されています。 現在、Linux カーネル 2.4 系を使ったシステムを運用している場合、 脆弱性対応を適切に行なうためにも、2.6 系への移行をおすすめします。 Linux Kernel Mailing List http://lkml.org/lkml/2010/9/6/15