JPCERT-WR-2010-3801 2010-10-06 2010-09-26 2010-10-02

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/09/30/archive.html#microsoft_releases_security_bulletin_ms10

JPCERT/CC WEEKLY REPORT 2010-09-24 号【3】で紹介した「Microsoft ASP.NET に脆弱性」に関する追加情報です。 マイクロソフトは、この問題の対策として 2010年9月29日にセキュリティ 更新プログラムをリリースしました。詳細については、下記関連文書を 参照してください。

マイクロソフト セキュリティ情報 MS10-070 - 重要 http://www.microsoft.com/japan/technet/security/bulletin/ms10-070.mspx @police http://www.npa.go.jp/cyberpolice/topics/?seq=4857 JPCERT/CC WEEKLY REPORT 2010-09-24 号 https://www.jpcert.or.jp/wr/2010/wr103601.html#3

US-CERT Vulnerability Note VU#784855 http://www.kb.cert.org/vuls/id/784855

BIND の ACL の処理には、脆弱性があります。結果として、遠隔の第三 者がアクセス制限を回避して、キャッシュデータにアクセスする可能性 があります。 対象となるバージョンは以下の通りです。 - BIND 9.7.2 から 9.7.2-P1 まで この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに BIND を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#784855 https://jvn.jp/cert/JVNVU784855/index.html Internet Systems Consortium https://lists.isc.org/pipermail/bind-announce/2010-September/000655.html Internet Systems Consortium http://ftp.isc.org/isc/bind9/9.7.2-P2/RELEASE-NOTES-BIND-9.7.2-P2.html

VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0015.html

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したり、機密情報を取得 したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。2010年10月5日現在、一部の問題につ いては修正版が提供されていません。詳細については、VMware が提供 する情報を参照してください。

VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2010/000106.html

JPCERT/CC https://www.jpcert.or.jp/at/2010/at100025.txt

JPCERT/CC では、改ざんされた Web サイトを閲覧したユーザの PC を マルウエアに感染させる攻撃を複数確認しています。これらの攻撃では、 Windows、Adobe Reader、Flash Player、Java(JRE) などの製品の脆弱 性を悪用する攻撃用ツールキットが使用されています。 PC にインストールしているソフトウエアが最新であるか確認の上、更 新が必要な場合は適宜アップデートしてください。

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ ンダード」の開催まで一週間となりました。ひきつづき参加申し込みを 受け付けております。皆様奮ってご参加ください。 [日時] part3 ＜CERT C セキュアコーディングスタンダード＞ 2010年10月13日(水) 13:30 - 受付開始 14:00 - 14:45 CERT C セキュアコーディングスタンダード概論 15:00 - 16:30 CERT C セキュアコーディングスタンダード各論 16:45 - 17:15 CERT C セキュアコーディングスタンダード活用 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-application.html

米国では、毎年10月を "National Cyber Security Awareness Month" として、情報セキュリティに関する啓発活動を展開しています。この活 動には、米国国土安全保障省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業などが参加 しており、様々なユーザ層に向けた活動が行われています。 これに関連して SANS handler's diary では、「人的セキュリティ」に 着目した内容を掲載しています。社内セキュリティ検討の参考にしてみ てはいかがでしょうか。 National Cyber Security Alliance http://www.staysafeonline.org/ncsam 米国国土安全保障省 (DHS) http://www.dhs.gov/files/programs/gc_1158611596104.shtm SANS Internet Storm Center https://isc.sans.edu/diary.html?storyid=9640