JPCERT-WR-2010-4701 2010-12-08 2010-11-28 2010-12-04

US-CERT Vulnerability Note VU#837744 http://www.kb.cert.org/vuls/id/837744 US-CERT Vulnerability Note VU#510208 http://www.kb.cert.org/vuls/id/510208 US-CERT Vulnerability Note VU#706148 http://www.kb.cert.org/vuls/id/706148 US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/03/archive.html#internet_systems_consortium_bind_vulnerabilities

ISC BIND には、複数の脆弱性があります。結果として、アクセス制限 が有効に動作しなかったり、キャッシュサーバとして動作している BIND がゾーンデータを不正なものと返答したり、遠隔の第三者がキャッ シュサーバに対してサービス運用妨害 (DoS) を行ったりする可能性が あります。 対象となるバージョンは、脆弱性の内容によって異なります。詳細につ いては、下記関連文書を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに ISC BIND を更新することで解決します。詳細について は、各ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#837744 https://jvn.jp/cert/JVNVU837744/index.html Japan Vulnerability Notes JVNVU#706148 https://jvn.jp/cert/JVNVU706148/index.html Japan Vulnerability Notes JVNVU#510208 https://jvn.jp/cert/JVNVU510208/index.html Internet Systems Consortium https://www.isc.org/software/bind/advisories/cve-2010-3614 Internet Systems Consortium https://www.isc.org/software/bind/advisories/cve-2010-3613 Internet Systems Consortium https://www.isc.org/software/bind/advisories/cve-2010-3615 Internet Systems Consortium http://www.isc.org/announcement/guidance-regarding-dec-1st-2010-security-advisories

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/03/archive.html#vmware_releases_security_advisory_vmsa5

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、権限を昇格したりする可能性があり ます。 この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。

VMware Security Advisories (VMSAs) http://www.vmware.com/security/advisories/VMSA-2010-0018.html VMware Security Announcements http://lists.vmware.com/pipermail/security-announce/2010/000112.html

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/03/archive.html#google_releases_chrome_8_0

Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 8.0.552.215 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。

Google Chrome Releases http://googlechromereleases.blogspot.com/2010/12/stable-beta-channel-updates.html

US-CERT Vulnerability Note VU#479900 http://www.kb.cert.org/vuls/id/479900

PHP の getSymbol 関数には、整数オーバーフローの脆弱性があります。 結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となるバージョンは以下の通りです。 - PHP 5.3.3 revision 305571 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに PHP を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#479900 https://jvn.jp/cert/JVNVU479900/index.html The PHP Group http://svn.php.net/viewvc?view=revision&revision=305571

US-CERT Current Activity Archive http://www.us-cert.gov/current/archive/2010/12/03/archive.html#wordpress_releases_wordpress_3_0

WordPress には、脆弱性があります。結果として、Author レベルの ユーザが権限を昇格するなどの可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.0.2 より前のバージョン この問題は、使用している OS ベンダまたは配布元が提供する修正済み のバージョンに WordPress を更新することで解決します。

WordPress Blog http://wordpress.org/news/2010/11/wordpress-3-0-2/ WordPress Codex http://codex.wordpress.org/Version_3.0.2

US-CERT Vulnerability Note VU#870532 http://www.kb.cert.org/vuls/id/870532

AWStats には、設定ファイルディレクトリの処理に脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - AWStats 7.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに AWStats を更 新することで解決します。

Japan Vulnerability Notes JVNVU#870532 http://jvn.jp/cert/JVNVU870532/index.html AWStats project http://awstats.sourceforge.net/docs/awstats_changelog.txt

Japan Vulnerability Notes JVN#64764004 https://jvn.jp/jp/JVN64764004/index.html Japan Vvulnerability Notes JVN#76662040 https://jvn.jp/jp/JVN76662040/index.html

フェンリル社が提供するウェブブラウザ Sleipnir および Grani には、 クリップボードの操作に関する脆弱性が存在します。結果として、 Sleipnir や Grani を特定の設定で使用すると、ウェブサイト側からク リップボードの内容を読み書きされてしまう可能性があります。 対象となるバージョンは以下の通りです。 - 2010年11月25日15時 (日本時間) 以前に公開されていた - Sleipnir 2.9.6 およびそれ以前 - Grani 4.5 およびそれ以前 この問題は、フェンリル社が提供する修正済みのバージョンに該当製品 を更新することで解決します。Sleipnir 2.9.6 および Grani 4.5 を利 用しているユーザは、フェンリル社が提供する情報をもとに設定変更を 行ってください。詳細については下記関連文書を参照してください。

フェンリル株式会社 http://www.fenrir.co.jp/blog/2010/11/post_47.html

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html JPCERT/CC https://www.jpcert.or.jp/event/securecoding-SAP-seminar.html

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して います。 このたび、北海道地区のプログラム開発者の皆様に受講いただけるよう、 札幌を会場とした 2日間コースを、1月27日(木)、28日(金)に開催しま す。受講料は無料です。ふるってご参加ください。 また、東京を会場にしたセミナーは、part5 ＜書式指定文字列＞ の開 催まで一週間となりました。こちらも、ひきつづき参加者を募集してい ます。皆様の参加をお待ちしています。 C/C++ セキュアコーディングセミナー2010＠東京 part5 書式指定文字列 [日時] 2010年12月15日(水) 13:00 - 受付開始 13:30 - 16:00 書式指定文字列 - 講義 16:00 - 18:15 書式指定文字列 - 演習 [会場] 株式会社インターネットイニシアティブ大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif [定員]　70名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者、等 C/C++ セキュアコーディングセミナー2011＠札幌 [日時] part1 ＜セキュアコーディング概論・文字列＞ 2011年01月27日(木) 09:30 - 受付開始 10:00 - 12:00 セキュアコーディング概論 13:00 - 15:00 文字列 15:15 - 17:15 演習(文字列) part2 ＜整数・コードレビュー＞ 2011年01月28日(金) 09:10 - 受付開始 09:30 - 12:00 整数 13:00 - 15:00 演習(整数) 15:15 - 17:15 コードレビュー [会場] ACU 1605中研修室 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員]　50名／回 (参加者多数の場合はお申し込み先着順となります) [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ ジェクトマネージャ、コードレビュアー、品質管理担当者、 プログラマ・エンジニアの教育担当者等

JPCERT/CC https://www.jpcert.or.jp/event/securecoding-TKO-application.html JPCERT/CC https://www.jpcert.or.jp/event/securecoding-SAP-application.html

Microsoft が提供する Exchange Server 2000 と SQL Server 7.0 の延 長サポートが、2011年1月11日 (1月のセキュリティ更新プログラム提供 日) で終了する予定です。延長サポートが終了すると、セキュリティ更 新プログラムが提供されなくなるだけでなく、脆弱性に関する情報も把 握できなくなります。サポートされているバージョンへの移行を検討し てください。 マイクロソフト http://support.microsoft.com/lifecycle/?c1=508