JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2011 > Weekly Report 2011-08-10号

最終更新: 2011-08-10

Weekly Report 2011-08-10号


JPCERT-WR-2011-3001
JPCERT/CC
2011-08-10

<<< JPCERT/CC WEEKLY REPORT 2011-08-10 >>>

■07/31(日)〜08/06(土) のセキュリティ関連情報

目 次

【1】Apple QuickTime に複数の脆弱性

【2】Google Chrome に複数の脆弱性

【3】WordPress の TimThumb スクリプトに脆弱性

【4】IBM Lotus Symphony に複数の脆弱性

【5】Cisco TelePresence Recording Server Software に脆弱性

【6】MapServer に複数の脆弱性

【今週のひとくちメモ】Java SE 6 サポート終了に備えて

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr113001.txt
https://www.jpcert.or.jp/wr/2011/wr113001.xml

【1】Apple QuickTime に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases QuickTime 7.7
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#apple_releases_quicktime_7_7

概要

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工したファイルを閲覧させることで任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下のとおりです。

- Apple QuickTime 7.7 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに QuickTime を
更新することで解決します。
		

関連文書 (日本語)

Apple Download
QuickTime 7.7 (Leopard)
http://support.apple.com/kb/DL761?viewlocale=ja_JP

Apple Download
QuickTime 7.7 (Windows)
http://support.apple.com/kb/DL837?viewlocale=ja_JP

Japan Vulnerability Notes JVNVU#610235
Apple Quicktime における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU610235/index.html

関連文書 (英語)

Apple Support HT4826
About the security content of QuickTime 7.7
http://support.apple.com/kb/HT4826?viewlocale=en_US

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 13.0.782.107
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#google_releases_chrome_13_0

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 13.0.782.107 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html

【3】WordPress の TimThumb スクリプトに脆弱性

情報源

US-CERT Current Activity Archive
WordPress Themes Vulnerability
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#wordpress_themes_vulnerability

概要

WordPress で使用されている PHP スクリプト TimThumb には、脆弱性
があります。結果として、遠隔の第三者が任意の PHP コードをサイト
にアップロードする可能性があります。

対象となるバージョンは以下の通りです。

- TimThumb 2.0 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに TimThumb を更
新することで解決します。詳細については、配布元が提供する情報を参
照してください。
		

関連文書 (英語)

timthumb project
timthumb
http://code.google.com/p/timthumb/

MM
Zero Day Vulnerability in many WordPress Themes
http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/

MM
WordThumb is now TimThumb 2.0
http://markmaunder.com/2011/wordthumb-is-now-timthumb-2-0/

【4】IBM Lotus Symphony に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-681
IBM Lotus Symphony Multiple Unspecified Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-681.shtml

概要

IBM Lotus Symphony には、複数の脆弱性があります。結果として、遠
隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があり
ます。

対象となるバージョンは以下の通りです。

- Fix Pack 3 未適用の IBM Lotus Symphony 3

この問題は、IBM が提供する Fix Pack を IBM Lotus Symphony に適用
することで解決します。詳細については、IBM が提供する情報を参照し
てください。
		

関連文書 (英語)

IBM
IBM Lotus Symphony 3 Fix Pack 3 Release Notes
http://www-03.ibm.com/software/lotus/symphony/idcontents/releasenotes/en/readme_fixpack3_standalone_long.htm

IBM Lotus Symphony
Announcements
http://www-03.ibm.com/software/lotus/symphony/buzz.nsf/web_DisPlayPlugin?open&unid=9717F6F587AAA939852578D300404BCF&category=announcements

IBM
IBM Lotus Symphony 3 Embedded in Lotus Notes Fix Pack 3 Quick Installation Instructions
https://www-304.ibm.com/support/docview.wss?uid=swg21505448

【5】Cisco TelePresence Recording Server Software に脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory and Applied Mitigation Bulletin
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#cisco_releases_security_advisory_and

概要

Cisco TelePresence Recording Server Software には、脆弱性があり
ます。結果として、セキュリティ制限を回避したり、デバイスの設定を
変更したりする可能性があります。

対象となるバージョンは以下の通りです。

- Cisco TelePresence Recording Server Software 1.7.2.0

この問題は、Cisco が提供する修正済みのバージョンに Cisco 
TelePresence Recording Server Software を更新することで解決しま
す。詳細については、Cisco が提供する情報を参照してください。
		

関連文書 (英語)

Cisco Security Advisory 113167
Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8ad3f.shtml

Cisco Applied Mitigation Bulletin 113168
Identifying and Mitigating Exploitation of the Default Credentials for Root Account on Cisco TelePresence Recording Server
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b8ad40.html

【6】MapServer に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-682
Double free vulnerability in MapServer
http://www.doecirc.energy.gov/bulletins/t-682.shtml

概要

MapServer には、複数の脆弱性があります。結果として、遠隔の第三者
が MapServer で管理している情報を変更したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- MapServer 6.0.1 より前の 6.x 系
- MapServer 5.6.7 より前の 5.x 系
- MapServer 4.10.7 より前の 4.x 系

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに MapServer を更新することで解決します。詳細については
ベンダや配布元が提供する情報を参照してください。
		

関連文書 (英語)

MapServer.org
2011-07-13 - MapServer 6.0.1, 5.6.7 and 4.10.7 are released with security fixes
http://mapserver.org/

MapServer.org
[mapserver-users] MapServer 6.0.1, 5.6.7 and 4.10.7 releases with security fixes
http://lists.osgeo.org/pipermail/mapserver-users/2011-July/069430.html

■今週のひとくちメモ

○Java SE 6 サポート終了に備えて

2011年7月28日、Oracle から Java SE 7 がリリースされました。
サポートポリシーに従って、Java SE 6 は 2012年7月で EOL とされる予
定です。

Java を使用したサービス提供者や開発者の方は、今後のアップデート予
定について検討しておくことをおすすめします。

参考文献 (日本語)

JPCERT/CC WEEKLY REPORT 2009-09-09
【今週のひとくちメモ】J2SE 5.0 サポート終了
https://www.jpcert.or.jp/wr/2009/wr093501.html#Memo

参考文献 (英語)

Oracle Technology Network
Java SE EOL Policy
http://www.oracle.com/technetwork/java/eol-135779.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english