<<< JPCERT/CC WEEKLY REPORT 2009-07-29 >>>

■07/19(日)〜07/25(土) のセキュリティ関連情報

目　次

【1】複数の Adobe 製品に脆弱性

【2】Mozilla 製品群に複数の脆弱性

【3】Cisco Unified Contact Center Express サーバに複数の脆弱性

【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中

【今週のひとくちメモ】Java JDK/JRE の古いバージョンを削除する

【1】複数の Adobe 製品に脆弱性

情報源

US-CERT Technical Cyber Security Alert TA09-204A
Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products
http://www.us-cert.gov/cas/techalerts/TA09-204A.html

US-CERT Vulnerability Note VU#259425
Adobe Flash vulnerability affects Flash Player and other Adobe products
http://www.kb.cert.org/vuls/id/259425

DOE-CIRC Technical Bulletin T-191
Vulnerability in Adobe Acrobat, Reader, and Flash Player
http://www.doecirc.energy.gov/bulletins/t-191.shtml

概要

複数の Adobe 製品には Flash に起因する脆弱性があります。結果とし
て、遠隔の第三者が細工した HTML 文書または PDF ファイルを閲覧さ
せることで、任意のコードを実行する可能性があります。なお、本脆弱
性を使用した攻撃活動が確認されています。

対象となる製品およびバージョンは以下の通りです。

- Adobe Flash Player 9.0.159.0 およびそれ以前
- Adobe Flash Player 10.0.22.87 およびそれ以前
- Adobe Reader および Acrobat 9.1.2 およびそれ以前

Adobe によると Flash サポートが搭載されている他の Adobe 製品も影
響を受ける可能性があります。

2009年7月28日現在、この問題に対する解決策は提供されていません。
なお、Adobe によると、Flash Player は、米国時間 2009年7月30日、
Reader と Acrobat については、7月31日に対策版を提供するとのこと
です。

回避策としては、Flash プラグインを無効にするなどの方法があります。
詳細については、Adobe が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA09-204A
Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性
https://jvn.jp/cert/JVNTA09-204A/index.html

Japan Vulnerability Notes JVNVU#259425
Adobe Flash に脆弱性
https://jvn.jp/cert/JVNVU259425/index.html

関連文書 (英語)

Adobe Security Bulletin APSA09-03
Security advisory for Adobe Reader, Acrobat and Flash Player
http://www.adobe.com/support/security/advisories/apsa09-03.html

Adobe TechNote
How to uninstall the Adobe Flash Player plug-in and ActiveX control
http://kb2.adobe.com/cps/141/tn_14157.html

【2】Mozilla 製品群に複数の脆弱性

情報源

Mozilla Developer News
Firefox 3.0.12 security and stability release now available
https://developer.mozilla.org/devnews/index.php/2009/07/21/firefox-3-0-12-security-and-stability-release-now-available/

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ
せることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻
撃を行ったりする可能性があります。

対象となる製品は以下の通りです。

- Firefox 3.0
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。

- Firefox 3.0.12

なお、Firefox 3.5.1 は本脆弱性の影響を受けません。

2009年7月28日現在、Thunderbird および SeaMonkey の修正プログラム
は提供されていません。詳細については、OS のベンダや配布元が提供
する情報を参照してください。

関連文書 (日本語)

Firefox 3.0 セキュリティアドバイザリ
Firefox 3.0.12 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12

【3】Cisco Unified Contact Center Express サーバに複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-189
Directory Traversal Vulnerability in the Administration Interface in Cisco Customer Response Solutions
http://www.doecirc.energy.gov/bulletins/t-189.shtml

概要

Cisco Unified Contact Center Express (Cisco Unified CCX) サーバ
には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報
を取得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品は以下の通りです。

- 以下の製品が動作する Cisco Unified CCX サーバ
 - Cisco Customer Response Solution (CRS) 3.x、4.x、5.x、6.x、7.x
 - Cisco Unified IP Interactive Voice Response 
   (Cisco Unified IP IVR) 3.x、4.x、5.x、6.x、7.x
 - Cisco Unified CCX 4.x、5.x、6.x、7.x
 - Cisco Unified IP Contact Center Express 3.x、5.x、6.x、7.x
 - Cisco Customer Response Applications 3.x
 - Cisco IP Queue Manager (IP QM) 3.x

この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified 
CCX サーバを更新することで解決します。

関連文書 (英語)

Cisco Security Advisory 110307
Vulnerabilities in Unified Contact Center Express Administration Pages
http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml

【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中

情報源

JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。

先週もお知らせしましたが、「C/C++ セキュアコーディングハーフデイ
キャンプ」part2 は 8月7日に開催予定です。奮ってお申し込み下さい。

日時:   part2 ＜ファイル入出力 part1,part2,part3＞
        2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜)
会場:   株式会社インターネットイニシアティブ　大会議室1
        東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員:   80名

関連文書 (日本語)

JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html

■今週のひとくちメモ

○Java JDK/JRE の古いバージョンを削除する

Java JDK/JRE を更新した際、古いバージョンが削除されずにインストー
ルされたままになっている場合があります (例えば Windows 版など)。
そのまま放置しておくと、古いバージョンにある脆弱性を攻撃に悪用さ
れる可能性があります。更新作業を行なったら、コントロールパネルや
ブラウザの設定画面から、JDK/JRE のどのバージョンが使える状態であ
るかを確認し、古いバージョンは可能なかぎり速やかに削除しましょう。

参考文献 (日本語)

Java テクノロジ FAQ
JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。
http://java.com/ja/download/faq/remove_olderversions.xml

Java ヘルプセンター
コンピュータに、RPM を使用してインストールした Java Runtime Environment のバージョンが 2 つあります。これらのバージョンの 1 つを削除するには、どうすればよいですか。
http://java.com/ja/download/help/5000012100.xml

Java ヘルプセンター
Windows から Java Runtime Environment をアンインストールする方法
http://java.com/ja/download/help/uninstall_java.xml

JPCERT/CC REPORT 2009-02-25
【今週のひとくちメモ】インストールされた Java のバージョンの確認
http://www.jpcert.or.jp/wr/2009/wr090801.html#Memo

■JPCERT/CC からのお願い