<<< JPCERT/CC WEEKLY REPORT 2009-09-02 >>>
■08/23(日)〜08/29(土) のセキュリティ関連情報
目 次
【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性
【2】Cisco Unified Communications Manager に複数の脆弱性
【3】SugarCRM に SQL インジェクションの脆弱性
【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性
【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中
【今週のひとくちメモ】Windows Server Update Services (WSUS)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr093401.txt
https://www.jpcert.or.jp/wr/2009/wr093401.xml
【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性
情報源
US-CERT Current Activity Archive
Autonomy KeyView SDK Vulnerability
http://www.us-cert.gov/current/archive/2009/08/28/archive.html#autonomy_keyview_sdk_vulnerability1
概要
Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理 に起因するバッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任 意のコードを実行する可能性があります。 なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes および Symantec の複数の製品にも影響します。詳細については、下記 関連文書を参照してください。 この問題は、各ベンダが提供する修正済みのバージョンに、該当する製 品を更新することで解決します。
関連文書 (英語)
IBM
Potential security issue with Lotus Notes file viewer for Microsoft Excel
http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492Symantec Security Response SYM09-010
Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html
【2】Cisco Unified Communications Manager に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory for Unified Communications Manager
http://www.us-cert.gov/current/archive/2009/08/27/archive.html#cisco_release_security_advisory_for
概要
Cisco Unified Communications Manager (旧 CallManager) には、脆弱 性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified Communications Manager 4.x、5.x、6.x、7.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified Communications Manager を更新することで解決します。詳細について は、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory 110580
Cisco Unified Communications Manager Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml
【3】SugarCRM に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#31035930
SugarCRM における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN31035930/index.html
概要
CRM (Customer Relationship Management) ソフトウェアの SugarCRM には、SQL インジェクションの脆弱性があります。結果として、 SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ れたコンテンツを改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM Community/Professional/Enterprise Editions 5.2.0g およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 5.0.0k およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 4.5.1o およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更 新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
「SugarCRM」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html
関連文書 (英語)
SugarCRM Forums
Sugar Community Edition 5.2.0 Patch H
http://www.sugarcrm.com/forums/showthread.php?t=50907SugarCRM Forums
Sugar Community Edition 5.0.0l and 4.5.1p Now Available
http://www.sugarcrm.com/forums/showthread.php?t=50953SugarForge
Downloads
http://www.sugarforge.org/content/downloads/
【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#68640473
bingo!CMS core および bingo!CMS におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN68640473/index.html
概要
株式会社アイ・ティー・ディーが提供するコンテンツ管理システム bingo!CMS core および bingo!CMS には、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、遠隔の第三者が設定を変更し たり、作成されたコンテンツを改ざんしたりする可能性があります。 対象となる製品及びバージョンは以下の通りです。 - bingo!CMS core バージョン 1.2 およびそれ以前 - bingo!CMS (商用版) バージョン 1.2 およびそれ以前 この問題は、アイ・ティー・ディーが提供する修正済みのバージョンに、 該当する製品を更新することで解決します。
関連文書 (日本語)
アイ・ティー・ディー
JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性
http://www.bingo-cms.jp/security/jvn68640473.htmlアイ・ティー・ディー
「bingo!CMS core」ダウンロード
http://www.bingo-cms.jp/opensource/download/
【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中
情報源
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプのご案内
https://www.jpcert.or.jp/event/half-day_Camp-seminar.html
概要
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。
9月10日(木)に開催予定の part3 <動的メモリ管理・書式指定文字列>
は、まだお席に余裕がございます。多くの方のご参加をお待ちしており
ます。
日時: part3 <動的メモリ管理・書式指定文字列>
2009年09月10日(木) 13:00 〜 17:30 (受付 12:30〜)
会場: 株式会社インターネットイニシアティブ 大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員: 80名
関連文書 (日本語)
JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html
■今週のひとくちメモ
○Windows Server Update Services (WSUS)
マイクロソフトは、組織内の Windows PC に更新プログラムなどを配信 する Windows Server Update Services (WSUS) を提供しています。 システム管理者は WSUS を導入することにより、組織内の Windows PC の更新プログラム適用の一元管理を行い、各 PC の適用状況を確認する ことも可能となります。また、更新プログラムのダウンロードについて も WSUS サーバでダウンロードした更新プログラムを組織内に配信する ため、インターネットトラフィックも軽減することが可能になります。 2009年8月26日には、Windows Server Update Services 3.0 SP2 がリリー スされ、Windows 7 のサポートも開始されました。
参考文献 (日本語)
Microsoft TechNet
Microsoft Windows Server Update Services (WSUS)
http://technet.microsoft.com/ja-jp/wsus/default.aspxマイクロソフト ダウンロードセンター
Microsoft Windows Server Update Services 3.0 SP2 リリース ノート
http://www.microsoft.com/downloads/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&DisplayLang=jaMicrosoft TechNet Blogs
Japan WSUS Support Team Blog
http://blogs.technet.com/jpwsus/default.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/
前
コメント
共 有
