JPCERT コーディネーションセンター

Weekly Report 2009-10-21号

JPCERT-WR-2009-4001
JPCERT/CC
2009-10-21

<<< JPCERT/CC WEEKLY REPORT 2009-10-21 >>>

■10/11(日)〜10/17(土) のセキュリティ関連情報

目 次

【1】2009年10月 Microsoft セキュリティ情報について

【2】サイボウズの複数の製品にクロスサイトスクリプティングの脆弱性

【3】Xpdf に複数の脆弱性

【4】Wyse Device Manager (WDM) HServer および HAgent に複数の脆弱性

【今週のひとくちメモ】Adobe Reader 7.x および Acrobat 7.x のサポート終了

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2009/wr094001.txt
https://www.jpcert.or.jp/wr/2009/wr094001.xml

【1】2009年10月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA09-286A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA09-286A.html

US-CERT Cyber Security Alert SA09-286A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA09-286A.html

DOE-CIRC Technical Bulletin T-250
Microsoft Patch Tuesday Reminder
http://www.doecirc.energy.gov/bulletins/t-250.shtml

概要

Microsoft Windows、Internet Explorer、Windows Server、Office な
どの製品および関連コンポーネントには、複数の脆弱性があります。結
果として、遠隔の第三者が任意のコードを実行したり、権限を昇格した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

詳細については、マイクロソフトが提供する情報を参照してください。

この問題は、Microsoft Update などを用いて、セキュリティ更新プロ
グラムを適用することで解決します。

なお、セキュリティ更新プログラムには、JPCERT/CC WEEKLY REPORT
2009-09-16 号【5】および 2009-09-09 号【1】で紹介した問題に対す
る解決策も含まれています。

関連文書 (日本語)

2009 年 10 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms09-oct.mspx

Japan Vulnerability Notes JVNTA09-286A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA09-286A/index.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft Windows における SMBv2 の脆弱性(MS09-050)について
http://www.ipa.go.jp/security/ciadr/vul/20091014-ms09-050.html

独立行政法人 情報処理推進機構 セキュリティセンター
Microsoft IIS の FTP サービスの脆弱性(MS09-053)について
http://www.ipa.go.jp/security/ciadr/vul/20091014-ms09-053.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS09-050,051,052,053,054,055,056,057,058,059,060,061,062)(10/14)
http://www.cyberpolice.go.jp/important/2009/20091020_170758.html

JPCERT/CC Alert 2009-10-14 JPCERT-AT-2009-0020
2009年10月 Microsoft セキュリティ情報 (緊急 8件) に関する注意喚起
https://www.jpcert.or.jp/at/2009/at090020.txt

JPCERT/CC WEEKLY REPORT 2009-09-16
【5】Windows SMB version 2 に脆弱性
https://www.jpcert.or.jp/wr/2009/wr093601.html#5

JPCERT/CC WEEKLY REPORT 2009-09-09
【1】Microsoft Internet Information Services (IIS) の FTP サーバ機能にバッファオーバーフローの脆弱性
https://www.jpcert.or.jp/wr/2009/wr093501.html#1

【2】サイボウズの複数の製品にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#23108985
複数のサイボウズ製品におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN23108985/index.html

概要

サイボウズの複数の製品には、クロスサイトスクリプティングの脆弱性
があります。結果として、遠隔の第三者がブラウザ上で任意のスクリプ
トを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- サイボウズ Office 7
- サイボウズ デヂエ 6
- サイボウズ メールワイズ 3

この問題は、サイボウズが提供する修正済みのバージョンに、該当する
製品を更新することで解決します。

関連文書 (日本語)

サイボウズ
クロスサイトスクリプティングの脆弱性【CY09-10-001】
http://cybozu.co.jp/products/dl/notice/detail/0033.html

【3】Xpdf に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-252
Xpdf Multiple Integer Overflow Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-252.shtml

概要

Xpdf には、複数の脆弱性があります。結果として、遠隔の第三者が細
工した PDF 文書を閲覧させることで、任意のコードを実行する可能性
があります。

対象となるバージョンは以下の通りです。

- Xpdf 3.02pl3 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。詳細につい
ては、ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

Xpdf
Download
http://www.foolabs.com/xpdf/download.html

【4】Wyse Device Manager (WDM) HServer および HAgent に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#654545
Wyse Device Manager (WDM) HServer and HAgent contain multiple vulnerabilities
http://www.kb.cert.org/vuls/id/654545

概要

Wyse Device Manager (WDM) HServer および HAgent には、複数の脆弱
性があります。結果として遠隔の第三者が任意のコードを実行したり、
HAgent が稼動するシステム上で任意の管理コマンドを実行したりする
可能性があります。

この問題は、Wyse が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。

関連文書 (英語)

Wyse Security Bulletin WSB09-01
Security Update available for Wyse Device Manager
http://www.wyse.com/serviceandsupport/Wyse%20Security%20Bulletin%20WSB09-01.pdf

■今週のひとくちメモ

○Adobe Reader 7.x および Acrobat 7.x のサポート終了

Adobe Systems 社は、2009年12月28日に Adobe Reader 7.x および
Acrobat 7.x のサポートを終了するとアナウンスしています。サポート
終了後はセキュリティの問題やクリティカルなバグに対しても修正プロ
グラムは提供されません。

Adobe Reader 7.x および Acrobat 7.x を使用しているユーザは、新し
いバージョンへの移行を検討してください。なお、Adobe 製品ライフサ
イクルの詳細については、下記関連文書を参照してください。

参考文献 (英語)

Adobe
Adobe.com - New Downloads
http://www.adobe.com/support/downloads/new.jsp

Adobe
Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter