JPCERT コーディネーションセンター

Weekly Report 2010-07-28号

JPCERT-WR-2010-2801
JPCERT/CC
2010-07-28

<<< JPCERT/CC WEEKLY REPORT 2010-07-28 >>>

■07/18(日)〜07/24(土) のセキュリティ関連情報

目 次

【1】Mozilla 製品群に複数の脆弱性

【2】Apple iTunes に脆弱性

【3】OpenLDAP に複数の脆弱性

【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性

【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性

【今週のひとくちメモ】システム管理者の日 (System Administrator Appreciation Day)

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2010/wr102801.txt
https://www.jpcert.or.jp/wr/2010/wr102801.xml

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Mozilla Releases Firefox 3.6.7
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#mozilla_releases_3_6_7

DOE-CIRC Technical Bulletin T-401
Multiple Mozilla Product Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-401.shtml

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ユーザのブラウザ上で任意のスクリ
プトを実行したりする可能性があります。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird
- SeaMonkey

その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

なお、Mozilla プロジェクトからは、Firefox の最新版として 3.6.8
が公開されています。

関連文書 (日本語)

Mozilla Japan
Firefox リリースノート - バージョン 3.6.8 - 2010/07/23 リリース
http://mozilla.jp/firefox/3.6.8/releasenotes/

Mozilla Japan
Firefox リリースノート - バージョン 3.6.7 - 2010/07/20 リリース
http://mozilla.jp/firefox/3.6.7/releasenotes/

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.8 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.8

Firefox 3.6 セキュリティアドバイザリ
Firefox 3.6.7 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox36.html#firefox3.6.7

Mozilla Japan
Firefox 3.5 リリースノート - バージョン 3.5.11 - 2010/07/20 リリース
http://mozilla.jp/firefox/3.5.11/releasenotes/

Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.11 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/firefox35.html#firefox3.5.11

SeaMonkey Project
SeaMonkey 2.0.6 リリースノート
http://www.seamonkey.jp/ja/releases/seamonkey2.0.6/

SeaMonkey 2.0 セキュリティアドバイザリ
SeaMonkey 2.0.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/seamonkey20.html#seamonkey2.0.6

Mozilla Japan
Thunderbird リリースノート - バージョン 3.0.6 - 2010/07/20 リリース
http://mozilla.jp/thunderbird/3.0.6/releasenotes/

Thunderbird 3.0 セキュリティアドバイザリ
Thunderbird 3.0.6 で修正済み
http://www.mozilla-japan.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.6

関連文書 (英語)

Red Hat Security Advisory RHSA-2010:0556-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0556.html

Red Hat Security Advisory RHSA-2010:0547-1
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2010-0547.html

Red Hat Security Advisory RHSA-2010:0557-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0557.html

Red Hat Security Advisory RHSA-2010:0546-1
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2010-0546.html

Red Hat Security Advisory RHSA-2010:0544-1
Moderate: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2010-0544.html

【2】Apple iTunes に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iTunes 9.2.1
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#apple_releases_itunes_9_21

概要

Apple iTunes には、itpc プロトコル URL の処理に起因する脆弱性が
あります。結果として、遠隔の第三者が細工した itpc プロトコル URL 
にアクセスさせることで、任意のコードを実行したり、サービス運用妨
害 (DoS) 攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- iTunes 9 for Windows
- iTunes 9 for Mac

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Apple が提供する情報
を参照してください。

関連文書 (日本語)

Apple Support HT4263
iTunes 9.2.1 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4263?viewlocale=ja_JP

関連文書 (英語)

Apple Support HT4263
About the security content of iTunes 9.2.1
http://support.apple.com/kb/HT4263?viewlocale=en_US

Apple Mailing Lists
APPLE-SA-2010-07-19-1 iTunes 9.2.1
http://lists.apple.com/archives/security-announce/2010/Jul/msg00000.html

【3】OpenLDAP に複数の脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on OpenLDAP
http://www.cert.fi/en/reports/2010/vulnerability383115.html

DOE-CIRC Technical Bulletin T-399
OpenLDAP 'modrdn' Request Multiple Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-399.shtml

概要

OpenLDAP には、複数の脆弱性があります。結果として、遠隔の第三者
が細工したリクエストを OpenLDAP サーバに送ることで、任意のコード
を実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。

対象となるバージョンは以下の通りです。

- OpenLDAP 2.4.23 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenLDAP を更新することで解決します。

関連文書 (英語)

OpenLDAP Foundation
SECURITY: Two OpenLDAP preauth vulnerabilities
http://www.openldap.org/its/index.cgi/Software%20Bugs?id=6570

OpenLDAP Foundation
2.4.23 Release Changes
http://www.openldap.org/software/release/changes.html

Red Hat Security Advisory RHSA-2010:0542-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0542.html

Red Hat Security Advisory RHSA-2010:0543-1
Moderate: openldap security update
https://rhn.redhat.com/errata/RHSA-2010-0543.html

【4】HP OpenView Network Node Manager (OV NNM) に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-400
HP OpenView Network Node Manager CVE-2010-2704 Multiple Code Execution Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-400.shtml

概要

HP OpenView Network Node Manager (OV NNM) には、複数の脆弱性があ
ります。結果として、遠隔の第三者が任意のコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- OV NNM v7.51 および v7.53

この問題は、最新版にアップデートを行い hotfix を適用することで解
決します。詳細については、HP が提供する情報を参照してください。

関連文書 (英語)

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02286088
HPSBMA02557 SSRT100025 rev.1- HP OpenView Network Node Manager (OV NNM) Running on Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02286088

HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02290344
HPSBMA02558 SSRT100158 rev.2 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02290344

【5】Cisco Internet Streamer CDS にディレクトリトラバーサルの脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisory for CDS Internet Streamer
http://www.us-cert.gov/current/archive/2010/07/23/archive.html#cisco_releases_security_advisory_for18

概要

Cisco Internet Streamer CDS には、ディレクトリトラバーサルの脆弱
性があります。結果として、遠隔の第三者が細工した URL を処理させ
ることで、デバイス上の任意のファイルを閲覧する可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Internet Streamer CDS 2.5.7 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに Cisco Internet 
Streamer CDS を更新することで解決します。詳細については、Cisco 
が提供する情報を参照してください。

関連文書 (日本語)

Cisco Security Advisory 112019
CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/JP/support/public/ht/security/109/1090194/cisco-sa-20100721-spcdn-j.shtml

関連文書 (英語)

Cisco Security Advisory 112019
CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b3bd1c.shtml

Cisco Content Delivery Applications
Release Notes for Cisco Internet Streamer CDS 2.5.9
http://www.cisco.com/en/US/docs/video/cds/cda/is/2_5/release_notes/CDS_RelNotes2_5_9.html

■今週のひとくちメモ

○システム管理者の日 (System Administrator Appreciation Day)

7月の最終金曜日は System Administrator Appreciation Day です。今
年は今週金曜日 7月30日となります。これは、米国のシステム管理者が 
2000年から提唱しているものです。ユーザのため、システム管理者は、
日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね
ぎらい感謝の意を伝えてみてはいかがでしょうか。

参考文献 (日本語)

Wikipedia
システム管理者の日
http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5

参考文献 (英語)

System Administrator Appreciation Day
http://www.sysadminday.com/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter