<<< JPCERT/CC WEEKLY REPORT 2010-09-29 >>>

■09/19(日)〜09/25(土) のセキュリティ関連情報

目　次

【1】Cisco 製品群に複数の脆弱性

【2】Apple 製品に脆弱性

【3】VMware 製品群に複数の脆弱性

【4】bzip2 に脆弱性

【5】Quagga の BGP デーモンに複数の脆弱性

【6】OpenX に脆弱性

【7】C/C++ セキュアコーディングセミナー 2010 ＠東京 part 3 参加者募集中

【今週のひとくちメモ】Linux カーネル 2.4 系サポート終了予定

【1】Cisco 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Security Advisories
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#cisco_releases_security_advisories3

概要

Cisco の製品群には、複数の脆弱性があります。結果として、遠隔の第
三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となる製品は以下の通りです。

- Cisco IOS
- Cisco Unified Communication Manager

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。

関連文書 (日本語)

Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/JP/support/public/ht/security/109/1091515/cisco-sa-20100922-bundle-j.shtml

関連文書 (英語)

Cisco Security Advisory 112122
Summary of Cisco IOS Software Bundled Advisories, September 22, 2010
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b4a315.shtml

【2】Apple 製品に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Security Update 2010-006
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#apple_releases_security_update_20105

概要

Mac OS X および Mac OS X Server の AFP パッケージには、脆弱性が
あります。結果として、遠隔の第三者が認証処理を回避して AFP 共有
フォルダにアクセスする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Apple Mac OS X Server 10.6 から 10.6.4
- Apple Mac OS X 10.6 から 10.6.4

この問題は、Apple が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については Apple が提供する情報
を参照してください。

関連文書 (日本語)

Apple Support HT4361
セキュリティアップデート 2010-006 について
http://support.apple.com/kb/HT4361?viewlocale=ja_JP

関連文書 (英語)

Apple Mailing Lists
APPLE-SA-2010-09-20-1 Security Update 2010-006
http://lists.apple.com/archives/security-announce/2010/Sep/msg00004.html

【3】VMware 製品群に複数の脆弱性

情報源

VMware Security Advisories (VMSAs)
VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues
http://www.vmware.com/security/advisories/VMSA-2010-0014.html

概要

VMware 製品群には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、細工したファイルを表示させたり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。なお、2010年9月26日現在、一部の問
題については修正版が提供されていません。詳細については、VMware
が提供する情報を参照してください。

関連文書 (英語)

VMware Security Announcements
[Security-announce] VMSA-2010-0014 VMware Workstation, Player, and ACE address several security issues
http://lists.vmware.com/pipermail/security-announce/2010/000105.html

【4】bzip2 に脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on bzip2
http://www.cert.fi/en/reports/2010/vulnerability408516.html

概要

bzip2 には、脆弱性があります。結果として、遠隔の第三者が細工した 
bzip2 アーカイブファイルを処理させることで任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- bzip2/libbzip2 1.0.6 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。

関連文書 (英語)

bzip.org
bzip2 and libbzip2
http://www.bzip.org/

Red Hat Security Advisory RHSA-2010:0703-1
Important: bzip2 security update
https://rhn.redhat.com/errata/RHSA-2010-0703.html

Debian Security Advisory DSA-2112-1
bzip2 -- integer overflow
http://www.debian.org/security/2010/dsa-2112

The FreeBSD Project Security Advisory
Integer overflow in bzip2 decompression
http://security.freebsd.org/advisories/FreeBSD-SA-10:08.bzip2.asc

【5】Quagga の BGP デーモンに複数の脆弱性

情報源

CERT-FI Reports
CERT-FI Advisory on Quagga
http://www.cert.fi/en/reports/2010/vulnerability370218.html

概要

Quagga の BGP デーモンには、複数の脆弱性があります。結果として、
遠隔の第三者が細工した BGP パケットを処理させることで、任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。

対象となるバージョンは以下の通りです。

- Quagga 0.99.17 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Quagga を更新することで解決します。

関連文書 (英語)

quagga.net
2010-08-19: Quagga 0.99.17 Released
http://www.quagga.net/news2.php?y=2010&m=8&d=19#id1282241100

【6】OpenX に脆弱性

情報源

US-CERT Current Activity Archive
OpenX Releases Security Update
http://www.us-cert.gov/current/archive/2010/09/23/archive.html#openx_releases_security_update

概要

OpenX には、脆弱性があります。結果として、遠隔の第三者が OpenX
の稼動しているサーバで任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- OpenX 2.8.7 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに OpenX を更新
することで解決します。

関連文書 (英語)

OpenX Blog
Security Update
http://blog.openx.org/09/security-update/

OpenX
Download OpenX Community for your own environment
http://www.openx.org/ad-server/download

AusCERT
OpenX - website revenue, or website regret?
http://www.auscert.org.au/13386

【7】C/C++ セキュアコーディングセミナー 2010 ＠東京 part 3 参加者募集中

情報源

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO-seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。

東京を会場にしたセミナー part3「CERT C セキュアコーディングスタ
ンダード」では、参加申し込みを受け付けております。皆様ふるってご
参加ください。

  [日時] part3 ＜CERT C セキュアコーディングスタンダード＞
         2010年10月13日(水)

         13:30 -       受付開始
         14:00 - 14:45 CERT C セキュアコーディングスタンダード概論
         15:00 - 16:30 CERT C セキュアコーディングスタンダード各論
         16:45 - 17:15 CERT C セキュアコーディングスタンダード活用

  [会場] 株式会社インターネットイニシアティブ大会議室1
         東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
         (MAP) https://www.jpcert.or.jp/event/img/seminar_map.gif

  [定員]　70名／回
          (参加者多数の場合はお申し込み先着順となります)

  [対象]　C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
          ジェクトマネージャ、コードレビュアー、品質管理担当者、
          プログラマ・エンジニアの教育担当者、等

関連文書 (日本語)

JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 ＠ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html

■今週のひとくちメモ

○Linux カーネル 2.4 系サポート終了予定

Linux カーネル 2.4 系の最新版 2.4.37.10 が 2010年9月6日にリリー
スされ、今後のサポート終了予定が発表されています。それによると 
2011年9月に 2.4 系のサポート終了が提案されており、2.6 系への移行
が推奨されています。

現在、Linux カーネル 2.4 系を使ったシステムを運用している場合、
脆弱性対応を適切に行なうためにも、2.6 系への移行をおすすめします。

参考文献 (英語)

Linux Kernel Mailing List
Linux 2.4.37.10 + 2.4 EOL plans
http://lkml.org/lkml/2010/9/6/15

■JPCERT/CC からのお願い