<<< JPCERT/CC WEEKLY REPORT 2011-07-06 >>>

■06/26(日)〜07/02(土) のセキュリティ関連情報

目　次

【1】Java for Mac OS X に複数の脆弱性

【2】Google Chrome に複数の脆弱性

【3】WordPress に権限昇格の脆弱性

【4】ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性

【5】Drupal の Prepopulate モジュールに複数の脆弱性

【6】ALZip にバッファオーバーフローの脆弱性

【今週のひとくちメモ】2011年7月にサポート終了する Microsoft 製品

【1】Java for Mac OS X に複数の脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases Java Updates for Mac OS X 10.5 and OS X 10.6
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#apple_releases_java_updates_for4

概要

Java for Mac OS X には、複数の脆弱性があります。結果として、遠隔
の第三者が細工した Java アプレットまたは Java アプリケーションを
実行させることで任意のコードを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- Java for Mac OS X 10.6 Update 5 より前のバージョン
- Java for Mac OS X 10.5 Update 10 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Java for Mac
OS X を更新することで解決します。詳細については Apple が提供する
情報を参照してください。
		

関連文書 (日本語)

Apple Support HT4738
Java for Mac OS X 10.6 Update 5 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4738?viewlocale=ja_JP

Apple Support HT4739
Java for Mac OS X 10.5 Update 10 のセキュリティコンテンツについて
http://support.apple.com/kb/HT4739?viewlocale=ja_JP

Apple Support
Java (Mac OS X v10.6) - アップデート 5
http://support.apple.com/kb/DL1360?viewlocale=ja_JP

Apple Support
Java (Mac OS X v10.5) - アップデート 10
http://support.apple.com/kb/DL1359?viewlocale=ja_JP

Japan Vulnerability Notes JVNVU#228710
Java for Mac OS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU228710/index.html

JPCERT/CC WEEKLY REPORT 2011-06-15 JPCERT-WR-2011-2201
Oracle Java に複数の脆弱性
https://www.jpcert.or.jp/wr/2011/wr112201.html#2

【2】Google Chrome に複数の脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 12.0.742.112
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#google_releases_chrome_12_01

概要

Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。

- Google Chrome 12.0.742.112 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome 
を更新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/06/stable-channel-update_28.html

【3】WordPress に権限昇格の脆弱性

情報源

US-CERT Current Activity Archive
WordPress Releases Version 3.1.4
http://www.us-cert.gov/current/archive/2011/06/30/archive.html#wordpress_releases_version_3_13

概要

WordPress には、脆弱性があります。結果として、編集者レベルのユー
ザが権限を昇格する可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 3.1.4 より前のバージョン

この問題は、使用している OS ベンダまたは配布元が提供する修正済み
のバージョンに WordPress を更新することで解決します。
		

関連文書 (日本語)

WordPress ブログ
WordPress 3.1.4 (および 3.2 リリース候補 3)
http://ja.wordpress.org/2011/06/30/wordpress-3-1-4-and-3-2-release-candidate-3/

WordPress ブログ
WordPress 3.1.4 日本語版
http://ja.wordpress.org/2011/07/01/wordpress-3-1-4-ja/

関連文書 (英語)

WordPress News
WordPress 3.1.4 (and 3.2 Release Candidate 3)
http://wordpress.org/news/2011/06/wordpress-3-1-4/

【4】ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性

情報源

US-CERT Vulnerability Note VU#543310
ManageEngine ServiceDesk directory traversal vulnerability
http://www.kb.cert.org/vuls/id/543310

概要

ManageEngine ServiceDesk Plus には、リクエスト処理時の入力値検証
エラーに起因するディレクトリトラバーサルの脆弱性があります。また、
ManageEngine ServiceDesk Plus 8.0 には、送られたリクエストがログ
インしているユーザからのものであるかどうかを検証しない問題もあり
ます。結果として、遠隔の第三者が機密情報を取得する可能性がありま
す。

対象となるバージョンは以下の通りです。

- ManageEngine ServiceDesk Plus 8.0 およびそれ以前

この問題は、Zoho Corp. が提供する修正済みのバージョンに
ManageEngine ServiceDesk Plus を更新することで解決します。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#543310
ManageEngine ServiceDesk Plus にディレクトリトラバーサルの脆弱性
https://jvn.jp/cert/JVNVU543310/index.html

関連文書 (英語)

Zoho Corp.
Download Service Packs
http://www.manageengine.com/products/service-desk/service-packs.html

Zoho Corp.
ServiceDesk Plus 8.0
http://www.manageengine.com/products/service-desk/

【5】Drupal の Prepopulate モジュールに複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-657
Drupal Prepopulate - Multiple vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-657.shtml

概要

オープンソースのコンテンツ管理システム Drupal の Prepopulate モ
ジュールには、入力検証機能に起因する複数の脆弱性があります。結果
として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- Drupal 6.x の Prepopulate 6.x-2.2 より前のバージョン

この問題は、使用している OS のベンダまたは配布元が提供する修正済
みのバージョンに Drupal の Prepopulate モジュールを更新すること
で解決します。詳細については、ベンダまたは配布元が提供する情報を
参照してください。
		

関連文書 (英語)

Drupal Security advisories SA-CONTRIB-2011-023
Prepopulate - Multiple vulnerabilities
http://drupal.org/node/1182968

Drupal
prepopulate 6.x-2.2
http://drupal.org/node/1182972

【6】ALZip にバッファオーバーフローの脆弱性

情報源

Japan Vulnerability Notes JVN#01547302
ALZip におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN01547302/index.html

概要

ESTsoft Japan の圧縮解凍ソフト ALZip には、mim 形式ファイルの処理
に起因するバッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工したファイルを開かせることで任意のコードを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- ALZip 8.21 およびそれ以前

なお、ESTsoft Japan によると ALZip 8.21 については、2011年6月29日
12時より前にダウンロードされたものが影響を受けるとのことです。

この問題は、ESTsoft Japan が提供する修正済みのバージョンに ALZip
を更新することで解決します。詳細については、ESTsoft Japan が提供
する情報を参照してください。
		

関連文書 (日本語)

ESTsoft Japan
ALZip におけるバッファオーバーフローの脆弱性
http://www.altools.jp/ETC/NEWS.aspx?mid=231&vidx=118

独立行政法人 情報処理推進機構 セキュリティセンター
「ALZip」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/about/press/20110629.html

■今週のひとくちメモ

○2011年7月にサポート終了する Microsoft 製品

2011年7月13日 (日本時間) に Microsoft の以下の製品のサポート終了
が予定されています。

- Windows Vista Service Pack 1 (SP1) (32 ビット版/64 ビット版) 
- Windows Server 2008 製品出荷版 (32 ビット版/64 ビット版)
- Microsoft Office XP (Excel, Word, Outlook, PowerPoint,
  Access, Visio, FrontPage, Publisher)
- .NET Framework 3.0, 3.0 SP1, 3.0 SP2, 3.5
- Exchange Server 2007 Service Pack 2

サポート終了後はセキュリティ更新は提供されません。上記製品を現在
も利用しているユーザは至急対応を検討してください。

参考文献 (日本語)

TechNet 日本のセキュリティチーム
サポート ライフサイクル終了に伴うセキュリティ更新プログラム配信終了の予告
http://blogs.technet.com/b/jpsecurity/archive/2011/06/28/3437811.aspx

マイクロソフト サポート オンライン
プロダクト サポート ライフサイクル - 製品一覧
http://support.microsoft.com/select/?target=lifecycle&ln=ja

■JPCERT/CC からのお願い