<<< JPCERT/CC WEEKLY REPORT 2011-09-22 >>>

■09/11(日)〜09/17(土) のセキュリティ関連情報

目　次

【1】2011年9月 Microsoft セキュリティ情報について

【2】Adobe の複数の製品に脆弱性

【3】Cisco 製品群に複数の脆弱性

【4】「Apache HTTP Server に脆弱性」に関する追加情報

【5】Wireshark に複数の脆弱性

【6】Mercator SENTINEL に SQL インジェクションの脆弱性

【7】JasperServer にクロスサイトリクエストフォージェリの脆弱性

【8】SemanticScuttle にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Adobe Reader 8.x および Acrobat 8.x のサポート終了

【1】2011年9月 Microsoft セキュリティ情報について

情報源

US-CERT Technical Cyber Security Alert TA11-256A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA11-256A.html

US-CERT Cyber Security Alert SA11-256A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA11-256A.html

概要

Microsoft Windows、サーバーソフトウェア、Office などの製品および
関連コンポーネントには複数の脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行したり、権限を昇格したりする可能性があ
ります。

この問題は、Microsoft Update などを用いて、セキュリティ更新プログ
ラムを適用することで解決します。
		

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2011 年 9 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms11-sep

Microsoft TechNet Blogs > 日本のセキュリティチーム
2011 年 9 月のセキュリティ情報 (月例)
http://blogs.technet.com/b/jpsecurity/archive/2011/09/14/3453072.aspx

Japan Vulnerability Notes JVNTA11-256A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA11-256A/index.html

@police
マイクロソフト社のセキュリティ修正プログラムについて(MS11-070,071,072,073,074)
https://www.npa.go.jp/cyberpolice/topics/?seq=7600

関連文書 (英語)

US-CERT Vulnerability Note VU#909022
Microsoft Office uninitialized object pointer vulnerability
http://www.kb.cert.org/vuls/id/909022

【2】Adobe の複数の製品に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Reader and Acrobat
http://www.us-cert.gov/current/archive/2011/09/14/archive.html#adobe_prenotification_security_advisory_for2

DOE-CIRC Technical Bulletin T-718
Adobe Acrobat/Reader Multiple Bugs Let Remote Users Execute Arbitrary Code
http://www.doecirc.energy.gov/bulletins/t-718.shtml

概要

Adobe Acrobat、Reader には、複数の脆弱性があります。結果として、
遠隔の第三者が細工した PDF ファイルをユーザに開かせることで
Adobe Acrobat や Reader を不正終了させたり、任意のコードを実行し
たりする可能性があります。

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Adobe が提供する情報
を参照してください。
		

関連文書 (日本語)

Adobe セキュリティ情報
APSB11-24：Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/917/cpsid_91746.html

@police
アドビシステムズ社の Adobe Reader および Adobe Acrobat のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=7598

JPCERT/CC Alert 2011-09-14 JPCERT-AT-2011-0025
Adobe Reader 及び Acrobat の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110025.html

【3】Cisco 製品群に複数の脆弱性

情報源

US-CERT Current Activity Archive
Cisco Releases Multiple Security Advisories
http://www.us-cert.gov/current/archive/2011/09/14/archive.html#cisco_releases_multiple_security_advisories2

概要

Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三
者が細工したパケットをサーバに送信することで、任意のコードを実行
する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- CiscoWorks LAN Management Solution 3.1、3.2、4.0
- Cisco Unified Service Monitor 8.6 より前のバージョン
- Cisco Unified Operations Manager 8.6 より前のバージョン

この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
		

関連文書 (日本語)

Cisco Security Advisory cisco-sa-20110914-lms
CiscoWorks LAN Management Solution Remote Code Execution Vulnerabilities
http://www.cisco.com/cisco/web/support/JP/110/1108/1108577_cisco-sa-20110914-lms-j.html

Cisco Security Advisory cisco-sa-20110914-cusm
Cisco Unified Service Monitor and Cisco Unified Operations Manager Remote Code Execution Vulnerabilities
http://www.cisco.com/cisco/web/support/JP/110/1108/1108578_cisco-sa-20110914-cusm-j.html

関連文書 (英語)

Cisco Security Advisory cisco-sa-20110914-lms
CiscoWorks LAN Management Solution Remote Code Execution Vulnerabilities
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b9351f.shtml

Cisco Security Advisory cisco-sa-20110914-cusm
Cisco Unified Service Monitor and Cisco Unified Operations Manager Remote Code Execution Vulnerabilities
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b9351e.shtml

Cisco Applied Mitigation Bulletin 113223
Identifying and Mitigating Exploitation of the Cisco Unified Service Monitor, Cisco Unified Operations Manager, and CiscoWorks LAN Management Solution Remote Code Execution Vulnerabilities
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b93520.html

【4】「Apache HTTP Server に脆弱性」に関する追加情報

情報源

Japan Vulnerability Notes JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU405811/

概要

JPCERT/CC WEEKLY REPORT 2011-08-31 号【1】で紹介した「Apache 
HTTP Server に脆弱性」に関する追加情報です。

Apache HTTP Server 1.3 は本脆弱性を受ける対象から除外されました。
また、本脆弱性に対応した Apache HTTP Server 2.2.20 で新たに発生し
た問題に対応済みの Apache HTTP Server 2.2.21 がリリースされました。
なお、Apache HTTP Server 2.0 については 2011年9月中に、本脆弱性に
対応したバージョンが提供される予定です。

詳細については、各ベンダや配布元が提供する情報を参照してください。
		

関連文書 (日本語)

Apache.JP
Apache HTTP Server 2.2.21 が リリースされました
http://www.apache.jp/news/apache-http-server-2.2.21-released

JPCERT/CC Alert 2011-08-31 JPCERT-AT-2011-0023
Apache HTTP Server のサービス運用妨害の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110023.html

独立行政法人 情報処理推進機構 セキュリティセンター
ウェブサーバ「Apache HTTP Server」の脆弱性（CVE-2011-3192）について
http://www.ipa.go.jp/security/ciadr/vul/20110831-apache.html

JPCERT/CC WEEKLY REPORT 2011-08-31
【1】Apache HTTP Server に脆弱性
https://www.jpcert.or.jp/wr/2011/wr113301.html#1

関連文書 (英語)

Apache HTTPD Security ADVISORY (UPDATE 3 - FINAL)
Range header DoS vulnerability Apache HTTPD prior to 2.2.20.
http://httpd.apache.org/security/CVE-2011-3192.txt

Apache HTTP Server Project
Downloading the Apache HTTP Server
http://httpd.apache.org/download.cgi

Oracle
Oracle Security Alert for CVE-2011-3192
http://www.oracle.com/technetwork/topics/security/alert-cve-2011-3192-485304.html

【5】Wireshark に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-714
Wireshark OpenSafety and CSN.1 Dissector Bugs
http://www.doecirc.energy.gov/bulletins/t-714.shtml

概要

Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者
が任意の Lua スクリプトを実行したり、サービス運用妨害 (DoS) 攻撃
を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Wireshark 1.4.0 から 1.4.8
- Wireshark 1.6.0 から 1.6.1

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Wireshark を更新することで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。
		

関連文書 (英語)

Wireshark Foundation Security Advisories wnpa-sec-2011-12
Wireshark OpenSafety dissector vulnerability
http://www.wireshark.org/security/wnpa-sec-2011-12.html

Wireshark Foundation Security Advisories wnpa-sec-2011-14
Wireshark buffer exception handling vulnerability
http://www.wireshark.org/security/wnpa-sec-2011-14.html

Wireshark Foundation Security Advisories wnpa-sec-2011-15
Wireshark Lua script execution vulnerability
http://www.wireshark.org/security/wnpa-sec-2011-15.html

Wireshark Foundation Security Advisories wnpa-sec-2011-16
Wireshark CSN.1 dissector vulnerability
http://www.wireshark.org/security/wnpa-sec-2011-16.html

Wireshark Foundation
Wireshark 1.6.2 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.6.2.html

Wireshark Foundation
Wireshark 1.4.9 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.4.9.html

【6】Mercator SENTINEL に SQL インジェクションの脆弱性

情報源

US-CERT Vulnerability Note VU#122142
Mercator SENTINEL SQL injection allows authentication bypass
http://www.kb.cert.org/vuls/id/122142

概要

航空安全管理システム Mercator SENTINEL には、SQL インジェクション
の脆弱性があります。結果として、遠隔の第三者が、SENTINEL が動作
するシステムに管理者権限でアクセスする可能性があります。

対象となる製品は以下の通りです。

- SENTINEL

2011年9月21日現在、この問題に対する解決策は提供されていません。
回避策としては、SENTINEL Web インタフェースへのアクセスを制限す
るなどの方法があります。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#122142
Mercator SENTINEL に SQL インジェクションの脆弱性
https://jvn.jp/cert/JVNVU122142/index.html

関連文書 (英語)

Mercator
PASSENGER SERVICES SOLUTIONS - SENTINEL
http://www.mercator.com/solutions/passenger_airport/SftyInfandRepsoln/SENTINEL/SENTINEL.aspx

【7】JasperServer にクロスサイトリクエストフォージェリの脆弱性

情報源

US-CERT Vulnerability Note VU#519588
JasperServer cross-site request forgery vulnerability
http://www.kb.cert.org/vuls/id/519588

概要

オープンソースのビジネスインテリジェンスツール JasperServer には、
クロスサイトリクエストフォージェリの脆弱性があります。結果として、
遠隔の第三者が認証情報を取得したり、設定を変更したりする可能性が
あります。

対象となるバージョンは以下の通りです。

- JasperServer 3.7.0 Community Edition
- JasperServer 3.7.1 Community Edition

この他のバージョンも影響を受ける可能性があります。

2011年9月21日現在、この問題に対する解決策は提供されていません。回
避策としては、JasperServer へのアクセスを制限するなどの方法があり
ます。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#519588
JasperServer にクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/cert/JVNVU519588/index.html

関連文書 (英語)

JasperSoft
Business Intelligence Software - Jaspersoft
http://www.jaspersoft.com/

【8】SemanticScuttle にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#28973089
SemanticScuttle におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN28973089/index.html

概要

ソーシャルブックマークツール SemanticScuttle には、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者が
ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- SemanticScuttle v0.98 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに
SemanticScuttle を更新することで解決します。詳細については、配布
元が提供する情報を参照してください。
		

関連文書 (日本語)

SemanticScuttle
semanticscuttle プロジェクト日本語トップページ
http://sourceforge.jp/projects/sfnet_semanticscuttle/

関連文書 (英語)

SemanticScuttle
SemanticScuttle - Summary
http://sourceforge.net/projects/semanticscuttle/

■今週のひとくちメモ

○Adobe Reader 8.x および Acrobat 8.x のサポート終了

Adobe は、2011年11月3日に Adobe Reader 8.x および Acrobat 8.x に
ついて、有償サポートも含め、すべてのサポートを終了するとアナウン
スしています。サポート終了後はセキュリティの問題に対しても修正プ
ログラムは提供されません。

Adobe Reader 8.x および Acrobat 8.x を使用しているユーザは、新し
いバージョンへの移行を検討してください。なお、Adobe 製品ライフサ
イクルの詳細については、下記関連文書を参照してください。

参考文献 (日本語)

Adobe
Acrobat / Adobe Reader ゴールドサポート サポート期間
http://kb2.adobe.com/jp/cps/816/8160.html

参考文献 (英語)

Adobe
Adobe products and Enterprise Technical Support periods covered under the new Lifecycle Policy
http://www.adobe.com/support/products/enterprise/eol/eol_matrix.html#86

■JPCERT/CC からのお願い