JPCERT-WR-2009-0901
2009-03-04
2009-02-22
2009-02-28
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には、複数の脆弱性があります。結果として、遠
隔の第三者が細工した Flash コンテンツにアクセスさせることで、任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 10.0.22.87 より前のバージョン
- Flash Player 9.0.159 より前のバージョン
この問題は、Adobe が提供する修正済みのバージョンに Flash Player
を更新することで解決します。なお、複数のブラウザを使用して
いる環境においては、各ブラウザごとに Flash Player を更新
する必要があります。詳細については、Adobe が提供する情報を参照し
てください。
Adobe Security Bulletin
Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb09-01.html
透過型プロキシサーバに脆弱性
一部の透過型プロキシサーバには、脆弱性があります。結果として、遠
隔の第三者が細工した動的コンテンツを使用することで、任意のサイト
やリソースにアクセスする可能性があります。これらのサイトにはイン
トラネット上にある内部リソースも含まれます。
この問題は、各ベンダや配布元が提供する修正済みのバージョンに透過
型プロキシサーバを更新することで解決します。詳細については、情報
源や関連文書および各ベンダや配布元が提供する情報を参照してくださ
い。
Japan Vulnerability Notes JVNVU#435052
透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題
http://jvn.jp/cert/JVNVU435052/index.html
Apache Tomcat に情報漏えいの脆弱性
Apache Tomcat には、情報漏えいの脆弱性があります。結果として、遠
隔の第三者が機密情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Apache Tomcat 4.1.32 から 4.1.34 まで
- Apache Tomcat 5.5.10 から 5.5.20 まで
なお、開発者によると、現在サポート対象外となっている Apache
Tomcat 3.x、4.0.x、5.0.x も影響を受ける可能性があると報告されて
います。一方、Apache Tomcat 6.0.x は影響を受けないことが確認され
ています。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Apache Tomcat を更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。
Apache Tomcat
Apache Tomcat 4.x vulnerabilities - Fixed in Apache Tomcat 4.1.35
http://tomcat.apache.org/security-4.html#Fixed%20in%20Apache%20Tomcat%204.1.35
Apache Tomcat
Apache Tomcat 5.x vulnerabilities - Fixed in Apache Tomcat 5.5.21
http://tomcat.apache.org/security-5.html#Fixed%20in%20Apache%20Tomcat%205.5.21
Cisco Unified MeetingPlace Web Conferencing サーバに脆弱性
Cisco Unified MeetingPlace Web Conferencing サーバには、脆弱性が
あります。結果として、遠隔の第三者が細工した URL を使用すること
で認証を回避して管理者権限でアクセスする可能性があります。
対象となるバージョンは以下の通りです。
- Cisco Unified MeetingPlace Web Conferencing サーバの
ソフトウエアバージョン 6.0 および 7.0
この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
MeetingPlace Web Conferencing サーバを更新することで解決します。
Cisco Security Advisory
Cisco Unified MeetingPlace Web Conferencing Authentication Bypass Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090225-mtgplace.shtml
Cisco ACE Application Control Engine Module および Cisco ACE 4710 Application Control Engine に複数の脆弱性
Cisco ACE Application Control Engine Module および Cisco ACE 4710
Application Control Engine には、複数の脆弱性があります。結果と
して、遠隔の第三者がデフォルトのユーザ名とパスワードでアクセスし
たり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行ったりす
る可能性があります。
対象となる製品は以下の通りです。
- Cisco ACE Application Control Engine Module
- Cisco ACE 4710 Application Control Engine
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
Cisco Security Advisory
Multiple Vulnerabilities in the Cisco ACE Application Control Engine Module and Cisco ACE 4710 Application Control Engine
http://www.cisco.com/warp/public/707/cisco-sa-20090225-ace.shtml
ソニーのネットワークカメラ SNC シリーズの ActiveX コントロールにバッファオーバーフローの脆弱性
ソニーのネットワークカメラ SNC シリーズの ActiveX コントロールに
は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を閲覧させることで任意のコードを実行す
る可能性があります。
この問題は、ソニーが提供する修正済みのバージョンに、該当する製品
のファームウェアを更新することで解決します。詳細については、ソニー
が提供する情報を参照してください。なお、該当する ActiveX コント
ロールが PC にインストールされている場合には、その PC でファーム
ウェアを更新した製品に接続して ActiveX コントロールを更新する必
要があります。
ソニー
ネットワークカメラ「SNC シリーズ」ソフトウェアセキュリティ脆弱性対策プログラムご提供のお知らせ
http://www.sony.jp/professional/News/info/pb20090223.html
独立行政法人 情報処理推進機構 セキュリティセンター
ソニー製ネットワークカメラ SNC シリーズにおけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200902_sonysnc.html
HP Virtual Rooms の ActiveX コントロールに脆弱性
HP Virtual Rooms の ActiveX コントロールには、脆弱性があります。
結果として、遠隔の第三者が細工した HTML 文書を閲覧させることで、
ユーザの権限で任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- HP Virtual Rooms Client 7.0.1 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに HP Virtual Rooms
Client を更新することで解決します。
HP Virtual Rooms
HP Virtual Rooms Client (7.0.1 - Build 2722), and ActiveX version .33
http://h10076.www1.hp.com/education/hpvr/docs/HP_Virtual_Rooms_Client_Build_2722.htm
PEAK XOOPS の piCal にクロスサイトスクリプティングの脆弱性
PEAK XOOPS が提供する XOOPS 用スケジューラ付カレンダーモジュール
piCal には、クロスサイトスクリプティングの脆弱性があります。結果
として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。
対象となるバージョンは以下の通りです。
- piCal Version 0.91h およびそれ以前
この問題は、PEAK XOOPS が提供する修正済みのバージョンに piCal を
更新することで解決します。
PEAK XOOPS
XOOPS : piCal-0.91のXSS脆弱性
http://xoops.peak.ne.jp/md/news/index.php?page=article&storyid=476&easiestml_lang=xlang:ja
Apache Tomcat のバージョンについて
Apache Tomcat の開発は、複数のバージョンで並行して進められていま
す。現在、安定版としてセキュリティ修正がなされるバージョンは以下
の通りです。
4.1.x, 5.5.x, 6.0.x
また、新しい機能を取り込んだリリースとして以下のバージョンの開発
が進められています。
6.2.x, 7.0.x
以下のバージョンはサポートが終了しています。
3.0.x, 3.1.x, 3.2.x, 4.0.x, 5.0.x
Tomcat を使用する Web アプリケーションの開発者および管理者の方は、
今後の脆弱性対応をスムーズに進めるためにも、現在サポートされてい
る最新バージョンへの移行を検討することをおすすめします。
Tomcat Wiki
TomcatVersions
http://wiki.apache.org/tomcat/TomcatVersions