-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-2901 JPCERT/CC 2009-07-29 <<< JPCERT/CC WEEKLY REPORT 2009-07-29 >>> ―――――――――――――――――――――――――――――――――――――― ■07/19(日)〜07/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】複数の Adobe 製品に脆弱性 【2】Mozilla 製品群に複数の脆弱性 【3】Cisco Unified Contact Center Express サーバに複数の脆弱性 【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中 【今週のひとくちメモ】Java JDK/JRE の古いバージョンを削除する ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr092901.html https://www.jpcert.or.jp/wr/2009/wr092901.xml ============================================================================ 【1】複数の Adobe 製品に脆弱性 情報源 US-CERT Technical Cyber Security Alert TA09-204A Adobe Flash Vulnerability Affects Flash Player and Other Adobe Products http://www.us-cert.gov/cas/techalerts/TA09-204A.html US-CERT Vulnerability Note VU#259425 Adobe Flash vulnerability affects Flash Player and other Adobe products http://www.kb.cert.org/vuls/id/259425 DOE-CIRC Technical Bulletin T-191 Vulnerability in Adobe Acrobat, Reader, and Flash Player http://www.doecirc.energy.gov/bulletins/t-191.shtml 概要 複数の Adobe 製品には Flash に起因する脆弱性があります。結果とし て、遠隔の第三者が細工した HTML 文書または PDF ファイルを閲覧さ せることで、任意のコードを実行する可能性があります。なお、本脆弱 性を使用した攻撃活動が確認されています。 対象となる製品およびバージョンは以下の通りです。 - Adobe Flash Player 9.0.159.0 およびそれ以前 - Adobe Flash Player 10.0.22.87 およびそれ以前 - Adobe Reader および Acrobat 9.1.2 およびそれ以前 Adobe によると Flash サポートが搭載されている他の Adobe 製品も影 響を受ける可能性があります。 2009年7月28日現在、この問題に対する解決策は提供されていません。 なお、Adobe によると、Flash Player は、米国時間 2009年7月30日、 Reader と Acrobat については、7月31日に対策版を提供するとのこと です。 回避策としては、Flash プラグインを無効にするなどの方法があります。 詳細については、Adobe が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNTA09-204A Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性 https://jvn.jp/cert/JVNTA09-204A/index.html Japan Vulnerability Notes JVNVU#259425 Adobe Flash に脆弱性 https://jvn.jp/cert/JVNVU259425/index.html 関連文書 (英語) Adobe Security Bulletin APSA09-03 Security advisory for Adobe Reader, Acrobat and Flash Player http://www.adobe.com/support/security/advisories/apsa09-03.html Adobe TechNote How to uninstall the Adobe Flash Player plug-in and ActiveX control http://kb2.adobe.com/cps/141/tn_14157.html 【2】Mozilla 製品群に複数の脆弱性 情報源 Mozilla Developer News Firefox 3.0.12 security and stability release now available https://developer.mozilla.org/devnews/index.php/2009/07/21/firefox-3-0-12-security-and-stability-release-now-available/ 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が細工した HTML 文書を処理さ せることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻 撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Firefox 3.0 - Thunderbird - SeaMonkey その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 3.0.12 なお、Firefox 3.5.1 は本脆弱性の影響を受けません。 2009年7月28日現在、Thunderbird および SeaMonkey の修正プログラム は提供されていません。詳細については、OS のベンダや配布元が提供 する情報を参照してください。 関連文書 (日本語) Firefox 3.0 セキュリティアドバイザリ Firefox 3.0.12 で修正済み http://www.mozilla-japan.org/security/known-vulnerabilities/firefox30.html#firefox3.0.12 【3】Cisco Unified Contact Center Express サーバに複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-189 Directory Traversal Vulnerability in the Administration Interface in Cisco Customer Response Solutions http://www.doecirc.energy.gov/bulletins/t-189.shtml 概要 Cisco Unified Contact Center Express (Cisco Unified CCX) サーバ には、複数の脆弱性があります。結果として、遠隔の第三者が機密情報 を取得したり、権限を昇格したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品は以下の通りです。 - 以下の製品が動作する Cisco Unified CCX サーバ - Cisco Customer Response Solution (CRS) 3.x、4.x、5.x、6.x、7.x - Cisco Unified IP Interactive Voice Response (Cisco Unified IP IVR) 3.x、4.x、5.x、6.x、7.x - Cisco Unified CCX 4.x、5.x、6.x、7.x - Cisco Unified IP Contact Center Express 3.x、5.x、6.x、7.x - Cisco Customer Response Applications 3.x - Cisco IP Queue Manager (IP QM) 3.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified CCX サーバを更新することで解決します。 関連文書 (英語) Cisco Security Advisory 110307 Vulnerabilities in Unified Contact Center Express Administration Pages http://www.cisco.com/warp/public/707/cisco-sa-20090715-uccx.shtml 【4】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part2」参加者、引き続き募集中 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 先週もお知らせしましたが、「C/C++ セキュアコーディングハーフデイ キャンプ」part2 は 8月7日に開催予定です。奮ってお申し込み下さい。 日時: part2 <ファイル入出力 part1,part2,part3> 2009年08月07日(金) 13:00 〜 19:00 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名 関連文書 (日本語) JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java JDK/JRE の古いバージョンを削除する Java JDK/JRE を更新した際、古いバージョンが削除されずにインストー ルされたままになっている場合があります (例えば Windows 版など)。 そのまま放置しておくと、古いバージョンにある脆弱性を攻撃に悪用さ れる可能性があります。更新作業を行なったら、コントロールパネルや ブラウザの設定画面から、JDK/JRE のどのバージョンが使える状態であ るかを確認し、古いバージョンは可能なかぎり速やかに削除しましょう。 参考文献 (日本語) Java テクノロジ FAQ JRE の複数のバージョンをコンピュータにインストールしておく必要はありますか。また、旧バージョンを削除してもかまいませんか。 http://java.com/ja/download/faq/remove_olderversions.xml Java ヘルプセンター コンピュータに、RPM を使用してインストールした Java Runtime Environment のバージョンが 2 つあります。これらのバージョンの 1 つを削除するには、どうすればよいですか。 http://java.com/ja/download/help/5000012100.xml Java ヘルプセンター Windows から Java Runtime Environment をアンインストールする方法 http://java.com/ja/download/help/uninstall_java.xml JPCERT/CC REPORT 2009-02-25 【今週のひとくちメモ】インストールされた Java のバージョンの確認 http://www.jpcert.or.jp/wr/2009/wr090801.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSm+eQjF9l6Rp7OBIAQidIgf+JPpDeapnVNm8cjtyWHefwbVZZbKOGOV3 ssBvcf6BgzQjfMOsULqv39siqlDra8BztAoUsyO6/8eJp0/K6XZaGyrYUkaJlz6h vp8/LdM8SQo/dk/WaQ5I+62aZZ+g9VnvPrpPW3/Hi+/pOClBeFM3YcIZkfsFU94z 9FlWOD90EJfR/DsVTVbhuFcG1a/TF1uvOpiOwDlBErZciqBenvi/YzI0+NFbrky8 Wvpfb3J0G6PR8EFMYol0VACvGGte6eIUI+zEZh/8XfQpfdwGgtuAVByvWjCJ63Nc AhK7cYVtUvORir6uudC8QPNnnkdw+Emh9yfKqifM6wPloMWa7tWeTA== =HvST -----END PGP SIGNATURE-----