-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3301 JPCERT/CC 2009-08-26 <<< JPCERT/CC WEEKLY REPORT 2009-08-26 >>> ―――――――――――――――――――――――――――――――――――――― ■08/16(日)〜08/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe ColdFusion および JRun に複数の脆弱性 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 【3】VMware 製品に複数の脆弱性 【4】Cisco Firewall Services Module に脆弱性 【5】Adobe Flex SDK にクロスサイトスクリプティングの脆弱性 【6】memcached にバッファオーバーフローの脆弱性 【7】libpurple ライブラリにバッファオーバーフローの脆弱性 【8】mycaljp にクロスサイトスクリプティングの脆弱性 【9】「Namazu」の古いバージョンを利用している Web サイトへの注意喚起 【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」参加者募集のお知らせ 【今週のひとくちメモ】Microsoft Office 2007 SP2 自動更新による提供開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093301.html https://www.jpcert.or.jp/wr/2009/wr093301.xml ============================================================================ 【1】Adobe ColdFusion および JRun に複数の脆弱性 情報源 Adobe Security Bulletin APSB09-12 Security Update: Hotfixes available for ColdFusion and JRun http://www.adobe.com/support/security/bulletins/apsb09-12.html 概要 Adobe ColdFusion および JRun には、複数の脆弱性があります。結果 として、遠隔の第三者が機密情報を取得したり、権限を昇格したり、ユー ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - ColdFusion 8.0.1 およびそれ以前 - JRun 4.0 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVN#21388501 ColdFusion におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN21388501/index.html 【2】「Mozilla 製品群に複数の脆弱性」に関する追加情報 情報源 Mozilla Japan Thunderbird リリースノート - Thunderbird 2.0.0.23 での変更点 http://mozilla.jp/thunderbird/2.0.0.23/releasenotes/ 概要 JPCERT/CC REPORT 2009-08-12 号【2】で紹介した「Mozilla 製 品群に複数の脆弱性」に関する追加情報です。 Thunderbird の修正済みバージョン 2.0.0.23 が提供されました。詳細 については、OS のベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2009-08-12 【2】Mozilla 製品群に複数の脆弱性 https://www.jpcert.or.jp/wr/2009/wr093101.html#2 【3】VMware 製品に複数の脆弱性 情報源 VMware Security Announcements VMSA-2009-0010 VMware Hosted products update libpng and Apache HTTP Server http://lists.vmware.com/pipermail/security-announce/2009/000062.html 概要 VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - VMware Workstation 6.5.2 およびそれ以前 - VMware Player 2.5.2 およびそれ以前 - VMware ACE 2.5.2 およびそれ以前 - VMware Server 2.x - VMware Server 1.x この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。なお、VMware Server に関してはパッ チがまだ提供されていません。詳細については、VMware が提供する情 報を参照してください。 【4】Cisco Firewall Services Module に脆弱性 情報源 Cisco Security Advisory 110460 Firewall Services Module Crafted ICMP Message Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml 概要 Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリーズのルー タで動作する Cisco Firewall Services Module (FWSM) には、ICMP メッ セージの処理に起因する脆弱性があります。結果として、遠隔の第三者 が細工した ICMP メッセージを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - FWSM 2.x、3.x、4.x のすべてのバージョン この問題は、Cisco が提供する修正済みのバージョンに FWSM を更新す ることで解決します。詳細については、Cisco が提供する情報を参照し てください。 【5】Adobe Flex SDK にクロスサイトスクリプティングの脆弱性 情報源 Adobe Security Bulletin APSB09-13 Security update available for Flex SDK http://www.adobe.com/support/security/bulletins/apsb09-13.html 概要 Adobe Flex SDK に含まれるテンプレートファイルには、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Adobe Flex 3.3 SDK およびそれ以前 この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex SDK を更新することで解決します。 関連文書 (英語) Adobe Technote Security Issue SDK-22303: XSS in express-install templates http://kb2.adobe.com/cps/495/cpsid_49530.html 【6】memcached にバッファオーバーフローの脆弱性 情報源 DOE-CIRC Technical Bulletin T-211 Memcached Multiple Heap Based Buffer Overflow Vulnerability http://www.doecirc.energy.gov/bulletins/t-211.shtml 概要 memcached には、バッファオーバーフローの脆弱性あります。結果とし て、遠隔の第三者が細工したデータを処理させることで任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - Danga Interactive memcached 1.2.7 および 1.2.8 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する memcached を更新することで解決します。 詳細については、ベンダまたは配布元が提供する情報を参照してくださ い。 関連文書 (英語) Danga Interactive memcached http://www.danga.com/memcached/ Debian Security Advisory DSA-1853-1 memcached -- heap-based buffer overflow http://www.debian.org/security/2009/dsa-1853 【7】libpurple ライブラリにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#582244 Libpurple buffer overflow vulnerability http://www.kb.cert.org/vuls/id/582244 概要 複数のインスタントメッセンジャーソフトウエアで使用されている libpurple ライブラリには、バッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が細工したパケットを処理させることで、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり する可能性があります。 この問題は、使用している OS のベンダまたは配布元が提供する修正済 みのバージョンに該当する製品を更新することで解決します。 関連文書 (英語) Pidgin Security Advisory MSN overflow parsing SLP messages http://pidgin.im/news/security/?id=34 Pidgin Who uses libpurple? http://developer.pidgin.im/wiki/WhatIsLibpurple#Whouseslibpurple Red Hat Security Advisory RHSA-2009:1218-1 Critical: pidgin security update https://rhn.redhat.com/errata/RHSA-2009-1218.html 【8】mycaljp にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#20478978 サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN20478978/index.html 概要 Geeklog のカレンダープラグインであるサイトカレンダ mycaljp には、 クロスサイトスクリプティングの脆弱性があります。結果として、遠隔 の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで この問題の影響を受けるプラグインは以下のパッケージにも含まれてい ます。 - Geeklog1.5.0 から Geeklog1.5.2 までの日本語パッケージ拡張版 (ただし、リリース日が 2009-06-29 以前のパッケージ) この問題は、配布元が提供する修正済みのバージョンにサイトカレンダ mycaljp を更新することで解決します。詳細については、配布元が提供 する情報を参照してください。 関連文書 (日本語) Geeklog Japanese mycaljpプラグインにXSSの脆弱性が発見されました http://www.geeklog.jp/article.php/20090820020302431 Geeklog Japanese サイトカレンダ mycaljp プラグイン http://www.geeklog.jp/filemgmt/index.php/316 【9】「Namazu」の古いバージョンを利用している Web サイトへの注意喚起 情報源 独立行政法人 情報処理推進機構 セキュリティセンター 「Namazu」の古いバージョンを利用しているウェブサイトへの注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200908_namazu.html 概要 独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ ンの Namazu を使用している Web サイトに対する注意喚起を発行しま した。古いバージョンの Namazu には、クロスサイトスクリプティング の脆弱性を含んだものがあり、任意のスクリプト実行の可能性がありま す。対策版へのバージョンアップを行ってください。 関連文書 (日本語) Namazu Project 新着情報 http://www.namazu.org/index.html.ja#news 【10】「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」参加者募集のお知らせ 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 のご案内 https://www.jpcert.or.jp/event/half-day_Camp-OSK-seminar.html 概要 JPCERT コーディネーションセンターは、経済産業省の委託によるソフ トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア コーディングセミナー」を開催しています。 ご好評いただいている「ハーフデイキャンプ 2009夏」に続き、関西エ リアのプログラム開発者の方々に受講いただけるよう、大阪を会場とし た「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」 を企画しました。2009年10月6日から11月2日まで、隔週開催の全3回コー スで開催いたします。多くの方のご参加をお待ちしております。 日時: part1 <文字列・整数> 2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜) part2 <ファイル入出力> 2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜) part3 <動的メモリ管理・書式指定文字列> 2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜) 会場: クリスタルタワー 20階 会議室 F 大阪市中央区城見 1-2-27 受講料: 無料 定員: 70名/1回のセミナー (参加者多数の場合はお申し込み先着順となります) 関連文書 (日本語) JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 お申し込み https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Microsoft Office 2007 SP2 自動更新による提供開始 Microsoft は、2007 Office system Service Pack 2 (SP2) の自動更新 を 2009年9月22日より開始すると発表しました。 2007 Office system SP2 は、過去にリリースされたセキュリティ更新 プログラムとバグ修正更新プログラムをひとつにまとめ、最新の環境へ アップデートするためのサービスパックです。ダウンロードによる提供 は 4月29日から開始されていましたが、今回自動更新による提供が開始 されます。 参考文献 (日本語) Microsoft 2007 Microsoft Office system Service Pack 2 http://www.microsoft.com/japan/office/2007/sp2/default.mspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSpSNKTF9l6Rp7OBIAQjkxAf/Z8P5rrmGCyCsI1fQVUOU/iCyiVS8rF4X HL2v8Jvw2QS/xDmNfkwxHkN3IpUskSSQP4+LfWYkb1AuFbUggaYH5FBDM/v8IG+m TDYW+arfLThgXLWEZJWzL9TYN/EszpTvzhRiTeebH4lGK3/1+oyJMMNRfHYsNrEC 96mxM9NU49tWnIXCjyjFdCb8aq7xr/bkD5H961jgb1xwmQmT1Jo6jMMaA70KNLMP MIaHcOKklhZNdFL7H8IHYU4V/wQO6cVvqAh/Tp2O41QHE/nAvbs0pGBvNsjcjA2m ilVFYxmE7SWXdTU6vHXGlUkqt+Pu9KSrb2wfhTq+lugF9hQWaBXWTg== =qvDp -----END PGP SIGNATURE-----