JPCERT-WR-2009-3301
2009-08-26
2009-08-16
2009-08-22
Adobe ColdFusion および JRun に複数の脆弱性
Adobe ColdFusion および JRun には、複数の脆弱性があります。結果
として、遠隔の第三者が機密情報を取得したり、権限を昇格したり、ユー
ザのブラウザ上で任意のスクリプトを実行したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- ColdFusion 8.0.1 およびそれ以前
- JRun 4.0
この問題は、Adobe が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。
Japan Vulnerability Notes JVN#21388501
ColdFusion におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN21388501/index.html
「Mozilla 製品群に複数の脆弱性」に関する追加情報
JPCERT/CC REPORT 2009-08-12 号【2】で紹介した「Mozilla 製
品群に複数の脆弱性」に関する追加情報です。
Thunderbird の修正済みバージョン 2.0.0.23 が提供されました。詳細
については、OS のベンダや配布元が提供する情報を参照してください。
JPCERT/CC WEEKLY REPORT 2009-08-12
【2】Mozilla 製品群に複数の脆弱性
https://www.jpcert.or.jp/wr/2009/wr093101.html#2
VMware 製品に複数の脆弱性
VMware 製品には、複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となる製品およびバージョンは以下のとおりです。
- VMware Workstation 6.5.2 およびそれ以前
- VMware Player 2.5.2 およびそれ以前
- VMware ACE 2.5.2 およびそれ以前
- VMware Server 2.x
- VMware Server 1.x
この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。なお、VMware Server に関してはパッ
チがまだ提供されていません。詳細については、VMware が提供する情
報を参照してください。
Cisco Firewall Services Module に脆弱性
Catalyst 6500 シリーズのスイッチおよび Cisco 7600 シリーズのルー
タで動作する Cisco Firewall Services Module (FWSM) には、ICMP メッ
セージの処理に起因する脆弱性があります。結果として、遠隔の第三者
が細工した ICMP メッセージを処理させることでサービス運用妨害 (DoS)
攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- FWSM 2.x、3.x、4.x のすべてのバージョン
この問題は、Cisco が提供する修正済みのバージョンに FWSM を更新す
ることで解決します。詳細については、Cisco が提供する情報を参照し
てください。
Adobe Flex SDK にクロスサイトスクリプティングの脆弱性
Adobe Flex SDK に含まれるテンプレートファイルには、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Adobe Flex 3.3 SDK およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex
SDK を更新することで解決します。
Adobe Technote
Security Issue SDK-22303: XSS in express-install templates
http://kb2.adobe.com/cps/495/cpsid_49530.html
memcached にバッファオーバーフローの脆弱性
memcached には、バッファオーバーフローの脆弱性あります。結果とし
て、遠隔の第三者が細工したデータを処理させることで任意のコードを
実行する可能性があります。
対象となるバージョンは以下の通りです。
- Danga Interactive memcached 1.2.7 および 1.2.8
この問題は、使用している OS のベンダまたは配布元が提供する修正済
みのバージョンに該当する memcached を更新することで解決します。
詳細については、ベンダまたは配布元が提供する情報を参照してくださ
い。
Danga Interactive
memcached
http://www.danga.com/memcached/
Debian Security Advisory DSA-1853-1
memcached -- heap-based buffer overflow
http://www.debian.org/security/2009/dsa-1853
libpurple ライブラリにバッファオーバーフローの脆弱性
複数のインスタントメッセンジャーソフトウエアで使用されている
libpurple ライブラリには、バッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が細工したパケットを処理させることで、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったり
する可能性があります。
この問題は、使用している OS のベンダまたは配布元が提供する修正済
みのバージョンに該当する製品を更新することで解決します。
Pidgin Security Advisory
MSN overflow parsing SLP messages
http://pidgin.im/news/security/?id=34
Pidgin
Who uses libpurple?
http://developer.pidgin.im/wiki/WhatIsLibpurple#Whouseslibpurple
Red Hat Security Advisory RHSA-2009:1218-1
Critical: pidgin security update
https://rhn.redhat.com/errata/RHSA-2009-1218.html
mycaljp にクロスサイトスクリプティングの脆弱性
Geeklog のカレンダープラグインであるサイトカレンダ mycaljp には、
クロスサイトスクリプティングの脆弱性があります。結果として、遠隔
の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- サイトカレンダ mycaljp Ver.2.0.0 から 2.0.6 まで
この問題の影響を受けるプラグインは以下のパッケージにも含まれてい
ます。
- Geeklog1.5.0 から Geeklog1.5.2 までの日本語パッケージ拡張版
(ただし、リリース日が 2009-06-29 以前のパッケージ)
この問題は、配布元が提供する修正済みのバージョンにサイトカレンダ
mycaljp を更新することで解決します。詳細については、配布元が提供
する情報を参照してください。
Geeklog Japanese
mycaljpプラグインにXSSの脆弱性が発見されました
http://www.geeklog.jp/article.php/20090820020302431
Geeklog Japanese
サイトカレンダ mycaljp プラグイン
http://www.geeklog.jp/filemgmt/index.php/316
「Namazu」の古いバージョンを利用している Web サイトへの注意喚起
独立行政法人情報処理推進機構 (IPA) は、脆弱性を含んだ古いバージョ
ンの Namazu を使用している Web サイトに対する注意喚起を発行しま
した。古いバージョンの Namazu には、クロスサイトスクリプティング
の脆弱性を含んだものがあり、任意のスクリプト実行の可能性がありま
す。対策版へのバージョンアップを行ってください。
Namazu Project
新着情報
http://www.namazu.org/index.html.ja#news
「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」参加者募集のお知らせ
JPCERT コーディネーションセンターは、経済産業省の委託によるソフ
トウエア等の脆弱性対策に関する事業の一環として、「C/C++ セキュア
コーディングセミナー」を開催しています。
ご好評いただいている「ハーフデイキャンプ 2009夏」に続き、関西エ
リアのプログラム開発者の方々に受講いただけるよう、大阪を会場とし
た「C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪」
を企画しました。2009年10月6日から11月2日まで、隔週開催の全3回コー
スで開催いたします。多くの方のご参加をお待ちしております。
日時: part1 <文字列・整数>
2009年10月6日(火) 14:00 〜 19:00 (受付 13:30〜)
part2 <ファイル入出力>
2009年10月20日(火) 14:00 〜 19:30 (受付 13:30〜)
part3 <動的メモリ管理・書式指定文字列>
2009年11月2日(月) 14:00 〜 18:30 (受付 13:30〜)
会場: クリスタルタワー 20階 会議室 F
大阪市中央区城見 1-2-27
受講料: 無料
定員: 70名/1回のセミナー
(参加者多数の場合はお申し込み先着順となります)
JPCERT/CC
C/C++ セキュアコーディング ハーフデイキャンプ 2009秋 @大阪 お申し込み
https://www.jpcert.or.jp/event/half-day_Camp-OSK-application.html
Microsoft Office 2007 SP2 自動更新による提供開始
Microsoft は、2007 Office system Service Pack 2 (SP2) の自動更新
を 2009年9月22日より開始すると発表しました。
2007 Office system SP2 は、過去にリリースされたセキュリティ更新
プログラムとバグ修正更新プログラムをひとつにまとめ、最新の環境へ
アップデートするためのサービスパックです。ダウンロードによる提供
は 4月29日から開始されていましたが、今回自動更新による提供が開始
されます。
Microsoft
2007 Microsoft Office system Service Pack 2
http://www.microsoft.com/japan/office/2007/sp2/default.mspx