-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3401 JPCERT/CC 2009-09-02 <<< JPCERT/CC WEEKLY REPORT 2009-09-02 >>> ―――――――――――――――――――――――――――――――――――――― ■08/23(日)〜08/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性 【2】Cisco Unified Communications Manager に複数の脆弱性 【3】SugarCRM に SQL インジェクションの脆弱性 【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性 【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中 【今週のひとくちメモ】Windows Server Update Services (WSUS) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093401.html https://www.jpcert.or.jp/wr/2009/wr093401.xml ============================================================================ 【1】Autonomy KeyView SDK にバッファオーバーフローの脆弱性 情報源 US-CERT Current Activity Archive Autonomy KeyView SDK Vulnerability http://www.us-cert.gov/current/archive/2009/08/28/archive.html#autonomy_keyview_sdk_vulnerability1 概要 Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理 に起因するバッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任 意のコードを実行する可能性があります。 なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes および Symantec の複数の製品にも影響します。詳細については、下記 関連文書を参照してください。 この問題は、各ベンダが提供する修正済みのバージョンに、該当する製 品を更新することで解決します。 関連文書 (英語) IBM Potential security issue with Lotus Notes file viewer for Microsoft Excel http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492 Symantec Security Response SYM09-010 Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00 Autonomy Corporation KeyView IDOL Filter SDK http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html 【2】Cisco Unified Communications Manager に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory for Unified Communications Manager http://www.us-cert.gov/current/archive/2009/08/27/archive.html#cisco_release_security_advisory_for 概要 Cisco Unified Communications Manager (旧 CallManager) には、脆弱 性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Unified Communications Manager 4.x、5.x、6.x、7.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified Communications Manager を更新することで解決します。詳細について は、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory 110580 Cisco Unified Communications Manager Denial of Service Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml 【3】SugarCRM に SQL インジェクションの脆弱性 情報源 Japan Vulnerability Notes JVN#31035930 SugarCRM における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN31035930/index.html 概要 CRM (Customer Relationship Management) ソフトウェアの SugarCRM には、SQL インジェクションの脆弱性があります。結果として、 SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ れたコンテンツを改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM Community/Professional/Enterprise Editions 5.2.0g およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 5.0.0k およびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 4.5.1o およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更 新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター 「SugarCRM」におけるセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html 関連文書 (英語) SugarCRM Forums Sugar Community Edition 5.2.0 Patch H http://www.sugarcrm.com/forums/showthread.php?t=50907 SugarCRM Forums Sugar Community Edition 5.0.0l and 4.5.1p Now Available http://www.sugarcrm.com/forums/showthread.php?t=50953 SugarForge Downloads http://www.sugarforge.org/content/downloads/ 【4】bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性 情報源 Japan Vulnerability Notes JVN#68640473 bingo!CMS core および bingo!CMS におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN68640473/index.html 概要 株式会社アイ・ティー・ディーが提供するコンテンツ管理システム bingo!CMS core および bingo!CMS には、クロスサイトリクエストフォー ジェリの脆弱性があります。結果として、遠隔の第三者が設定を変更し たり、作成されたコンテンツを改ざんしたりする可能性があります。 対象となる製品及びバージョンは以下の通りです。 - bingo!CMS core バージョン 1.2 およびそれ以前 - bingo!CMS (商用版) バージョン 1.2 およびそれ以前 この問題は、アイ・ティー・ディーが提供する修正済みのバージョンに、 該当する製品を更新することで解決します。 関連文書 (日本語) アイ・ティー・ディー JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性 http://www.bingo-cms.jp/security/jvn68640473.html アイ・ティー・ディー 「bingo!CMS core」ダウンロード http://www.bingo-cms.jp/opensource/download/ 【5】「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中 情報源 JPCERT/CC C/C++ セキュアコーディング ハーフデイキャンプのご案内 https://www.jpcert.or.jp/event/half-day_Camp-seminar.html 概要 JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな い安全なプログラムをコーディングする具体的なテクニックとノウハウ を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ デイキャンプ」を開催いたします。 9月10日(木)に開催予定の part3 <動的メモリ管理・書式指定文字列> は、まだお席に余裕がございます。多くの方のご参加をお待ちしており ます。 日時: part3 <動的メモリ管理・書式指定文字列> 2009年09月10日(木) 13:00 〜 17:30 (受付 12:30〜) 会場: 株式会社インターネットイニシアティブ 大会議室1 東京都千代田区神田神保町1-105 神保町三井ビルディング 17階 受講料: 無料 定員: 80名 関連文書 (日本語) JPCERT/CC C/C++セキュアコーディングハーフデイキャンプお申し込み https://www.jpcert.or.jp/event/half-day_Camp-application.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows Server Update Services (WSUS) マイクロソフトは、組織内の Windows PC に更新プログラムなどを配信 する Windows Server Update Services (WSUS) を提供しています。 システム管理者は WSUS を導入することにより、組織内の Windows PC の更新プログラム適用の一元管理を行い、各 PC の適用状況を確認する ことも可能となります。また、更新プログラムのダウンロードについて も WSUS サーバでダウンロードした更新プログラムを組織内に配信する ため、インターネットトラフィックも軽減することが可能になります。 2009年8月26日には、Windows Server Update Services 3.0 SP2 がリリー スされ、Windows 7 のサポートも開始されました。 参考文献 (日本語) Microsoft TechNet Microsoft Windows Server Update Services (WSUS) http://technet.microsoft.com/ja-jp/wsus/default.aspx マイクロソフト ダウンロードセンター Microsoft Windows Server Update Services 3.0 SP2 リリース ノート http://www.microsoft.com/downloads/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&DisplayLang=ja Microsoft TechNet Blogs Japan WSUS Support Team Blog http://blogs.technet.com/jpwsus/default.aspx ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSp3JzjF9l6Rp7OBIAQiALwf8DBuh7UF9rNXAH7MSkpzhL3MkWe3vAfEl SxFlBxg/m2e7aCKJf3+imU2QGdMlZaHzHnSHgTlaAhpzTJ/mcSLdrdv1K/QvD0Xv 1u9QTBvZS7CZlSes4PIVrEzYHPGI9jhvlsQu5ivGBYS5uCO+4MxYW34LsTsfImJX aBOBRfgqiS5I4QQyJiDDOrmy2JtlwvLB6hAiDNtUaaEVf/mDFNWFb/h21USlvqOv lpvasuMLMpOVX7NqYKJkPRmOWQKqHvf5wq+2ACUZ5JSISz/fGOdJMEYkIi4RBQlH +xrMIXjI9se+qR9M/J76hAsLZTxNOaWaWtV7qX+VUcDjphaY3tWSTg== =igUj -----END PGP SIGNATURE-----