JPCERT-WR-2009-3401
2009-09-02
2009-08-23
2009-08-29
Autonomy KeyView SDK にバッファオーバーフローの脆弱性
Autonomy KeyView SDK には、Microsoft Excel (XLS) ファイルの処理
に起因するバッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工した Excel (XLS) ファイルを処理させることで任
意のコードを実行する可能性があります。
なお、この問題は、Autonomy KeyView SDK を使用する IBM Lotus Notes
および Symantec の複数の製品にも影響します。詳細については、下記
関連文書を参照してください。
この問題は、各ベンダが提供する修正済みのバージョンに、該当する製
品を更新することで解決します。
IBM
Potential security issue with Lotus Notes file viewer for Microsoft Excel
http://www-01.ibm.com/support/docview.wss?rs=463&uid=swg21396492
Symantec Security Response SYM09-010
Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00
Autonomy Corporation
KeyView IDOL Filter SDK
http://www.autonomy.com/content/Products/idol-modules-keyview-filter/index.en.html
Cisco Unified Communications Manager に複数の脆弱性
Cisco Unified Communications Manager (旧 CallManager) には、脆弱
性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS)
攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Cisco Unified Communications Manager 4.x、5.x、6.x、7.x
この問題は、Cisco が提供する修正済みのバージョンに Cisco Unified
Communications Manager を更新することで解決します。詳細について
は、Cisco が提供する情報を参照してください。
Cisco Security Advisory 110580
Cisco Unified Communications Manager Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090826-cucm.shtml
SugarCRM に SQL インジェクションの脆弱性
CRM (Customer Relationship Management) ソフトウェアの SugarCRM
には、SQL インジェクションの脆弱性があります。結果として、
SugarCRM にログイン可能なユーザが、機密情報を取得したり、作成さ
れたコンテンツを改ざんしたりする可能性があります。
対象となるバージョンは以下の通りです。
- SugarCRM Community/Professional/Enterprise Editions 5.2.0g
およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 5.0.0k
およびそれ以前
- SugarCRM Community/Professional/Enterprise Editions 4.5.1o
およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更
新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
「SugarCRM」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200908_sugarcrm.html
SugarCRM Forums
Sugar Community Edition 5.2.0 Patch H
http://www.sugarcrm.com/forums/showthread.php?t=50907
SugarCRM Forums
Sugar Community Edition 5.0.0l and 4.5.1p Now Available
http://www.sugarcrm.com/forums/showthread.php?t=50953
SugarForge
Downloads
http://www.sugarforge.org/content/downloads/
bingo!CMS core および bingo!CMS にクロスサイトリクエストフォージェリの脆弱性
株式会社アイ・ティー・ディーが提供するコンテンツ管理システム
bingo!CMS core および bingo!CMS には、クロスサイトリクエストフォー
ジェリの脆弱性があります。結果として、遠隔の第三者が設定を変更し
たり、作成されたコンテンツを改ざんしたりする可能性があります。
対象となる製品及びバージョンは以下の通りです。
- bingo!CMS core バージョン 1.2 およびそれ以前
- bingo!CMS (商用版) バージョン 1.2 およびそれ以前
この問題は、アイ・ティー・ディーが提供する修正済みのバージョンに、
該当する製品を更新することで解決します。
アイ・ティー・ディー
JVN#68640473: bingo!CMS core および bingo!CMSにおけるクロスサイトリクエストフォージェリの脆弱性
http://www.bingo-cms.jp/security/jvn68640473.html
アイ・ティー・ディー
「bingo!CMS core」ダウンロード
http://www.bingo-cms.jp/opensource/download/
「C/C++ セキュアコーディング ハーフデイキャンプ 2009夏 part3」参加申込み中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナー「C/C++ セキュアコーディングハーフ
デイキャンプ」を開催いたします。
9月10日(木)に開催予定の part3 <動的メモリ管理・書式指定文字列>
は、まだお席に余裕がございます。多くの方のご参加をお待ちしており
ます。
日時: part3 <動的メモリ管理・書式指定文字列>
2009年09月10日(木) 13:00 〜 17:30 (受付 12:30〜)
会場: 株式会社インターネットイニシアティブ 大会議室1
東京都千代田区神田神保町1-105 神保町三井ビルディング 17階
受講料: 無料
定員: 80名
JPCERT/CC
C/C++セキュアコーディングハーフデイキャンプお申し込み
https://www.jpcert.or.jp/event/half-day_Camp-application.html
Windows Server Update Services (WSUS)
マイクロソフトは、組織内の Windows PC に更新プログラムなどを配信
する Windows Server Update Services (WSUS) を提供しています。
システム管理者は WSUS を導入することにより、組織内の Windows PC
の更新プログラム適用の一元管理を行い、各 PC の適用状況を確認する
ことも可能となります。また、更新プログラムのダウンロードについて
も WSUS サーバでダウンロードした更新プログラムを組織内に配信する
ため、インターネットトラフィックも軽減することが可能になります。
2009年8月26日には、Windows Server Update Services 3.0 SP2 がリリー
スされ、Windows 7 のサポートも開始されました。
Microsoft TechNet
Microsoft Windows Server Update Services (WSUS)
http://technet.microsoft.com/ja-jp/wsus/default.aspx
マイクロソフト ダウンロードセンター
Microsoft Windows Server Update Services 3.0 SP2 リリース ノート
http://www.microsoft.com/downloads/details.aspx?FamilyID=ba94a0d3-f22a-4e24-877e-6be6ce5da6d7&DisplayLang=ja
Microsoft TechNet Blogs
Japan WSUS Support Team Blog
http://blogs.technet.com/jpwsus/default.aspx