-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2009-3801 JPCERT/CC 2009-10-07 <<< JPCERT/CC WEEKLY REPORT 2009-10-07 >>> ―――――――――――――――――――――――――――――――――――――― ■09/27(日)〜10/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】SugarCRM にクロスサイトスクリプティングの脆弱性 【2】BlackBerry Device Software に脆弱性 【今週のひとくちメモ】マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2009/wr093801.html https://www.jpcert.or.jp/wr/2009/wr093801.xml ============================================================================ 【1】SugarCRM にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#84396512 SugarCRM におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN84396512/index.html 概要 CRM (Customer Relationship Management) ソフトウェアの SugarCRM には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が SugarCRM にログインしているユーザのブラウザ上で任 意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM Community/Professional/Enterprise Editions 5.2.0i お よびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 5.0.0l お よびそれ以前 - SugarCRM Community/Professional/Enterprise Editions 4.5.1p お よびそれ以前 この問題は、配布元が提供する修正済みのバージョンに SugarCRM を更 新することで解決します。 関連文書 (英語) SugarCRM Forums Sugar Community Edition 5.2.0 Patch J http://www.sugarcrm.com/forums/showthread.php?t=52401 SugarCRM Forums Sugar Community Edition - Patches 5.0.0m and 4.5.1q Now Available http://www.sugarcrm.com/forums/showthread.php?t=52402 SugarCRM Download Sugar Community Edition http://www.sugarcrm.com/crm/download/sugar-suite.html SugarForge SugarCRM http://www.sugarforge.org/frs/?group_id=6 【2】BlackBerry Device Software に脆弱性 情報源 US-CERT Current Activity Archive Research in Motion Releases Security Advisory http://www.us-cert.gov/current/archive/2009/10/01/archive.html#research_in_motion_releases_security DOE-CIRC Technical Bulletin T-241 Blackberry OS NULL Character Flaw in Common Name Field Lets Remote Users Spoof Certificates http://www.doecirc.energy.gov/bulletins/t-241.shtml 概要 BlackBerry Device Software には、サーバ証明書に含まれる NULL 文 字の処理に起因する脆弱性があります。結果として、遠隔の第三者が細 工した証明書を正規の証明書に見せかける可能性があります。 対象となる製品は以下のとおりです。 - BlackBerry Device Software この問題は、Research In Motion が提供する修正済みのバージョンに、 BlackBerry Device Software を更新することで解決します。詳細につ いては、Research In Motion が提供する情報を参照してください。 関連文書 (英語) Research In Motion - Security Advisory KB19552 BlackBerry browser dialog box does not clearly indicate mismatches between web site domain names and associated certificates http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB19552 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○マイクロソフト無料ウイルス対策ソフト Microsoft Security Essentials マイクロソフトは、2009年9月30日、ウイルス対策ソフト Microsoft Security Essentials の提供を開始しました。Microsoft Security Essentials は、無料で提供され、ウイルス、スパイウエアなどのマル ウエアからユーザの PC をリアルタイムで保護します。 対応する OS は以下の通りです。 - Windows XP (Service Pack 2, Service Pack 3) - Windows Vista (Service Pack 1, Service Pack 2) - Windows 7 サポート期限が切れたままのウイルス対策ソフトを利用している場合や、 ウイルス対策ソフトが導入されていない場合には、まずこのソフトを導 入し、今後の対策について検討することをおすすめします。 参考文献 (日本語) Microsoft Microsoft Security Essentials http://www.microsoft.com/security_essentials/default.aspx?mkt=ja-jp ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2009 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEVAwUBSsvrsjF9l6Rp7OBIAQj40Af/VyqwifuGccLNWOHT9cZlCz/oYAwxrZIN SUqtM6nT+GmwWgcL8rPHQknAkplmmo3WxlyxfbNHOJzj36/YASI1tPDj2fU909os 5V+CQPFTTWxyqkIi4N+/C5E4u8zII2nQF6YToTREfMlOk1Zfn/V3D1NMBngfXYJa UzKPVzfhuZzBi4NjVp34IeIjroXwBosYSumwggu9V1dZv767eW9EKSXyEiKPjSZG qUbok0mh/0WQMI1C4jTek9Mf9nYjBEutzhIm7VwbMqL0hrqqWkMyTpjJLVzUYT24 0GyskbMUYFLSde00GaV4etB5dMTfJvmVyZpkioPxjBEHKlHSdkVm8A== =qbP/ -----END PGP SIGNATURE-----