2009年10月 Oracle Critical Patch Update について

JPCERT-WR-2009-4101 2009-10-28 2009-10-18 2009-10-24

2009年10月 Oracle Critical Patch Update について US-CERT Technical Cyber Security Alert TA09-294A Oracle Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA09-294A.html DOE-CIRC Technical Bulletin T-255 Oracle Critical Patch Update Advisory http://www.doecirc.energy.gov/bulletins/t-255.shtml

Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。この問題は、Oracle が提供するパッチを該当する製品に適用することで解決します。詳細については Oracle が提供する情報を参照してください。なお、次回の Oracle Critical Patch Update は、2010年1月にリリースされる予定です。

Oracle internet Support Center [CPUOct2009] Oracle Critical Patch Update Advisory - October 2009 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=137451 Oracle Technology Network Critical Patch Update - October 2009 http://www.oracle.com/technology/global/jp/security/091023_88/top.html Japan Vulnerability Notes JVNTA09-294A Oracle 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA09-294A/index.html Oracle Technology Network Oracle Critical Patch Update Advisory - October 2009 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html

VMware 製品群に脆弱性 VMware Security Announcements VMSA-2009-0014 VMware ESX patches for DHCP, Service Console kernel, and JRE resolve multiple security issues http://lists.vmware.com/pipermail/security-announce/2009/000067.html

VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - VMware ESXi 4.0 - VMware ESX 4.0 - VMware ESX 3.5 - VMware ESX 3.0.3 - VMware Server 2.0 - VMware vCenter 4.0 - VMware VirtualCenter 2.0.2 - VMware VirtualCenter 2.5 この問題は、VMware が提供する修正済みのバージョンに該当する製品を更新することで解決します。2009年10月27日現在、一部のバージョンについては修正版が提供されていません。詳細については、VMware が提供する情報を参照してください。

キヤノンITソリューションズの ACCESSGUARDIAN にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#33822756 キヤノンITソリューションズ製 ACCESSGUARDIAN におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN33822756/index.html

キヤノンITソリューションズの ACCESSGUARDIAN には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - ACCESSGUARDIAN Version 3.0.14 およびそれ以前 - ACCESSGUARDIAN Version 3.5.6 およびそれ以前この問題は、キヤノンITソリューションズが提供する修正済みのバージョンに ACCESSGUARDIAN を更新することで解決します。詳細については、キヤノンITソリューションズが提供する情報を参照してください。

キヤノンITソリューションズ ACCESSGUARDIAN認証処理におけるクロスサイトスクリプティング脆弱性の問題について http://canon-its.jp/guardian/topics/200910ag.html

マイクロソフト社を騙るマルウエア添付メールに関する注意喚起 JPCERT/CC Alert 2009-10-20 JPCERT-AT-2009-0022 マイクロソフト社を騙るマルウエア添付メールに関する注意喚起 https://www.jpcert.or.jp/at/2009/at090022.txt

マイクロソフト社のサポートを騙る不審なメールが大量に出回っています。このメールに添付されたファイルをユーザが展開、実行すると、ユーザのコンピュータにマルウエアがインストールされる可能性があります。不審と思われるメールは、ウイルス対策ソフトでスキャンしたり、破棄したりするなど十分に注意してください。

US-CERT Current Activity Archive Malware Spam Messages Related to Microsoft Outlook, SSL Certificates http://www.us-cert.gov/current/archive/2009/10/23/archive.html#malware_circulating_via_spam_messages

Web サイト改ざん報告の拡大について JPCERT/CC では先週末より、JPCERT/CC Alert 2009-05-19 「JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起」で注意喚起を行った Gumblar/JSRedir-R に類似した Web サイト改ざんの報告を多数受領しています。今回は、JavaScript を直接埋め込まず、他のサイトに設置された JavaScript へのリンクを埋め込んでいるという特徴があります。改ざんされたサイトを閲覧すると Adobe Reader や Acrobat などの複数のソフトウエアの既知の脆弱性を悪用し、マルウエアをインストールしようとします。 Windows など OS だけでなく利用しているソフトウエアを最新の状態を保ち、既知の脆弱性を悪用されないように注意してください。また、 Web サイト管理者は、管理する Web ページに意図しないリンクが埋め込まれるなど、改ざんが発生していないか確認してください。 JPCERT/CC Alert 2009-05-19 JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起 http://www.jpcert.or.jp/at/2009/at090010.txt