JPCERT-WR-2009-4101
2009-10-28
2009-10-18
2009-10-24
2009年10月 Oracle Critical Patch Update について
Oracle 製品およびそのコンポーネントには、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取
得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり
ます。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。詳細については Oracle が提供する情報を参照してくだ
さい。
なお、次回の Oracle Critical Patch Update は、2010年1月にリリー
スされる予定です。
Oracle internet Support Center
[CPUOct2009] Oracle Critical Patch Update Advisory - October 2009
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=137451
Oracle Technology Network
Critical Patch Update - October 2009
http://www.oracle.com/technology/global/jp/security/091023_88/top.html
Japan Vulnerability Notes JVNTA09-294A
Oracle 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA09-294A/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html
VMware 製品群に脆弱性
VMware 製品群には、複数の脆弱性があります。結果として遠隔の第三
者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- VMware ESXi 4.0
- VMware ESX 4.0
- VMware ESX 3.5
- VMware ESX 3.0.3
- VMware Server 2.0
- VMware vCenter 4.0
- VMware VirtualCenter 2.0.2
- VMware VirtualCenter 2.5
この問題は、VMware が提供する修正済みのバージョンに該当する製品
を更新することで解決します。2009年10月27日現在、一部のバージョン
については修正版が提供されていません。詳細については、VMware が
提供する情報を参照してください。
キヤノンITソリューションズの ACCESSGUARDIAN にクロスサイトスクリプティングの脆弱性
キヤノンITソリューションズの ACCESSGUARDIAN には、クロスサイトス
クリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- ACCESSGUARDIAN Version 3.0.14 およびそれ以前
- ACCESSGUARDIAN Version 3.5.6 およびそれ以前
この問題は、キヤノンITソリューションズが提供する修正済みのバージョ
ンに ACCESSGUARDIAN を更新することで解決します。詳細については、
キヤノンITソリューションズが提供する情報を参照してください。
キヤノンITソリューションズ
ACCESSGUARDIAN認証処理におけるクロスサイトスクリプティング脆弱性の問題について
http://canon-its.jp/guardian/topics/200910ag.html
マイクロソフト社を騙るマルウエア添付メールに関する注意喚起
マイクロソフト社のサポートを騙る不審なメールが大量に出回っていま
す。このメールに添付されたファイルをユーザが展開、実行すると、ユー
ザのコンピュータにマルウエアがインストールされる可能性があります。
不審と思われるメールは、ウイルス対策ソフトでスキャンしたり、破棄
したりするなど十分に注意してください。
US-CERT Current Activity Archive
Malware Spam Messages Related to Microsoft Outlook, SSL Certificates
http://www.us-cert.gov/current/archive/2009/10/23/archive.html#malware_circulating_via_spam_messages
Web サイト改ざん報告の拡大について
JPCERT/CC では先週末より、JPCERT/CC Alert 2009-05-19
「JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起」
で注意喚起を行った Gumblar/JSRedir-R に類似した Web サイト改ざん
の報告を多数受領しています。今回は、JavaScript を直接埋め込まず、
他のサイトに設置された JavaScript へのリンクを埋め込んでいるとい
う特徴があります。
改ざんされたサイトを閲覧すると Adobe Reader や Acrobat などの複
数のソフトウエアの既知の脆弱性を悪用し、マルウエアをインストール
しようとします。
Windows など OS だけでなく利用しているソフトウエアを最新の状態を
保ち、既知の脆弱性を悪用されないように注意してください。また、
Web サイト管理者は、管理する Web ページに意図しないリンクが埋め
込まれるなど、改ざんが発生していないか確認してください。
JPCERT/CC Alert 2009-05-19
JavaScript が埋め込まれる Web サイトの改ざんに関する注意喚起
http://www.jpcert.or.jp/at/2009/at090010.txt