JPCERT-WR-2011-0301
2011-01-26
2011-01-16
2011-01-22
2011年1月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応
した Oracle Critical Patch Update Advisory - January 2011 が公開
されました。
詳細については Oracle が提供する情報を参照してください。
Oracle Technology Network
セキュリティアラート
http://www.oracle.com/technology/global/jp/deploy/security/alerts.htm
The Oracle Global Product Security Blog
January 2011 Critical Patch Update Released
http://blogs.oracle.com/security/2011/01/january_2011_critical_patch_up.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2011
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
Cisco Linksys WRT54GC にバッファオーバーフローの脆弱性
Cisco Linksys WRT54GC には、バッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が細工した HTTP リクエストを処理さ
せることで、サービス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Cisco Linksys WRT54GC ファームウェア 1.6.01 より前のバージョン
この問題は、Cisco が提供する修正済みのバージョンにファームウェア
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
独立行政法人 情報処理推進機構 セキュリティセンター
「Cisco Linksys WRT54GC」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/about/press/20110121.html
Cisco Security Center
Cisco Linksys WRT54GC HTTP String Parsing Remote Buffer Overflow Vulnerability
http://tools.cisco.com/security/center/viewAlert.x?alertId=22228
HP OpenView Storage Data Protector に脆弱性
HP OpenView Storage Data Protector には、脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行する可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- HP-UX、Solaris、Linux、Windows で動作する HP OpenView Storage
Data Protector 6.11
この問題は、HP が提供するパッチを HP OpenView Storage Data
Protector に適用することで解決します。詳細については、HP が提供
する情報を参照してください。
HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02688353
HPSBMA02625 SSRT100138 rev.1 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02688353
Lunascape における DLL 読み込みに関する脆弱性
Lunascape の DLL 読み込み処理には、脆弱性があります。結果として、
遠隔の第三者が細工した DLL を読み込ませることで、プログラムを実
行している権限で任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Lunascape 6.3.4 およびそれ以前
この問題は、開発元が提供する修正済みのバージョンに Lunascape を
更新することで解決します。
Lunascape 株式会社
Downloads
http://ja.lab.lunascape-inc.com/home/downloads
JPCERT/CC WEEKLY REPORT 2010-09-01
【1】Windows プログラムの DLL 読み込み処理に脆弱性
http://www.jpcert.or.jp/wr/2010/wr103301.html#1
CollabNet ScrumWorks Basic Server における認証情報取り扱いに関する問題
CollabNet ScrumWorks Basic Server と CollabNet ScrumWorks
Desktop Client の間では、認証情報が平文で通信される問題がありま
す。結果として、遠隔の第三者によって認証情報を閲覧される可能性が
あります。
対象となる製品は以下の通りです。
- CollabNet ScrumWorks Basic Server
2011年1月25日現在、この問題に対する解決策は提供されていません。
CollabNet によると、CollabNet ScrumWorks Basic に暗号化機能を新
たに追加する予定はありません。機密情報を取り扱う際は、CollabNet
ScrumWorks Pro の使用が推奨されています。
CollabNet
Scrum Tools - ScrumWorks Pro & ScrumWorks Basic
http://www.danube.com/scrumworks
Japan Vulnerability Notes JVN#547167
CollabNet ScrumWorks Basic Server における認証情報取り扱いに関する問題
https://jvn.jp/cert/JVNVU547167/index.html
Ruby Version Manager にエスケープシーケンスインジェクションの脆弱性
Ruby Version Manager には、エスケープシーケンスインジェクション
の脆弱性があります。結果として、遠隔の第三者が細工したファイルを
開かせることで、端末エミュレータなどの画面に出力される文字列に任
意のエスケープシーケンスを混入させる可能性があります。
対象となるバージョンは以下の通りです。
- Ruby Version Manager 1.2.1 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに Ruby Version
Manager を更新することで解決します。
WAYNE E. SEGUIN
Ruby Version Manager (RVM)
http://rvm.beginrescueend.com/
複数の Rocomotion 製品にクロスサイトスクリプティングの脆弱性
Rocomotion が提供する複数の製品には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のコードを実行する可能性があります。
この問題は、Rocomotion が提供する修正済みのバージョンに該当する
製品を更新することで解決します。詳細については、Rocomotion が提
供する情報を参照してください。
Another Rocomotion
P boardなど当サイトのPHPスクリプトをお使いの方へ
http://another.rocomotion.jp/12949466953653.html
C/C++ セキュアコーディングセミナー 2010@東京 part6 参加者募集中
JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただく「C/C++ セキュアコーディングセミナー」を開催して
います。
「C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>」
の参加申し込み受付中です。part6 では、ソースコード解析プラット
フォームである ROSE を使って開発された CERT C セキュアコーディン
グルールのチェッカーを紹介します。皆様ふるってご参加ください。
C/C++ セキュアコーディングセミナー2010@東京 part6 <ROSE>
[日時]
2011年02月24日(木) 13:30 - 18:15 (受付13:00-)
2011年03月03日(木) 13:30 - 18:15 (受付13:00-)
(両日とも同じ内容です。どちらか片方へご参加ください)
[会場] JPCERTコーディネーションセンター会議室
東京都千代田区神田錦町3-17 廣瀬ビル 11階
(MAP) https://www.jpcert.or.jp/about/img/jpcert_map.gif
[定員] 20名/回
(参加者多数の場合はお申し込み先着順となります)
[対象] C/C++言語でのソフトウェア開発に携わるプログラマ、プロ
ジェクトマネージャ、コードレビュアー、品質管理担当者、
プログラマ・エンジニアの教育担当者、等
* 東京セミナ part6 <ROSE> では、実機を使ったハンズオンを行
います。参加者は VMware あるいは Virtualbox をインストール
したノート PC をご持参ください。
なお、明日27日(木)から開催の「C/C++ セキュアコーディングセミナー
2011@札幌」では、まだ会場に少しばかり余裕があります。当日参加も
歓迎いたします。参加希望の方は直接会場までお越しください。
JPCERT/CC
C/C++ セキュアコーディングセミナー 2010 @ 東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO-application.html
JPCERT/CC
C/C++ セキュアコーディングセミナー 2011 @ 札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP-application.html
Windows DLL プリロード問題の対策ガイダンス
昨年、Microsoft Windows の DLL プリロード問題が公開されました。
これに対して、各アプリケーションにおいて DLL プリロード問題への
対策が進められています。Microsoft からはアプリケーション開発者向
けに「ライブラリを安全に ロードして DLL のプリロード攻撃を防ぐ」
が公開されています。
2011年1月20日、Windows ユーザ向けに新たなガイダンス文書「DLL プ
リロード問題の対策ガイダンス」が公開されました。こちらの文書では、
そもそも DLL プリロード問題とは何なのかという点や、Windows シス
テムを保護するための対処方法などが紹介されています。
Windows ユーザや組織内のシステムを管理している方は、これらの情報
を活用してみてはいかがでしょうか。
Microsoft TechNet Blogs > 日本のセキュリティチーム
「DLL プリロード問題の対策ガイダンス」公開!
http://blogs.technet.com/b/jpsecurity/archive/2011/01/20/3381400.aspx
Microsoft TechNet Blogs > 日本のセキュリティチーム
新たなリモートの攻撃手法に関するアドバイザリ 2269637 を公開
http://blogs.technet.com/b/jpsecurity/archive/2010/08/24/3351474.aspx
JPCERT/CC WEEKLY REPORT 2010-09-01
【今週のひとくちメモ】Windows DLL 問題の対策に関する開発者向け情報
https://www.jpcert.or.jp/wr/2010/wr103301.html#Memo
Japan Vulnerability Notes JVNVU#707943
Windows プログラムの DLL 読み込みに脆弱性
https://jvn.jp/cert/JVNVU707943/index.html