-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-2201 JPCERT/CC 2011-06-15 <<< JPCERT/CC WEEKLY REPORT 2011-06-15 >>> ―――――――――――――――――――――――――――――――――――――― ■06/05(日)〜06/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe の複数の製品に脆弱性 【2】Oracle Java に複数の脆弱性 【3】Google Chrome に複数の脆弱性 【4】Cisco IOS に脆弱性 【5】Autonomy KeyView IDOL に複数の脆弱性 【6】HP OpenView Storage Data Protector に脆弱性 【今週のひとくちメモ】Microsoft Standalone System Sweeper のベータ提供 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr112201.html https://www.jpcert.or.jp/wr/2011/wr112201.xml ============================================================================ 【1】Adobe の複数の製品に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Update for Flash Player http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_releases_security_update_for7 US-CERT Current Activity Archive Adobe Prenotification Security Advisory for Adobe Reader and Acrobat http://www.us-cert.gov/current/archive/2011/06/10/archive.html#adobe_prenotification_security_advisory_for1 概要 Adobe Acrobat、Reader、Flash Player には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、ユーザのブラ ウザ上で任意のスクリプトを実行したりする可能性があります。 この問題は、Adobe が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Adobe が提供する情報 を参照してください。 関連文書 (日本語) Adobe TechNote APSB11-13 APSB11-13: Flash Player 用セキュリティアップデート公開 http://kb2.adobe.com/jp/cps/906/cpsid_90656.html Adobe TechNote APSB11-16 APSB11-16 : Adobe Reader および Acrobat に関するセキュリティ情報の事前通知 http://kb2.adobe.com/jp/cps/907/cpsid_90735.html @police アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて https://www.npa.go.jp/cyberpolice/topics/?seq=6605 関連文書 (英語) Adobe Security bulletin Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb11-18.html 【2】Oracle Java に複数の脆弱性 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for June 2011 http://www.us-cert.gov/current/archive/2011/06/10/archive.html#oracle_issues_pre_release_announcement3 DOE-CIRC Technical Bulletin T-641 Oracle Java SE Critical Patch Update Advisory - June 2011 http://www.doecirc.energy.gov/bulletins/t-641.shtml 概要 Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 6 Update 25 およびそれ以前 - JDK/JRE 5.0 Update 29 およびそれ以前 - SDK/JRE 1.4.2_31 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。 なお、JDK 5.0 系列、SDK 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのあ る製品への移行をお勧めします。 関連文書 (日本語) Japan Vulnerability Notes JVN#29212182 Java Web Start におけるポリシーファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN29212182/index.html Japan Vulnerability Notes JVN#09206238 Java Web Start における設定ファイル読み込みに関する脆弱性 https://jvn.jp/jp/JVN09206238/index.html Japan Vulnerability Notes JVN#18680611 Java Web Start における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN18680611/index.html 独立行政法人 情報処理推進機構 セキュリティセンター 「Java Web Start」における3件のセキュリティ上の弱点(脆弱性)の注意喚起 http://www.ipa.go.jp/about/press/20110610.html JPCERT/CC Alert 2011-06-08 JPCERT-AT-2011-0015 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2011/at110015.txt 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - June 2011 http://www.oracle.com/technetwork/topics/security/javacpujune2011-313339.html The Oracle Software Security Assurance Blog June 2011 Java SE Critical Patch Update Released http://blogs.oracle.com/security/entry/june_2011_java_se_critical Red Hat Security Advisory Critical: java-1.6.0-openjdk security update https://rhn.redhat.com/errata/RHSA-2011-0856.html 【3】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Chrome Releases 12.0.742.91 http://www.us-cert.gov/current/archive/2011/06/10/archive.html#google_chrome_releases_12_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 12.0.742.91 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Chrome Stable Release http://googlechromereleases.blogspot.com/2011/06/chrome-stable-release.html 【4】Cisco IOS に脆弱性 情報源 CERT-FI Reports CERT-FI Advisory on Cisco RTP Handling http://www.cert.fi/en/reports/2011/vulnerability237997.html 概要 Cisco IOS には、Real-time Transport Protocol (RTP) パケットの処 理に起因する脆弱性があります。結果として、遠隔の第三者が細工した パケットを処理させることでサービス運用妨害 (DoS) 攻撃を行う可能 性があります。 対象となるバージョンは以下の通りです。 - DSPware ファームウェア 9.4.14 を含む Cisco IOS 12.4(15)Tx より 前のバージョン この問題は、Cisco が提供する修正済みのバージョンに Cisco IOS を 更新することで解決します。詳細については、Cisco が提供する情報を 参照してください。 関連文書 (英語) Cisco Security Intelligence Operations Cisco IOS Real-time Transport Protocol Packet Processing Denial of Service Vulnerability http://tools.cisco.com/security/center/viewAlert.x?alertId=23379 【5】Autonomy KeyView IDOL に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#126159 Autonomy Keyview IDOL contains multiple vulnerabilities in file parsers http://www.kb.cert.org/vuls/id/126159 概要 Autonomy KeyView IDOL には、ファイルのデコード処理に複数の脆弱性 があります。結果として、遠隔の第三者が細工したファイルを開かせる ことでサービス運用妨害 (DoS) 攻撃を行ったり、ユーザの権限で任意 のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Autonomy KeyView IDOL 10.13.1 より前のバージョン この問題は、Autonomy が提供する修正済みのバージョンに Autonomy KeyView IDOL を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#126159 Autonomy KeyView IDOL に複数の脆弱性 https://jvn.jp/cert/JVNVU126159/index.html 関連文書 (英語) Autonomy KeyView IDOL & Connectors http://www.autonomy.com/content/Products/idol-modules-connectors/index.en.html Autonomy Customer Support Site https://customers.autonomy.com/ 【6】HP OpenView Storage Data Protector に脆弱性 情報源 DOE-CIRC Technical Bulletin T-643 HP OpenView Storage Data Protector Unspecified Code Execution Vulnerability http://www.doecirc.energy.gov/bulletins/t-643.shtml 概要 HP OpenView Storage Data Protector には、脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - HP OpenView Storage Data Protector 6.0、6.10、6.11 この問題は、HP が提供するパッチを HP OpenView Storage Data Protector に適用することで解決します。詳細については、HP が提供 する情報を参照してください。 関連文書 (英語) HP SUPPORT COMMUNICATION - SECURITY BULLETIN c02712867 HPSBMA02631 SSRT100324 rev.1 - HP OpenView Storage Data Protector, Remote Execution of Arbitrary Code http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02712867 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Microsoft Standalone System Sweeper のベータ提供 マイクロソフトは、CD/DVD や USB メモリから起動してウイルススキャ ンや削除を行うツール Microsoft Standalone System Sweeper のベータ 提供を行っています。本ツールは PC の起動ディスクの OS に依存せず、 ウイルス感染した PC の復旧作業を行うことができます。 参考文献 (英語) Microsoft Connect Microsoft Standalone System Sweeper Beta https://connect.microsoft.com/systemsweeper ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJN+AFUAAoJEDF9l6Rp7OBIf4kIAJZbg4sGHCCsYy5/EMPbUhI1 wut1ijgb9W/B2OOCT6m2Q5cEmeJw1L+kpxoeP1xhYEbYrLgLDL4MX/3fHK4iNBM8 wR4A1gQl2HZTwcH+YdJP9tluaIch9WA9sng5PwhaN+vbsKznzZWNfbNN9icxzMq8 9If+0FpzmmlvSuHJ6aO7aTiYDrSjbgEKykOIA5KW07cSJV7b24HSQaYMXL/gjxQt g4X/6A1YhOYKkoxGD8FlFGbWsckJ2TU+3OsWzZgS1SdhzThLmETaRRI1N3CHyml2 RPcdXtMFMJge4rM9dfH3vHZChOnqXhsHPM+30XBZ22LHSFRoAooS3IfvJfcxU9g= =laTM -----END PGP SIGNATURE-----