<<< JPCERT/CC WEEKLY REPORT 2011-08-10 >>>
■07/31(日)〜08/06(土) のセキュリティ関連情報
目 次
【1】Apple QuickTime に複数の脆弱性
【2】Google Chrome に複数の脆弱性
【3】WordPress の TimThumb スクリプトに脆弱性
【4】IBM Lotus Symphony に複数の脆弱性
【5】Cisco TelePresence Recording Server Software に脆弱性
【6】MapServer に複数の脆弱性
【今週のひとくちメモ】Java SE 6 サポート終了に備えて
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr113001.txt
https://www.jpcert.or.jp/wr/2011/wr113001.xml
【1】Apple QuickTime に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases QuickTime 7.7
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#apple_releases_quicktime_7_7
概要
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工したファイルを閲覧させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime 7.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに QuickTime を 更新することで解決します。
関連文書 (日本語)
Apple Download
QuickTime 7.7 (Leopard)
http://support.apple.com/kb/DL761?viewlocale=ja_JPApple Download
QuickTime 7.7 (Windows)
http://support.apple.com/kb/DL837?viewlocale=ja_JPJapan Vulnerability Notes JVNVU#610235
Apple Quicktime における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU610235/index.html
関連文書 (英語)
Apple Support HT4826
About the security content of QuickTime 7.7
http://support.apple.com/kb/HT4826?viewlocale=en_US
【2】Google Chrome に複数の脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 13.0.782.107
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#google_releases_chrome_13_0
概要
Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 13.0.782.107 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html
【3】WordPress の TimThumb スクリプトに脆弱性
情報源
US-CERT Current Activity Archive
WordPress Themes Vulnerability
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#wordpress_themes_vulnerability
概要
WordPress で使用されている PHP スクリプト TimThumb には、脆弱性 があります。結果として、遠隔の第三者が任意の PHP コードをサイト にアップロードする可能性があります。 対象となるバージョンは以下の通りです。 - TimThumb 2.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに TimThumb を更 新することで解決します。詳細については、配布元が提供する情報を参 照してください。
関連文書 (英語)
timthumb project
timthumb
http://code.google.com/p/timthumb/MM
Zero Day Vulnerability in many WordPress Themes
http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/MM
WordThumb is now TimThumb 2.0
http://markmaunder.com/2011/wordthumb-is-now-timthumb-2-0/
【4】IBM Lotus Symphony に複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-681
IBM Lotus Symphony Multiple Unspecified Vulnerabilities
http://www.doecirc.energy.gov/bulletins/t-681.shtml
概要
IBM Lotus Symphony には、複数の脆弱性があります。結果として、遠 隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があり ます。 対象となるバージョンは以下の通りです。 - Fix Pack 3 未適用の IBM Lotus Symphony 3 この問題は、IBM が提供する Fix Pack を IBM Lotus Symphony に適用 することで解決します。詳細については、IBM が提供する情報を参照し てください。
関連文書 (英語)
IBM
IBM Lotus Symphony 3 Fix Pack 3 Release Notes
http://www-03.ibm.com/software/lotus/symphony/idcontents/releasenotes/en/readme_fixpack3_standalone_long.htmIBM Lotus Symphony
Announcements
http://www-03.ibm.com/software/lotus/symphony/buzz.nsf/web_DisPlayPlugin?open&unid=9717F6F587AAA939852578D300404BCF&category=announcementsIBM
IBM Lotus Symphony 3 Embedded in Lotus Notes Fix Pack 3 Quick Installation Instructions
https://www-304.ibm.com/support/docview.wss?uid=swg21505448
【5】Cisco TelePresence Recording Server Software に脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Security Advisory and Applied Mitigation Bulletin
http://www.us-cert.gov/current/archive/2011/08/04/archive.html#cisco_releases_security_advisory_and
概要
Cisco TelePresence Recording Server Software には、脆弱性があり ます。結果として、セキュリティ制限を回避したり、デバイスの設定を 変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - Cisco TelePresence Recording Server Software 1.7.2.0 この問題は、Cisco が提供する修正済みのバージョンに Cisco TelePresence Recording Server Software を更新することで解決しま す。詳細については、Cisco が提供する情報を参照してください。
関連文書 (英語)
Cisco Security Advisory 113167
Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8ad3f.shtmlCisco Applied Mitigation Bulletin 113168
Identifying and Mitigating Exploitation of the Default Credentials for Root Account on Cisco TelePresence Recording Server
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b8ad40.html
【6】MapServer に複数の脆弱性
情報源
DOE-CIRC Technical Bulletin T-682
Double free vulnerability in MapServer
http://www.doecirc.energy.gov/bulletins/t-682.shtml
概要
MapServer には、複数の脆弱性があります。結果として、遠隔の第三者 が MapServer で管理している情報を変更したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - MapServer 6.0.1 より前の 6.x 系 - MapServer 5.6.7 より前の 5.x 系 - MapServer 4.10.7 より前の 4.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに MapServer を更新することで解決します。詳細については ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
MapServer.org
2011-07-13 - MapServer 6.0.1, 5.6.7 and 4.10.7 are released with security fixes
http://mapserver.org/MapServer.org
[mapserver-users] MapServer 6.0.1, 5.6.7 and 4.10.7 releases with security fixes
http://lists.osgeo.org/pipermail/mapserver-users/2011-July/069430.html
■今週のひとくちメモ
○Java SE 6 サポート終了に備えて
2011年7月28日、Oracle から Java SE 7 がリリースされました。 サポートポリシーに従って、Java SE 6 は 2012年7月で EOL とされる予 定です。 Java を使用したサービス提供者や開発者の方は、今後のアップデート予 定について検討しておくことをおすすめします。
参考文献 (日本語)
JPCERT/CC WEEKLY REPORT 2009-09-09
【今週のひとくちメモ】J2SE 5.0 サポート終了
https://www.jpcert.or.jp/wr/2009/wr093501.html#Memo
参考文献 (英語)
Oracle Technology Network
Java SE EOL Policy
http://www.oracle.com/technetwork/java/eol-135779.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/