-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-3001 JPCERT/CC 2011-08-10 <<< JPCERT/CC WEEKLY REPORT 2011-08-10 >>> ―――――――――――――――――――――――――――――――――――――― ■07/31(日)〜08/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple QuickTime に複数の脆弱性 【2】Google Chrome に複数の脆弱性 【3】WordPress の TimThumb スクリプトに脆弱性 【4】IBM Lotus Symphony に複数の脆弱性 【5】Cisco TelePresence Recording Server Software に脆弱性 【6】MapServer に複数の脆弱性 【今週のひとくちメモ】Java SE 6 サポート終了に備えて ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr113001.html https://www.jpcert.or.jp/wr/2011/wr113001.xml ============================================================================ 【1】Apple QuickTime に複数の脆弱性 情報源 US-CERT Current Activity Archive Apple Releases QuickTime 7.7 http://www.us-cert.gov/current/archive/2011/08/04/archive.html#apple_releases_quicktime_7_7 概要 Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工したファイルを閲覧させることで任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下のとおりです。 - Apple QuickTime 7.7 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに QuickTime を 更新することで解決します。 関連文書 (日本語) Apple Download QuickTime 7.7 (Leopard) http://support.apple.com/kb/DL761?viewlocale=ja_JP Apple Download QuickTime 7.7 (Windows) http://support.apple.com/kb/DL837?viewlocale=ja_JP Japan Vulnerability Notes JVNVU#610235 Apple Quicktime における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU610235/index.html 関連文書 (英語) Apple Support HT4826 About the security content of QuickTime 7.7 http://support.apple.com/kb/HT4826?viewlocale=en_US 【2】Google Chrome に複数の脆弱性 情報源 US-CERT Current Activity Archive Google Releases Chrome 13.0.782.107 http://www.us-cert.gov/current/archive/2011/08/04/archive.html#google_releases_chrome_13_0 概要 Google Chrome には、複数の脆弱性があります。対象となるバージョン は以下の通りです。 - Google Chrome 13.0.782.107 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更新することで解決します。 関連文書 (英語) Google Chrome Releases Stable Channel Update http://googlechromereleases.blogspot.com/2011/08/stable-channel-update.html 【3】WordPress の TimThumb スクリプトに脆弱性 情報源 US-CERT Current Activity Archive WordPress Themes Vulnerability http://www.us-cert.gov/current/archive/2011/08/04/archive.html#wordpress_themes_vulnerability 概要 WordPress で使用されている PHP スクリプト TimThumb には、脆弱性 があります。結果として、遠隔の第三者が任意の PHP コードをサイト にアップロードする可能性があります。 対象となるバージョンは以下の通りです。 - TimThumb 2.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに TimThumb を更 新することで解決します。詳細については、配布元が提供する情報を参 照してください。 関連文書 (英語) timthumb project timthumb http://code.google.com/p/timthumb/ MM Zero Day Vulnerability in many WordPress Themes http://markmaunder.com/2011/zero-day-vulnerability-in-many-wordpress-themes/ MM WordThumb is now TimThumb 2.0 http://markmaunder.com/2011/wordthumb-is-now-timthumb-2-0/ 【4】IBM Lotus Symphony に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-681 IBM Lotus Symphony Multiple Unspecified Vulnerabilities http://www.doecirc.energy.gov/bulletins/t-681.shtml 概要 IBM Lotus Symphony には、複数の脆弱性があります。結果として、遠 隔の第三者がサービス運用妨害 (DoS) 攻撃を行うなどの可能性があり ます。 対象となるバージョンは以下の通りです。 - Fix Pack 3 未適用の IBM Lotus Symphony 3 この問題は、IBM が提供する Fix Pack を IBM Lotus Symphony に適用 することで解決します。詳細については、IBM が提供する情報を参照し てください。 関連文書 (英語) IBM IBM Lotus Symphony 3 Fix Pack 3 Release Notes http://www-03.ibm.com/software/lotus/symphony/idcontents/releasenotes/en/readme_fixpack3_standalone_long.htm IBM Lotus Symphony Announcements http://www-03.ibm.com/software/lotus/symphony/buzz.nsf/web_DisPlayPlugin?open&unid=9717F6F587AAA939852578D300404BCF&category=announcements IBM IBM Lotus Symphony 3 Embedded in Lotus Notes Fix Pack 3 Quick Installation Instructions https://www-304.ibm.com/support/docview.wss?uid=swg21505448 【5】Cisco TelePresence Recording Server Software に脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Security Advisory and Applied Mitigation Bulletin http://www.us-cert.gov/current/archive/2011/08/04/archive.html#cisco_releases_security_advisory_and 概要 Cisco TelePresence Recording Server Software には、脆弱性があり ます。結果として、セキュリティ制限を回避したり、デバイスの設定を 変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - Cisco TelePresence Recording Server Software 1.7.2.0 この問題は、Cisco が提供する修正済みのバージョンに Cisco TelePresence Recording Server Software を更新することで解決しま す。詳細については、Cisco が提供する情報を参照してください。 関連文書 (英語) Cisco Security Advisory 113167 Cisco TelePresence Recording Server Default Credentials for Root Account Vulnerability http://www.cisco.com/en/US/products/products_security_advisory09186a0080b8ad3f.shtml Cisco Applied Mitigation Bulletin 113168 Identifying and Mitigating Exploitation of the Default Credentials for Root Account on Cisco TelePresence Recording Server http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b8ad40.html 【6】MapServer に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-682 Double free vulnerability in MapServer http://www.doecirc.energy.gov/bulletins/t-682.shtml 概要 MapServer には、複数の脆弱性があります。結果として、遠隔の第三者 が MapServer で管理している情報を変更したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - MapServer 6.0.1 より前の 6.x 系 - MapServer 5.6.7 より前の 5.x 系 - MapServer 4.10.7 より前の 4.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに MapServer を更新することで解決します。詳細については ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) MapServer.org 2011-07-13 - MapServer 6.0.1, 5.6.7 and 4.10.7 are released with security fixes http://mapserver.org/ MapServer.org [mapserver-users] MapServer 6.0.1, 5.6.7 and 4.10.7 releases with security fixes http://lists.osgeo.org/pipermail/mapserver-users/2011-July/069430.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java SE 6 サポート終了に備えて 2011年7月28日、Oracle から Java SE 7 がリリースされました。 サポートポリシーに従って、Java SE 6 は 2012年7月で EOL とされる予 定です。 Java を使用したサービス提供者や開発者の方は、今後のアップデート予 定について検討しておくことをおすすめします。 参考文献 (日本語) JPCERT/CC WEEKLY REPORT 2009-09-09 【今週のひとくちメモ】J2SE 5.0 サポート終了 https://www.jpcert.or.jp/wr/2009/wr093501.html#Memo 参考文献 (英語) Oracle Technology Network Java SE EOL Policy http://www.oracle.com/technetwork/java/eol-135779.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOQdWHAAoJEDF9l6Rp7OBI5aUH/AtZILKCMDExwaqW+A9TrrSc 6osqdAnrts8/0EpSYnvfrJZdAcu/t4eI0jGSkYJdsDMSzKbx+6zIYXfkca7X/0iZ baEUIj6+ZDHufgRBFPrhCxYhW/XSM4nxEbe+dpKr6KWk9FA4O45rA5CB+vPp58Ug xIkcm46Ak3kw43ZNr9Zur48TmH3dtFVxeDUJVpnTknGca183VQ6wLTEwnNYwM/ZM 943pu9DxD1EY2cq0dXfGiRwZPbjqfkdNPuzurwGgVLDFGz4PrH+nLgHAZMuRrDSA dLXAYZhNd34vKZdYXxQ2XsOCZY3Kuzgt+y8M1HoLHX/MZd7NbE78aRxKGtWdZZQ= =yz08 -----END PGP SIGNATURE-----