JPCERT-WR-2011-3701
2011-09-28
2011-09-18
2011-09-24
Adobe Flash Player に複数の脆弱性
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔
の第三者が細工したコンテンツをユーザに開かせることで任意のコード
を実行したり、ユーザのブラウザ上で任意のスクリプトを実行したりす
る可能性があります。なお、Adobe によると、本脆弱性を使用した攻撃
活動が確認されています。
対象となる製品およびバージョンは以下の通りです。
- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player
10.3.183.7 およびそれ以前
- Android 版 Adobe Flash Player 10.3.186.6 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash
Player を更新することで解決します。詳細については、Adobe が提供す
る情報を参照してください。
なお、本脆弱性は Adobe Reader、Acrobat に含まれる Adobe Flash
Player も影響を受けますが、JPCERT/CC WEEKLY REPORT 2011-09-22 号
【2】「Adobe の複数の製品に脆弱性」で紹介した、2011年9月13日に公
開された Adobe Reader、Acrobat の最新のバージョンで修正されていま
す。
Adobe セキュリティ速報
APSB11-26: Adobe Flash Player に関するセキュリティアップデート公開
http://www.adobe.com/jp/joc/security/apsb11-26.html
@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=7686
JPCERT/CC Alert 2011-09-22 JPCERT-AT-2011-0026
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110026.html
JPCERT/CC WEEKLY REPORT 2011-09-22
【2】Adobe の複数の製品に脆弱性
https://www.jpcert.or.jp/wr/2011/wr113601.html#2
Adobe - Security Bulletins
APSB11-24: Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-24.html
Google Chrome に複数の脆弱性
Google Chrome には、複数の脆弱性があります。対象となるバージョン
は以下の通りです。
- Google Chrome 14.0.835.186 より前のバージョン
この問題は、Google が提供する修正済みのバージョンに Google
Chrome を更新することで解決します。なお、Google Chrome
14.0.835.186 には、上記【1】「Adobe Flash Player に複数の脆弱性」
の問題に対する修正が含まれます。
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_20.html
Google Chrome Releases
Stable Channel Update
http://googlechromereleases.blogspot.com/2011/09/stable-channel-update_16.html
libpng の cHRM チャンク処理に脆弱性
libpng には、cHRM チャンクの処理に起因する脆弱性があります。結果
として、遠隔の第三者が細工した PNG ファイルを開かせることでサービ
ス運用妨害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- libpng-1.5.4
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに libpng を更新することで解決します。
Japan Vulnerability Notes JVNVU#477046
libpng における cHRM チャンクの処理に脆弱性
https://jvn.jp/cert/JVNVU477046/index.html
PNG Development Group
PNG reference library: libpng
http://sourceforge.net/projects/libpng/files/
PNG Development Group
[png-mng-announce] libpng-1.5.5 is available
http://sourceforge.net/mailarchive/message.php?msg_id=28126826
Cisco Identity Services Engine に脆弱性
Cisco Identity Services Engine には、脆弱性があります。結果とし
て、遠隔の第三者がデバイスの設定を変更したり、任意の操作を行った
りする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Cisco Identity Services Engine 1.0.4.MR2 より前のバージョン
この問題は、Cisco が提供する修正済みのバージョンに、Cisco
Identity Services を更新することで解決します。なお、修正済みのバー
ジョンは 2011年9月30日 (米国時間) に公開する予定とのことです。詳
細については、Cisco が提供する情報を参照してください。
Cisco Security Advisory cisco-sa-20110920-ise
Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/cisco/web/support/JP/110/1108/1108580_cisco-sa-20110920-ise-j.html
Cisco Security Advisory cisco-sa-20110920-ise
Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b95105.shtml
Cisco Applied Mitigation Bulletin 113257
Identifying and Mitigating Exploitation of the Cisco Identity Services Engine Database Default Credentials Vulnerability
http://www.cisco.com/en/US/products/products_applied_mitigation_bulletin09186a0080b95110.html
AmmSoft ScriptFTP にバッファオーバーフローの脆弱性
AmmSoft ScriptFTP には、バッファオーバーフローの脆弱性があります。
結果として、遠隔の第三者がプログラムを実行している権限で任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となるバージョンは以下の通りです。
- AmmSoft ScriptFTP 3.3
なお、他のバージョンも影響を受ける可能性があります。
2011年9月27日現在、この問題に対する解決策は提供されていません。回
避策としては、信頼できない FTP サーバにアクセスしない、Enhanced
Mitigation Experience Toolkit (EMET) を利用する、Data Execution
Prevention (DEP) を有効にするなどの方法があります。
Japan Vulnerability Notes JVNVU#440219
AmmSoft ScriptFTP にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU440219/index.html
AmmSoft
Automated FTP client. ScriptFTP
http://www.scriptftp.com/
Apache HTTP Server の脆弱性 (CVE-2011-3192) の対策はお済みですか?
Web インタフェースを実装する様々な製品で、Apache HTTP Server が使
用されています。これらの製品では、先日公開された Apache HTTP
Server の脆弱性 (CVE-2011-3192) の影響を受ける可能性があり、開発
ベンダーは対策版の提供を順次行っています。
利用している製品が影響を受けないか、またベンダから対策版が提供さ
れていないか確認し、適切な対処を実施してください。
Japan Vulnerability Notes JVNVU#405811
Apache HTTPD サーバにサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU405811/index.html
SonicWall Japan
SonicWALL SSL-VPN 製品と CVE-2011-3192 脆弱性について
http://www.fuzeqna.com/sonicwalljp/consumer/kbdetail.asp?kbid=4280&catID1=456&start=11
Oracle
CVE-2011-3192 Denial of Service (DoS) vulnerability in Apache HTTP Server
http://blogs.oracle.com/sunsecurity/entry/cve_2011_3192_denial_of
Check Point Support Center
Check Point Response to Apache HTTP Server CVE-2011-3192 Denial Of Service Vulnerability
https://supportcenter.checkpoint.com/supportcenter/portal?eventSubmit_doGoviewsolutiondetails=&solutionid=sk65222