Cisco IOS XR のパケット処理に脆弱性

JPCERT-WR-2012-2101 2012-06-06 2012-05-27 2012-06-02

Cisco IOS XR のパケット処理に脆弱性 JC3-CIRC Technical Bulletin U-180 Cisco IOS XR Packet Processing Flaw http://circ.jc3.doe.gov/bulletins/U-180.shtml

Cisco IOS XR のパケット処理には、脆弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。対象となるバージョンは以下の通りです。 - Cisco IOS XR バージョン 4.0.3、4.0.4、4.1.0、4.1.1、4.1.2 及び 4.2.0 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新することで解決します。詳細については、Cisco が提供する情報を参照して下さい。

Cisco Security Advisory Cisco IOS XR Software Route Processor Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20120530-iosxr

VMware vMA に脆弱性 JC3-CIRC Technical Bulletin U-178 VMware vMA Library Loading Error Lets Local Users Gain Elevated Privileges http://circ.jc3.doe.gov/bulletins/U-178.shtml

VMware vMA には脆弱性があります。結果として、ローカルユーザが権限を昇格する可能性があります。対象となるバージョンは以下の通りです。 - VMware vMA バージョン 4.0、4.1、5 Patch 1 (5.0.0.1) この問題は、VMware が提供する修正済みのバージョン 5.0 Patch 2 (5.0.0.2) に更新することで解決します。詳細については、VMwareが提供する情報を参照して下さい。

VMware Security Advisories & Certifications http://www.vmware.com/security/advisories/VMSA-2012-0010.html

IBM WebSphere Application Server に脆弱性 JC3-CIRC Technical Bulletin U-181 IBM WebSphere Application Server Information Disclosure Vulnerability http://circ.jc3.doe.gov/bulletins/U-181.shtml

IBM WebSphere Application Server には脆弱性があります。結果として、遠隔の第三者が機密情報を取得する可能性があります。対象となるバージョンは以下の通りです。 - IBM WebSphere Application Server 6.1.x - IBM WebSphere Application Server 7.0.x - IBM WebSphere Application Server 8.0.x この問題は、IBM が提供する修正済みのバージョンに WebSphere Application Server を更新することで解決します。詳細については、IBM が提供する情報を参照して下さい。

IBM Security Bulletin: Security Vulnerabilities fixed in IBM WebSphere Application Server 7.0.0.23 http://www-304.ibm.com/support/docview.wss?uid=swg21595172

Segue に複数の脆弱性 Japan Vulnerability Notes JVN#29083866 Segue におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN29083866/index.html Japan Vulnerability Notes JVN#97995841 Segue における SQL インジェクションの脆弱性 https://jvn.jp/jp/JVN97995841/index.html

Segue には、複数の脆弱性があります。結果として、遠隔の第三者が認証を回避して管理者としてログインしたり、ユーザのブラウザ上で任意のスクリプトを実行したりする可能性があります。対象となるシステムは以下の通りです。 - Segue 開発元によると Segue は、2012年8月31日をもって開発を終了するとのことです。別の製品への移行を検討してください。

独立行政法人情報処理推進機構 (IPA) 「Segue」におけるクロスサイト・スクリプティングの脆弱性 http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000052.html 独立行政法人情報処理推進機構 (IPA) 「Segue」における SQL インジェクションの脆弱性 http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000053.html Segue Project Page Segue V2 https://segue.middlebury.edu/view/html/site/segue

マイクロソフトセキュリティインテリジェンスレポート第12版マイクロソフトは、2011年下半期の脆弱性やマルウエア動向についてまとめた、マイクロソフトセキュリティインテリジェンスレポートを公開しました。セキュリティインテリジェンスレポートは、半年ごとに公開されており、今回は第12 版となります。今回のレポートでは、特集記事として "How Conficker continues to propagate" と "Determined Adversaries and Targeted Attacks" という章が設けられています。また、スペシャルエディションとして英語版で公開されていた「Rustock の脅威との闘い」および「マルウェアの進化と脅威の状況 - 10年間の振り返り」が日本語版として公開されています。マイクロソフトセキュリティホームマイクロソフトセキュリティインテリジェンスレポート http://www.microsoft.com/japan/security/contents/sir.mspx Microsoft Security Intelligence Report (SIR) vol.12 http://www.microsoft.com/security/sir/default.aspx