脆弱性に関する情報(8/13)
■ 2009 年 8 月のセキュリティ情報 (Microsoft, 8/12)
昨日出ました。緊急5件、重要4件。しかし、世間はお盆休み直前(あるいはお休みまっただ中)。
緊急5件:
- MS09-037 Microsoft ATL (Active Template Library) の脆弱性により、リモートでコードが実行される (973908)
- MS09-038 Windows Media ファイル処理における脆弱性により、リモートでコードが実行される (971557)
- MS09-039 WINS の脆弱性により、リモートでコードが実行される (969883)
- MS09-043 Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
- MS09-044 リモート デスクトップ接続の脆弱性により、リモートでコードが実行される (970927)
重要4件:
- MS09-036 Microsoft Windows の ASP.NET の脆弱性により、サービス拒否が起こる (970957)
- MS09-040 メッセージ キューの脆弱性により、特権が昇格される (971032)
- MS09-041 ワークステーション サービスの脆弱性により、特権が昇格される (971657)
- MS09-042 Telnet の脆弱性により、リモートでコードが実行される (960859)
関連:
- JVNTA09-223A 緊急 Microsoft 製品における複数の脆弱性に対するアップデート (JVN, 8/12)
- 2009年8月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 (JPCERT/CC, 8/12)
- Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について (IPA, 8/12)
- Microsoft ATL の脆弱性(MS09-037)について (IPA, 8/12)
- Microsoft Office Web コンポーネント の脆弱性(MS09-043)について (IPA, 8/12)
- 2009年8月12日のセキュリティ情報 (日本のセキュリティチーム, 8/12)
- 8月のMSパッチ、企業ユーザーは緊急3件の適用に留意を (ITmedia, 8/12)
■ Javaの更新版リリース、多数の脆弱性とバグを解決 (ITmedia, 8/5)
■ JVNVU#817433 複数の XML ライブラリの実装に脆弱性 (JVN, 8/6)
CERT-FI のアドバイザリによると、以下の実装が影響を受けることが確認されています:
* Python libexpat
* Apache Xerces すべてのバージョン
* Sun JDK および JRE 6 Update 14 およびそれ以前
* Sun JDK および JRE 5.0 Update 19 およびそれ以前その他の実装も影響を受ける可能性があります。
各ベンダの情報を確認し、アップデートしましょう。
■ JVNTA09-218A 緊急 Apple 製品における複数の脆弱性に対するアップデート (JVN, 8/7)
「Mac OS X 10.5.8」「セキュリティアップデート2009-003」でた。
関連:
■ Mac OS Xのセキュリティアップデートが公開、BINDの脆弱性に対処 (ITmedia, 8/13)
8月12日付けで「Security Update 2009-004」も出た。BINDに起因する1件の脆弱性を修正。
■ Apple、Safariブラウザの更新版を公開 (ITmedia, 8/12)
Safari 4.0.3 登場。6件の脆弱性直した。
Apple:Safari 4.0.3 のセキュリティコンテンツについて (Apple, 8/11)
■ WordPressに未解決の脆弱性、パッチは開発中 (ITmedia, 8/12)
リモートのユーザーが管理用パスワードをリセットすることができるらしい。
■ JVN#89791790 FreeNAS におけるクロスサイトスクリプティングの脆弱性 、および、JVN#15267895 FreeNAS におけるクロスサイトリクエストフォージェリの脆弱性 (JVN, 8/5)
最新版へアップデートすればよい。
関連:
■ ■ Subversion clients and servers up to 1.6.3 (inclusive) have heap overflow issues in the parsing of binary deltas (subversion.tigris.org, 2009.08.07) (セキュリティホールmemo, 8/11)
Subversion 1.5.6 以前、および 1.6.0〜1.6.3 に欠陥。APR / APR-util の欠陥 CVE-2009-2412 に関連した欠陥があり、remote の認証済みユーザによって任意のコードを実行できる。 CVE-2009-2411
Subversion 1.5.7 / 1.6.4 で修正されている。また、Subversion 1.5.x / 1.6.x 用の patch が添付されている。