10月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコ製品に複数の脆弱性

■CiscoWorks 共通サービス（2011/10/19）

　Windows版CiscoWorks共通サービス（Common Services）には、認証された攻撃者がシステム管理者権限を使用して、該当するシステム上で任意のコマンドを実行できる脆弱性（CVE-2011-3310）が存在します。脆弱性は、共通サービスのWebサーバーモジュールの入力処理に存在し、Webサーバーモジュールは、ポート番号は443/TCPあるいは、1741/TCPをデフォルトで利用します。

■Cisco Show and Share（2011/10/19）

　Cisco Show and ShareのWebキャストと動画共有アプリケーションには、認証処理を必要とせずに管理者用Webページへのアクセスを許してしまう脆弱性（CVE-2011-2584）、認証された攻撃者にWebサーバーのユーザー権限での任意のコマンド実行を許してしまう脆弱性（CVE-2011-2585）が存在します。

[参考情報]

• シスコ：cisco-sa-20111019-cs: CiscoWorks Common Services Arbitrary Command Execution Vulnerability
• シスコ：cisco-sa-20111019-sns: Cisco Show and Share Security Vulnerabilities

オラクル2011年10月の四半期セキュリティアップデート（2011/10/18）

　Critical Patch Update - October 2011には、Oracle Database Server系5件、Oracle Fusion Middleware系10件（5件）、Oracle Applications系16件 [Oracle E-Business Suite系5件（3件）、Oracle Supply Chain Products Suite系1件（1件）、Oracle PeopleSoft系7件、Oracle Siebel CRM系3件（1件）]、Oracle Industry Applications系2件（2件）、Oracle Sun Products Suite系22件（9件）、Oracle Linux and Virtualization系2件（1件）、計57件のセキュリティアップデートが含まれています。カッコ内の件数は、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計22件となっています。

[参考情報]

オラクル：Oracle Critical Patch Update Advisory - October 2011

Java SE 7 Update1、Java SE 6 Update 29リリース（2011/10/18）

　Java SE 7 Update1、Java SE 6 Update 29には、20件のセキュリティアップデートが含まれています。このうち、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で19件となっています。

　また、Cisco AnyConnect Mobilityクライアントと、Microsoft UAG（Forefront Unified Access Gateway）クライアントのブラックリスト化に伴い、JDK/JRE 6 Update 14からサポートされたブラックリストJAR機能のブラックリストに、これらのエントリーが追加されました（写真1）。ブラックリストJAR機能は、悪用される可能性のある重大な脆弱性を含んでいる署名付きJARファイルをブラックリストとして登録する機能です。システム全体のブラックリストファイル（jre6/lib/security/blacklist）は、各JREリリースとともに配布されています。

写真1●システム全体のブラックリストファイルと追加エントリー

[参考情報]

• オラクル：Oracle Java SE Critical Patch Update Advisory - October 2011
• オラクル：Java SE 7 Update 1リリースノート
• オラクル：Java SE 6 Update 29リリースノート