10月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米シスコ製品に複数の脆弱性
■CiscoWorks 共通サービス(2011/10/19)
Windows版CiscoWorks共通サービス(Common Services)には、認証された攻撃者がシステム管理者権限を使用して、該当するシステム上で任意のコマンドを実行できる脆弱性(CVE-2011-3310)が存在します。脆弱性は、共通サービスのWebサーバーモジュールの入力処理に存在し、Webサーバーモジュールは、ポート番号は443/TCPあるいは、1741/TCPをデフォルトで利用します。
■Cisco Show and Share(2011/10/19)
Cisco Show and ShareのWebキャストと動画共有アプリケーションには、認証処理を必要とせずに管理者用Webページへのアクセスを許してしまう脆弱性(CVE-2011-2584)、認証された攻撃者にWebサーバーのユーザー権限での任意のコマンド実行を許してしまう脆弱性(CVE-2011-2585)が存在します。
[参考情報]
- シスコ:cisco-sa-20111019-cs: CiscoWorks Common Services Arbitrary Command Execution Vulnerability
- シスコ:cisco-sa-20111019-sns: Cisco Show and Share Security Vulnerabilities
オラクル2011年10月の四半期セキュリティアップデート(2011/10/18)
Critical Patch Update - October 2011には、Oracle Database Server系5件、Oracle Fusion Middleware系10件(5件)、Oracle Applications系16件 [Oracle E-Business Suite系5件(3件)、Oracle Supply Chain Products Suite系1件(1件)、Oracle PeopleSoft系7件、Oracle Siebel CRM系3件(1件)]、Oracle Industry Applications系2件(2件)、Oracle Sun Products Suite系22件(9件)、Oracle Linux and Virtualization系2件(1件)、計57件のセキュリティアップデートが含まれています。カッコ内の件数は、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計22件となっています。
[参考情報]
Java SE 7 Update1、Java SE 6 Update 29リリース(2011/10/18)
Java SE 7 Update1、Java SE 6 Update 29には、20件のセキュリティアップデートが含まれています。このうち、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で19件となっています。
また、Cisco AnyConnect Mobilityクライアントと、Microsoft UAG(Forefront Unified Access Gateway)クライアントのブラックリスト化に伴い、JDK/JRE 6 Update 14からサポートされたブラックリストJAR機能のブラックリストに、これらのエントリーが追加されました(写真1)。ブラックリストJAR機能は、悪用される可能性のある重大な脆弱性を含んでいる署名付きJARファイルをブラックリストとして登録する機能です。システム全体のブラックリストファイル(jre6/lib/security/blacklist)は、各JREリリースとともに配布されています。
[参考情報]
- オラクル:Oracle Java SE Critical Patch Update Advisory - October 2011
- オラクル:Java SE 7 Update 1リリースノート
- オラクル:Java SE 6 Update 29リリースノート
