アカマイ テクノロジー Security Advisory 2009-0001
| Akamai ID: | 2009-0001 |
| 日付: | 2009/23/20 |
| 製品名: | Download Manager |
| 関連するバージョン: | < 2.2.4.8 |
| 解決済みバージョン: | 2.2.4.8 |
| CVE ID: | {TBD} |
| CVSS Base Score: | (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0 |
製品の説明
Akamai Download Manager は、ユーザーがコンテンツを容易に、速くまた確実にダウンロードできるようサポートするクライアント・ソフトウェア・アプリケーションです。このソフトウェアは ActiveX コンポーネントまたは Java アプレットとして提供され、ユーザーはダウンロードの一時停止と再開、また接続の切断やシステムクラッシュからの自動的な復旧が可能です。
脆弱性の説明
アカマイは、ActiveX コントロールのバージョン 2.2.3.7 までの Download Manager のセキュリティ脆弱性について認識しています。この脆弱性が悪用されるには、ユーザーが攻撃者の仕掛けた悪質な URL にアクセスする必要があります。こうすることで、未許可のダウンロードおよび任意のコードがユーザーの文脈内において自動的に実行されます。
この脆弱性は、Download Manager のクライアント・ソフトウェア内にのみ存在し、アカマイのサービスにはまったく影響しません。
パッチの適用
ActiveX の場合:
以下のページより Akamai Download Manager の最新バージョンをダウンロードできます:
http://dlm.tools.akamai.com/tools/upgrade.html
上記ページまたは Download Manager を使用した他のページを開くと、自動的に最新バージョンへのインストールを促す画面が表示されます。アカマイでは、当社のお客さま企業の全てがパッチ適用済みバージョンを配布するよう、協力を得ています。
正しいバージョンがインストールされているか確認するには、以下の手順を実行して下さい:
- Internet Explorer で、「ツール」メニューから「インターネット オプション」を選択します。
- 「全般」タブの「インターネット一時ファイル」セクションで、「設定」を選択します。
- 「インターネット一時ファイル」セクションで「オブジェクトの表示」を選択します。
- 「Download Manager Control」のバージョンが「2.2.4.8」以上であることを確認してください。
Download Manager をアンインストールするには、以下の最後の手順を実行してください: - 「Download Manager Control」の項目を右クリックし、「削除」を選択します。
- 確認のプロンプトが表示されたら、「はい」を選択してください。
クレジット
この脆弱性は、独立に iDefense よって発見され、アカマイに報告されました (http://labs.idefense.com).
追加情報
http://www.akamai.com/html/support/security.html
アカマイについて
Akamai® は、コンテンツや商取引のオンライン処理を高速化するサービスをグローバルに提供する、リーディング プロバイダーです。数千社もの企業や組織がアカマイと信頼関係を結び、オンライン ビジネスのパフォーマンスを最大化することにより、増益やコスト削減を実現しています。アカマイの EdgePlatform は、組織がビジネスにおいて優位性を得るうえでこれをサポートし、明日の新たなウェブ ソリューションの基盤作りにも貢献しています。アカマイは、オンライン ビジネスにおいて信頼のおける選択です。詳細については www.akamai.com をご覧ください。
アカマイ テクノロジー Security Advisory 2008-0002
| Akamai ID: | 2008-0002 |
| 日付: | 2008/04/20 |
| 製品名: | Download Manager |
| 関連するバージョン: | < 2.2.3.6 |
| 解決済みバージョン: | 2.2.3.7 |
| CVE ID: | CVE-2008-1770 |
| CVSS Base Score: | (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0 |
製品の説明
Akamai Download Manager は、ユーザーがコンテンツを容易に、速くまた確実にダウンロードできるようサポートするクライアント・ソフトウェア・アプリケーションです。このソフトウェアは ActiveX コンポーネントまたは Java アプレットとして提供され、ユーザーはダウンロードの一時停止と再開、また接続の切断やシステムクラッシュからの自動的な復旧が可能です。
脆弱性の説明
アカマイは、ActiveX コントロールのバージョン 2.2.3.5 までの Download Manager のセキュリティ脆弱性について認識しています。この脆弱性が悪用されるには、ユーザーが攻撃者の仕掛けた悪質な URL にアクセスする必要があります。こうすることで、未許可のダウンロードおよび任意のコードがユーザーの文脈内において自動的に実行されます。
この脆弱性は、Download Manager のクライアント・ソフトウェア内にのみ存在し、アカマイのサービスにはまったく影響しません。
パッチの適用
以下のページより Akamai Download Manager の最新バージョンをダウンロードできます:
http://dlm.tools.akamai.com/tools/upgrade.html
上記ページまたは Download Manager を使用した他のページを開くと、自動的に最新バージョンへのインストールを促す画面が表示されます。アカマイでは、当社のお客さま企業の全てがパッチ適用済みバージョンを配布するよう、協力を得ています。
正しいバージョンがインストールされているか確認するには、以下の手順を実行して下さい:
- Internet Explorer で、「ツール」メニューから「インターネット オプション」を選択します。
- 「全般」タブの「インターネット一時ファイル」セクションで、「設定」を選択します。
- 「インターネット一時ファイル」セクションで「オブジェクトの表示」を選択します。
- 「Download Manager Control」のバージョンが「2.2.3.5」以上であることを確認してください。
Download Manager をアンインストールするには、以下の最後の手順を実行してください: - 「Download Manager Control」の項目を右クリックし、「削除」を選択します。
- 確認のプロンプトが表示されたら、「はい」を選択してください。
クレジット
CVE-2008-1770 は、FortiNet (http://fortinet.com) によって個別に発見され、アカマイに報告されました。
Fortinet (http://www.fortinet.com/)
追加情報
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1770
アカマイ テクノロジー Security Advisory 2007-0001
| Akamai ID: | 2007-0001 |
| 日付: | 2007/04/11 |
| 製品名: | Download Manager |
| 関連するバージョン: | < 2.2.1.0 |
| 解決済みバージョン: | 2.2.1.0 |
| CVE ID: | CVE-2007-1891 CVE-2007-1892 |
| CVSS Base Score: | (AV:R/AC:H/Au:NR/C:C/I:C/A:C/B:N) 8.0 |
製品の説明
Akamai Download Manager は、ユーザーがコンテンツを容易に、速くまた確実にダウンロードできるようサポートするクライアント・ソフトウェア・アプリケーションです。このソフトウェアは ActiveX コンポーネントまたは Java アプレットとして提供され、ユーザーはダウンロードの一時停止と再開、また接続の切断やシステムクラッシュからの自動的な復旧が可能です。
脆弱性の説明
Akamai Download Manager の ActiveX バージョンに関して、2 つの安全性に関する脆弱性が確認されています。これらの 2 つの脆弱性はいずれも、ユーザーが悪質な URL を閲覧した場合にスタックベースのバッファオーバーフローを引き起こし、その結果攻撃者はユーザーのコンテキスト内で任意のコードを実行することができます。
CVE-2007-1891 の脆弱性は、2.0.4.4 より新しいバージョンおよび 2.2.1.0 より古いバージョンに影響します。CVE-2007-1892 の脆弱性は、2.2.1.0 よりも古いバージョン全てに影響します。これら 2 つの脆弱性は、2.2.1.0 のバージョンをインストールすることにより解決されるため、同バージョンへのアップグレードをおすすめいたします。
Akamai Download Manager の Java バージョンは、いずれの脆弱性の影響も受けません。
これらの脆弱性は Download Manager クライアント ソフトウェアにのみ存在し、アカマイのサービスにはなんら影響を及ぼしません。
パッチの適用
以下のページより Akamai Download Manager の最新バージョンをダウンロードできます:
http://dlm.tools.akamai.com/tools/upgrade.html
上記ページまたは Download Manager を使用した他のページを開くと、自動的に最新バージョンへのインストールを促す画面が表示されます。アカマイでは、当社のお客さま企業の全てがパッチ適用済みバージョンを配布するよう、協力を得ています。
正しいバージョンがインストールされているか確認するには、以下の手順を実行して下さい:
- Internet Explorer で、「ツール」メニューから「インターネット オプション」を選択します。
- 「全般」タブの「インターネット一時ファイル」セクションで、「設定」を選択します。
- 「インターネット一時ファイル」セクションで「オブジェクトの表示」を選択します。
- 「Download Manager Control」のバージョンが「2.2.1.0」以上であることを確認してください。
Download Manager をアンインストールするには、以下の最後の手順を実行してください: - 「Download Manager Control」の項目を右クリックし、「削除」を選択します。
- 確認のプロンプトが表示されたら、「はい」を選択してください。
クレジット
CVE-2007-1891 は、以下の方々により発見され、アカマイへ報告されました:
Fortinet (http://www.fortinet.com/)
iDefense (http://labs.idefense.com/)
CVE-2007-1892 はアカマイが発見しました。
追加情報
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1891
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1892
