<<< JPCERT/CC WEEKLY REPORT 2011-10-26 >>>
■10/16(日)〜10/22(土) のセキュリティ関連情報
目 次
【1】2011年10月 Oracle Critical Patch Update について
【2】Cisco 製品群に複数の脆弱性
【3】HP Data Protector に複数の脆弱性
【4】Opera ブラウザに脆弱性
【今週のひとくちメモ】Oracle Java SE Critical Patch Update
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114101.txt
https://www.jpcert.or.jp/wr/2011/wr114101.xml
【1】2011年10月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for October 2011
http://www.us-cert.gov/current/archive/2011/10/19/archive.html#oracle_pre_release_announcements_for
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応し た Oracle Critical Patch Update Advisory および Oracle Java SE Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。
関連文書 (日本語)
Oracle Technology Network
[CPUOct2011] Oracle Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/jp/topics/ojkb155517-518195-ja.htmlOracle Technology Network
Critical Patch Update - October 2011
http://www.oracle.com/technetwork/jp/topics/alerts-519137-ja.html
関連文書 (英語)
Oracle Technology Network
Oracle Java SE Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.htmlThe Oracle Software Security Assurance Blog
October 2011 Critical Patch Updates Released
http://blogs.oracle.com/security/entry/october_2011_critical_patch_updatesOracle Technology Network
Oracle Critical Patch Update Advisory - October 2011
http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html
【2】Cisco 製品群に複数の脆弱性
情報源
US-CERT Current Activity Archive
Cisco Releases Two Security Advisories
http://www.us-cert.gov/current/archive/2011/10/19/archive.html#cisco_releases_two_security_advisories
概要
Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三 者が認証を回避したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - CiscoWorks Common Services 4.1 より前のバージョン - Cisco Show and Share 5.2(2.1) より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。
関連文書 (日本語)
Cisco Security Advisory cisco-sa-20111019-cs
CiscoWorks Common Services Arbitrary Command Execution Vulnerability
http://www.cisco.com/cisco/web/support/JP/110/1108/1108724_cisco-sa-20111019-cs-j.html
関連文書 (英語)
Cisco Security Advisory cisco-sa-20111019-cs
CiscoWorks Common Services Arbitrary Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-csCisco Security Advisory cisco-sa-20111019-sns
Cisco Show and Share Security Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-sns
【3】HP Data Protector に複数の脆弱性
情報源
DOE-CIRC Technical Bulletin U-013
HP Data Protector Multiple Unspecified Vulnerabilities
http://www.doecirc.energy.gov/bulletins/u-013.shtml
概要
HP Data Protector には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows プラットフォームで動作する以下の製品 - HP Data Protector Notebook Extension 6.20 - HP Data Protector for Personal Computers 7.0 この問題は、HP が提供するパッチを該当する製品に適用することで解 決します。詳細については、HP が提供する情報を参照してください。
関連文書 (英語)
HP SUPPORT COMMUNICATION - SECURITY BULLETIN c03054543
HPSBMP02713 SSRT100651 rev.2 - Replaced by Document ID c03058866 - HPSBMU02716 SSRT100651
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03054543
【4】Opera ブラウザに脆弱性
情報源
The Opera Security group
Manipulating fonts in SVG can allow execution of arbitrary code Severity
http://www.opera.com/support/kb/view/1002/
概要
Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が 細工した Web ページを閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.51 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザ を更新することで解決します。
関連文書 (英語)
The Opera Security group
About the SVG font manipulation vulnerability that was fixed in 11.52
http://my.opera.com/securitygroup/blog/2011/10/19/about-the-svg-font-manipulation-vulnerability-that-was-fixed-in-11-52
■今週のひとくちメモ
○Oracle Java SE Critical Patch Update
Oracle では、自社製品のセキュリティアップデートを「Critical Patch Update」として、3か月毎に公開するポリシーを採用しています。 ただし、Java のアップデートは「Oracle Java SE Critical Patch Update」として別のスケジュールで公開されています。2011年10月には、 これらふたつのセキュリティアップデート公開が重なることになりました。 双方とも今後のスケジュールは公開されているので、これに合わせ、シ ステム更新作業の体制を準備することをお勧めします。
参考文献 (日本語)
Oracle Technical Network
Critical Patch UpdatesとSecurity Alerts
http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/