<<< JPCERT/CC WEEKLY REPORT 2011-12-07 >>>
■11/27(日)〜12/03(土) のセキュリティ関連情報
目 次
【1】Adobe Flex アプリケーションにクロスサイトスクリプティングの脆弱性
【2】PowerChute Business Edition にクロスサイトスクリプティングの脆弱性
【3】沖縄ICTフォーラム2011 サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜
【今週のひとくちメモ】サーバに対するブルートフォース攻撃への備え
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2011/wr114701.txt
https://www.jpcert.or.jp/wr/2011/wr114701.xml
【1】Adobe Flex アプリケーションにクロスサイトスクリプティングの脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flex SDK
http://www.us-cert.gov/current/archive/2011/12/02/archive.html#adobe_releases_security_advisory_for9
概要
Adobe Flex SDK で作成した Flex アプリケーションには、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Windows、Macintosh および Linux で動作する Adobe Flex SDK 4.5.1 およびそれ以前の 4.x - Windows、Macintosh および Linux で動作する Adobe Flex SDK 3.6 およびそれ以前の 3.x この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex SDK を更新し、Flex アプリケーションを再構築することで解決します。詳 細については、Adobe が提供する情報を参照してください。
関連文書 (日本語)
Adobe セキュリティ情報
APSB-11-25: Flex SDK に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/925/cpsid_92568.htmlAdobe セキュリティ情報
Flexのセキュリティ問題(APSB11-25)
http://kb2.adobe.com/jp/cps/915/cpsid_91544.html
【2】PowerChute Business Edition にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#61695284
PowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN61695284/index.html
概要
シュナイダーエレクトリック (旧エーピーシー・ジャパン) の PowerChute Business Edition には、クロスサイトスクリプティングの 脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で 任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - PowerChute Business Edition v8.5 より前のバージョン この問題は、シュナイダーエレクトリックが提供する修正済みのバージョ ンに PowerChute Business Edition を更新することで解決します。詳細 については、シュナイダーエレクトリックが提供する情報を参照してく ださい。
関連文書 (英語)
Schneider Electric
PowerChute Business Edition
http://www.apc.com/products/family/index.cfm?id=125
【3】沖縄ICTフォーラム2011 サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜
情報源
JAIPA
http://www.jaipa.or.jp/topics/?p=459SecurityDay
http://securityday.jp/
概要
2011年12月15日(木) から 16日(金) まで、沖縄大学において日本インター ネットプロバイダー協会 (JAIPA) 主催、SecurityDay 運営委員会共催の 「サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜」が 開催されます。JPCERT/CC は SecurityDay 運営委員会に参加しています。 なお、例年開催の SecurityDay は 2012年、東京にて開催を予定してい ます。
■今週のひとくちメモ
○サーバに対するブルートフォース攻撃への備え
インターネットからのアクセスを許可しているサーバでは、ブルート フォース攻撃によってパスワード認証をやぶられることがあります。と くに、SSH サーバや Windows リモートデスクトップサービスを狙う攻撃 が様々な定点観測活動において継続的に観測されています。 インターネットからのアクセスを許可する場合、SSH サーバでは、ユー ザ認証として公開鍵認証を利用し、可能であればアクセス元 IP アドレ スによるアクセス制限を行いましょう。また、Windows のリモートデス クトップサービスでは、強固なパスワードを使用し、可能な限りアクセ ス元 IP アドレスによるアクセス制限を行うなどの対策を実施しましょ う。
参考文献 (日本語)
TechNet Blogs 日本のセキュリティチーム
マルウェア Morto に見る、強固なパスワードの重要性
http://blogs.technet.com/b/jpsecurity/archive/2011/09/06/3451299.aspx
参考文献 (英語)
ISC Diary
SSH Password Brute Forcing may be on the Rise
http://isc.sans.edu/diary/SSH+Password+Brute+Forcing+may+be+on+the+Rise/12133
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/