<<< JPCERT/CC WEEKLY REPORT 2012-02-01 >>>
■01/22(日)〜01/28(土) のセキュリティ関連情報
目 次
【1】Apache Struts に脆弱性
【2】Symantec pcAnywhere に複数の脆弱性
【3】Linux カーネルに脆弱性
【4】Google Chrome に脆弱性
【5】学生向け Java セキュアコーディングセミナー参加者募集中
【今週のひとくちメモ】情報セキュリティ月間
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120401.txt
https://www.jpcert.or.jp/wr/2012/wr120401.xml
【1】Apache Struts に脆弱性
情報源
JC3-CIRC Technical Bulletin U-089
Apache Struts ParameterInterceptor() Flaw Lets Remote Users Execute Arbitrary Commands
http://circ.jc3.doe.gov/bulletins/u-089.shtml
概要
Apache Struts には、脆弱性があります。結果として、遠隔の第三者が Apache Struts を実行しているサーバ上で任意のコマンドを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - Apache Struts 2.0.0 から 2.3.1.1 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Apache Struts を更新することで解決します。詳細については、各ベンダ や配布元が提供する情報を参照してください。
関連文書 (英語)
Apache Struts 2 Documentation
Security Bulletins S2-009
http://struts.apache.org/2.x/docs/s2-009.htmlApache Software Foundation
Download a Release Struts 2.3.1.2
http://struts.apache.org/download.cgi#struts2312
【2】Symantec pcAnywhere に複数の脆弱性
情報源
US-CERT Current Activity Archive
Symantec pcAnywhere Hotfix
http://www.us-cert.gov/current/archive/2012/01/24/archive.html#symantec_pcanywhere_hotfix
概要
Symantec pcAnywhere には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、ローカルユーザが権限を昇格したりする可 能性があります。 対象となる製品は以下の通りです。 - pcAnywhere - ITMS with pcAnywhere Solution この問題は、Symantec が提供する修正済みのバージョンに pcAnywhere を更新 することで解決します。詳細については、Symantec が提供する情報を参照して ください。
関連文書 (日本語)
Symantec pcAnywhere hotfix
pcAnywhere TECH179526 ホットフィックス
http://www.symantec.com/business/support/index?page=content&id=TECH179526&actp=search&vie&searchid=1327896107978&locale=ja_JP#Symantec pcAnywhere hotfix
pcAnywhere TECH179960 ホットフィックス
http://www.symantec.com/business/support/index?page=content&id=TECH179960&actp=search&vie&searchid=1327896283521&locale=ja_JP#
関連文書 (英語)
Symantec Security Advisories SYM12-002
Symantec pcAnywhere Remote Code Execution, Local Access File Tampering
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00
【3】Linux カーネルに脆弱性
情報源
US-CERT Vulnerability Note VU#470151
Linux Kernel local privilege escalation via SUID /proc/pid/mem write
http://www.kb.cert.org/vuls/id/470151JC3-CIRC Technical Bulletin U-086
Linux Kernel "/proc/<pid>/mem" Privilege Escalation Vulnerability
http://circ.jc3.doe.gov/bulletins/u-086.shtml
概要
Linux カーネルには脆弱性があります。結果として、ローカルユーザが権限を 昇格する可能性があります。 対象となるバージョンは以下の通りです。 - Linux カーネル 2.6.39 およびそれ以降 なお、Linux カーネル 3.0.18 および 3.2.2 では本脆弱性が修正され ています。 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Linux カーネルを更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#470151
Linux に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU470151/Debian セキュリティ勧告
DSA-2389-1 linux-2.6 -- 特権の昇格/サービス拒否攻撃/情報の漏洩
http://www.debian.org/security/2012/dsa-2389.ja.html
関連文書 (英語)
Red Hat CVE DATABASE
CVE-2012-0056 kernel: proc: /proc/<pid>/mem mem_write insufficient permission checking
https://www.redhat.com/security/data/cve/CVE-2012-0056.htmlUbuntu Security Notice
USN-1342-1: Linux kernel (Oneiric backport) vulnerability
http://www.ubuntu.com/usn/usn-1342-1/
【4】Google Chrome に脆弱性
情報源
US-CERT Current Activity Archive
Google Releases Chrome 16.0.912.77
http://www.us-cert.gov/current/archive/2012/01/24/archive.html#google_releases_chrome_16_02
概要
Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで す。 - Google Chrome 16.0.912.77 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Google Chrome を更 新することで解決します。
関連文書 (英語)
Google Chrome Releases
Stable Channel Update
http://www.googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html
【5】学生向け Java セキュアコーディングセミナー参加者募集中
情報源
JPCERT/CC
Java セキュアコーディングセミナーのご案内
https://www.jpcert.or.jp/event/securecoding-java-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java言語で脆 弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノ ウハウを学んでいただく「Java セキュアコーディングセミナー」を開催します。 関西および関東で同内容のセミナーを各一回開催します。なお、参加者多数の 場合はお申し込み先着順となります。 Java セキュアコーディングセミナー @ キャンパスプラザ京都 [日時] 2012年2月15日(水) 13:30 - 16:30 [会場] キャンパスプラザ京都 6階 京都大学サテライト 京都市下京区西洞院通塩小路下る (MAP) http://www.consortium.or.jp/contents_detail.php?co=cat&frmId=585&frmCd=14-3-0-0-0 [定員] 30名 Java セキュアコーディングセミナー @ 慶應義塾大学日吉キャンパス [日時] 2012年2月18日(土) 13:30 - 16:30 [会場] 慶應義塾大学日吉キャンパス協生館 3F C3S01教室 神奈川県横浜市港北区日吉4-1-1 (MAP) http://www.kcc.keio.ac.jp/access/index.html [定員] 50名
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナーお申し込み
https://www.jpcert.or.jp/event/securecoding-java-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○情報セキュリティ月間
2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため の様々な活動が企画されています。JPCERT/CC も「制御システムセキュリティ カンファレンス2012」や「SecurityDay 2012」など、いくつかのイベントに協 力しています。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。
参考文献 (日本語)
内閣官房情報セキュリティセンター
情報セキュリティ月間
http://www.nisc.go.jp/active/kihon/ism_index.html内閣官房情報セキュリティセンター
平成23年度「情報セキュリティ月間」の実施について
http://www.nisc.go.jp/press/pdf/h23_ism_press.pdfJPCERT/CC WEEKLY REPORT 2011-02-02
【今週のひとくちメモ】情報セキュリティ月間
https://www.jpcert.or.jp/wr/2011/wr110401.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/