<<< JPCERT/CC WEEKLY REPORT 2012-07-19 >>>
■07/08(日)〜07/14(土) のセキュリティ関連情報
目 次
【1】Microsoft 製品に複数の脆弱性
【2】RSA Authentication Manager に複数の脆弱性
【3】Netsweeper Internet Filter WebAdmin に複数の脆弱性
【4】HP Operations Agent に脆弱性
【5】EMC Celerra/VNX/VNXe のアクセス制御に脆弱性
【6】Synel SY-780/A ターミナルに脆弱性
【7】Johnson Controls CK721-A 及び P2000 にリモートコマンド実行の脆弱性
【8】Yahoo!ブラウザーにおける WebView クラスに関する脆弱性
【9】Java セキュアコーディングセミナー参加者募集開始
【今週のひとくちメモ】システム管理者の日 (System Administrator Appreciation Day)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122701.txt
https://www.jpcert.or.jp/wr/2012/wr122701.xml
【1】Microsoft 製品に複数の脆弱性
情報源
US-CERT Alert (TA12-192A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-192A.html
概要
Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行するなどの可能性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft 開発者用ツール - Microsoft サーバー ソフトウェア この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。
関連文書 (日本語)
Microsoft セキュリティ TechCenter
2012 年 7 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-julMicrosoft サポート
[MS12-043] Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (2012 年 7 月 10 日)
http://support.microsoft.com/kb/2722479/ja独立行政法人情報処理推進機構 (IPA)
Microsoft Office 等の脆弱性の修正について(MS12-046)(CVE-2012-1854)
http://www.ipa.go.jp/security/ciadr/vul/20120711-windows.html警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-043,044,045,046,047,048,049,050,051)
http://www.npa.go.jp/cyberpolice/topics/?seq=9751JPCERT/CC Alert 2012-07-11 JPCERT-AT-2012-0022
2012年7月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120022.htmlJapan Vulnerability Notes JVNTA12-192A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-192A/index.htmlJPCERT/CC WEEKLY REPORT 2012-06-27 号
【1】Microsoft XML コアサービスに脆弱性
https://www.jpcert.or.jp/wr/2012/wr122401.html#1
【2】RSA Authentication Manager に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-212
U-212: RSA Authentication Manager Flaws Permit Cross-Site and Cross-Frame Scripting and URL Redirection Attacks
http://circ.jc3.doe.gov/bulletins/u-212.shtml
概要
RSA Authentication Manager には複数の脆弱性があります。結果として、遠隔 の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - RSA Authentication Manager バージョン 7.1 なお、その他のバージョンも影響を受ける可能性があります。 この問題は、RSA が提供する更新プログラムを RSA Authentication Manager に適用することで解決します。
【3】Netsweeper Internet Filter WebAdmin に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#763795
Netsweeper Internet Filter WebAdmin Portal multiple vulnerabilities
http://www.kb.cert.org/vuls/id/763795
概要
Netsweeper Internet Filter WebAdmin にはクロスサイトスクリプティングや クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔 の第三者が、情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実 行したり、任意の操作を実行する可能性があります。 対象となるシステムは以下の通りです。 - Netsweeper 3.0.6 より前のバージョン この問題は、Netsweeper を最新版に更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#763795
Netsweeper に複数の脆弱性
https://jvn.jp/cert/JVNVU763795/index.html
【4】HP Operations Agent に脆弱性
情報源
JC3-CIRC Technical Bulletin U-208
U-208: HP Operations Agent Bugs Let Remote Users Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/U-208.shtml
概要
HP Operations Agent には脆弱性があります。結果として、遠隔の第三者が対 象システム上で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - AIX、HP-UX、Linux、Solaris 及び Windows 用の HP Operations Agent のバー ジョン 11.03.12 より前のバージョン この問題は、HP が提供する修正済みのバージョンに HP Operations Agent を 更新することで解決します。詳細については、HP が提供する情報を参照して下 さい。
関連文書 (英語)
HP Support document
HPSBMU02796 SSRT100594 rev.2 - HP Operations Agent for AIX, HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03397769
【5】EMC Celerra/VNX/VNXe のアクセス制御に脆弱性
情報源
JC3-CIRC Technical Bulletin U-211
U-211: EMC Celerra/VNX/VNXe Access Control Bug Lets Remote Authenticated Users Access Files/Directories
http://circ.jc3.doe.gov/bulletins/u-211.shtml
概要
EMC Celerra/VNX/VNXe にはアクセス制御に関する脆弱性があります。結果とし て、遠隔の第三者が、当該製品上のファイルやディレクトリにアクセスする可 能性があります。 対象となるバージョンは以下の通りです。 - EMC Celerra Network Server バージョン 6.0.36.4 から 6.0.60.2 まで - EMC VNX バージョン 7.0.12.0 から 7.0.53.1 まで - EMC VNXe 2.0 (SP1、SP2、SP3 を含む) - EMC VNXe MR1 (SP1、SP2、SP3、SP3.1 を含む) - EMC VNXe MR2 (SP0.1 を含む) この問題は、EMC が提供する修正済みのバージョンに該当する製品を更新する ことで解決します。詳細については、EMC が提供する情報を参照して下さい。
【6】Synel SY-780/A ターミナルに脆弱性
情報源
US-CERT Vulnerability Note VU#154307
Synel SY-780/A terminal denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/154307
概要
Synel SY-780/A ターミナルには脆弱性があります。結果として、遠隔の第三者 が、特定ポートをスキャンすることで機器を使用不能にする可能性があります。 対象となるシステムは以下の通りです。 - Synel SY-780/A 2012年7月18日現在、対策方法はありません。以下の回避策を適用することで、 本脆弱性の影響を軽減することが可能です。 - アクセスを制限する
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#154307
Synel SY-780/A にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU154307/index.html
【7】Johnson Controls CK721-A 及び P2000 にリモートコマンド実行の脆弱性
情報源
US-CERT Vulnerability Note VU#977312
Johnson Controls CK721-A and P2000 remote command execution vulnerability
http://www.kb.cert.org/vuls/id/977312
概要
Johnson Controls CK721-A 及び P2000 には脆弱性があります。結果として、 遠隔の第三者が、CK721-A 上で任意のコマンドを実行したり、P2000 上で不正 なアラートを生成したりする可能性があります。 対象となるシステムは以下の通りです。 - Johnson Controls CK721-A - Johnson Controls P2000 この問題は、システムの更新を行うことで解決します。詳細については、 Johnson Controls が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVN#977312
複数の Johnson Controls 製品に脆弱性
https://jvn.jp/cert/JVNVU977312/index.html
【8】Yahoo!ブラウザーにおける WebView クラスに関する脆弱性
情報源
Japan Vulnerability Notes JVN#46088915
Yahoo!ブラウザーにおける WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN46088915/index.html
概要
Yahoo!ブラウザーには、WebView クラスに関する脆弱性があります。結果とし て、当該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - Yahoo!ブラウザー 1.2.0 およびそれ以前 この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザーを更 新することで解決します。
【9】Java セキュアコーディングセミナー参加者募集開始
情報源
JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 札幌を会場として開催する「Java セキュアコーディングセミナー @札幌」お よび、東京を会場として開催する「Java セキュアコーディング 連続セミナー @東京」(全4回) の参加者募集を開始しました。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○システム管理者の日 (System Administrator Appreciation Day)
7月の最終金曜日は System Administrator Appreciation Day です。今年は来 週金曜日 7月27日となります。これは、米国のシステム管理者が 2000年から提 唱しているものです。 企業のシステムを常に正常に稼働させるため、システム管理者は困難と立ち向 かい、日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね ぎらい感謝の意を伝えてみてはいかがでしょうか。
参考文献 (日本語)
Wikipedia
システム管理者の日
http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5
参考文献 (英語)
Sysadminday.com
System Administrator Appreciation Day
http://www.sysadminday.com/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/