<<< JPCERT/CC WEEKLY REPORT 2013-02-06 >>>
■01/27(日)〜02/02(土) のセキュリティ関連情報
目 次
【1】Oracle Java に複数の脆弱性
【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性
【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性
【4】Apple iOS に複数の脆弱性
【5】ISC BIND に脆弱性
【6】WordPress に複数の脆弱性
【7】Wireshark に複数の脆弱性
【今週のひとくちメモ】情報セキュリティ月間
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130501.txt
https://www.jpcert.or.jp/wr/2013/wr130501.xml
【1】Oracle Java に複数の脆弱性
情報源
Oracle Technology Network
Oracle Java SE Critical Patch Update Advisory - February 2013
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html
概要
Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 7 Update 11 およびそれ以前 - JDK/JRE 6 Update 38 およびそれ以前 - JDK/JRE 5.0 Update 38 およびそれ以前 - SDK/JRE 1.4.2_40 およびそれ以前 - JavaFX 2.2.4 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。 なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列はすでにサポートが終了してい ます。JDK/JRE 6 系列は、2013年2月に終了します。最新の Java SE またはサ ポートのある製品への移行をお勧めします。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA13-032A
Oracle Java 7 に複数の脆弱性
https://jvn.jp/cert/JVNTA13-032A/index.html警察庁 @Police
Oracle社の Java のセキュリティ修正プログラムについて
http://www.npa.go.jp/cyberpolice/topics/?seq=10717独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2013-0437等)
http://www.ipa.go.jp/security/ciadr/vul/20130204-jre.htmlJPCERT/CC Alert 2013-02-04 JPCERT-AT-2013-0007
2013年2月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起
https://www.jpcert.or.jp/at/2013/at130007.html
関連文書 (英語)
Oracle
Oracle Java SE Critical Patch Update Advisory - February 2013
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.htmlOracle
Text Form of Oracle Java SE Critical Patch Update - February 2013 Risk Matrices
http://www.oracle.com/technetwork/topics/security/javacpufeb2013verbose-1841196.html
【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
http://www.kb.cert.org/vuls/id/922681
概要
UPnP デバイス用ポータブル SDK (libupnp ライブラリ) には、バッファオーバー フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実 行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - UPnP SDK 1.2 (Intel SDK) - UPnP SDK 1.6.17 およびそれ以前のバージョン (Portable SDK) この問題は、libupnp ライブラリを使用している製品のベンダが提供する修正 済みのバージョンに該当する製品を更新することで解決します。詳細について は、各ベンダが提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90348117
Portable SDK for UPnP にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU90348117/index.htmlJPCERT/CC Alert 2013-01-31 JPCERT-AT-2013-0006
Portable SDK for UPnP の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130006.html
【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性
情報源
US-CERT Vulnerability Note VU#628463
Ruby on Rails 3.0 and 2.3 JSON Parser vulnerability
http://www.kb.cert.org/vuls/id/628463
概要
Ruby on Rails 3.0 および 2.3 の JSON 解析には、脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Ruby on Rails バージョン 3.0.20 より前のバージョン - Ruby on Rails バージョン 2.3.16 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Ruby on Rails を更新することで解決します。詳細については、配布元が 提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90935667
Ruby on Rails の JSON 解析処理に脆弱性
https://jvn.jp/cert/JVNVU90935667/index.html
関連文書 (英語)
Ruby on Rails
[SEC][ANN] Rails 3.0.20, and 2.3.16 have been released!
http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/
【4】Apple iOS に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#95364469
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU95364469/index.html
概要
Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が、機 密情報を取得したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Apple iOS 6.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple iOS を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (日本語)
Apple
iOS 6.1 ソフトウェア・アップデートのセキュリティコンテンツについて
http://support.apple.com/kb/HT5642?viewlocale=ja_JP&locale=ja_JP
【5】ISC BIND に脆弱性
情報源
Knowledge Base
CVE-2012-5689: BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
https://kb.isc.org/article/AA-00855
概要
ISC BIND には脆弱性があります。結果として、DNS64 と RPZ を有効に設定し ている場合、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - ISC BIND 9.8.0 から 9.8.4-P1 のバージョン - ISC BIND 9.9.0 から 9.9.2-P1 のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに BIND を更新することで解決します。詳細については、ISC が提供する情 報を参照して下さい。
関連文書 (日本語)
株式会社日本レジストリサービス (JPRS)
BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグによる namedのサービス停止について(2013年1月25日公開)
http://jprs.jp/tech/security/2013-01-25-bind98-vuln-dns64-rpz.html社団法人日本ネットワークインフォメーションセンター(JPNIC)
ISC BIND 9に関する脆弱性について(2013年1月)
http://www.nic.ad.jp/ja/topics/2013/20130125-01.html
【6】WordPress に複数の脆弱性
情報源
JC3 Bulletin
V-078: WordPress Bugs Permit Cross-Site Scripting and Port Scanning Attacks
http://energy.gov/cio/articles/v-078-wordpress-bugs-permit-cross-site-scripting-and-port-scanning-attacks
概要
WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機密 情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.5.1 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新 することで解決します。詳細については、WordPress が提供する情報を参照し て下さい。
関連文書 (英語)
WordPress News
WordPress 3.5.1 Maintenance and Security Release
http://wordpress.org/news/2013/01/wordpress-3-5-1/
【7】Wireshark に複数の脆弱性
情報源
JC3 Bulletin
V-081: Wireshark Multiple Vulnerabilities
http://energy.gov/cio/articles/v-081-wireshark-multiple-vulnerabilities
概要
Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark 1.8.5 より前のバージョン - Wireshark 1.6.13 より前のバージョン この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新 することで解決します。詳細については、Wireshark が提供する情報を参照し て下さい。
関連文書 (英語)
Wireshark
Wireshark 1.8.5 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.8.5.html
■今週のひとくちメモ
○情報セキュリティ月間
2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため の様々な活動が企画されています。また、「国民を守る情報セキュリティサイ ト」では様々な資料や関連サイトへのリンクも紹介しています。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。
参考文献 (日本語)
内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html独立行政法人情報処理推進機構 (IPA)
情報セキュリティ:2013年2月の呼びかけ
http://www.ipa.go.jp/security/txt/2013/02outline.htmlJPCERT/CC WEEKLY REPORT ひとくちメモ 2012-02-01
情報セキュリティ月間
https://www.jpcert.or.jp/tips/2012/wr120401.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/