<<< JPCERT/CC WEEKLY REPORT 2013-06-26 >>>
■06/16(日)〜06/22(土) のセキュリティ関連情報
目 次
【1】Oracle Java に複数の脆弱性
【2】Oracle Javadoc ツールに脆弱性
【3】一太郎シリーズに脆弱性
【4】サイボウズLive for Android に複数の脆弱性
【5】Symantec Endpoint Protection 製品にバッファオーバフローの脆弱性
【6】Cisco TelePresence TC および TE ソフトウェアに複数の脆弱性
【今週のひとくちメモ】JPNIC、「インターネット歴史年表 ベータ版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132501.txt
https://www.jpcert.or.jp/wr/2013/wr132501.xml
【1】Oracle Java に複数の脆弱性
情報源
US-CERT Alert (TA13-169A)
Oracle Releases Updates for Javadoc and Other Java SE Vulnerabilities
http://www.us-cert.gov/ncas/alerts/TA13-169A
概要
Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK and JRE 7 Update 21 およびそれ以前のバージョン - JDK and JRE 6 Update 45 およびそれ以前のバージョン - JDK and JRE 5.0 Update 45 およびそれ以前のバージョン - JavaFX 2.2.21 およびそれ以前のバージョン この問題は、Oracle が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA13-169A
Oracle Java の複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA13-169A/index.html独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2013-2470等)
http://www.ipa.go.jp/security/ciadr/vul/20130619-jre.html
関連文書 (英語)
Oracle
Oracle Java SE Critical Patch Update Advisory - June 2013
http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html
【2】Oracle Javadoc ツールに脆弱性
情報源
US-CERT Vulnerability Note VU#225657
Oracle Javadoc HTML frame injection vulnerability
http://www.kb.cert.org/vuls/id/225657
概要
Oracle Java Development Kit (JDK) に含まれる Javadoc ツールで生成した HTML ファイルには、ページ内のフレームに任意の Web サイトのコンテンツを 表示できる脆弱性があります。結果として、Web ページ内のフレームに任意の Web サイトのコンテンツを表示され、フィッシング詐欺等に使用される可能性 があります。 対象となるバージョンは以下の通りです。 - Java Development Kit (JDK) 7 Update 21 およびそれ以前のバージョン - Java Development Kit (JDK) 6 Update 45 およびそれ以前のバージョン - Java Development Kit (JDK) 5.0 Update 45 およびそれ以前のバージョン - JavaFX 2.2.21 およびそれ以前のバージョン この問題は、Oracle Java Development Kit (JDK) を最新版へアップデートし、 Javadoc ツールで生成した HTML ファイルを作り直すことで解決します。詳細 については、Oracle が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#94189582
Oracle Javadoc ツールに脆弱性
https://jvn.jp/cert/JVNVU94189582/index.html
関連文書 (英語)
Oracle
Oracle Java SE Critical Patch Update Advisory - June 2013
http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html
【3】一太郎シリーズに脆弱性
情報源
Japan Vulnerability Notes JVN#98712361
一太郎シリーズにおいて任意のコードが実行される脆弱性
https://jvn.jp/jp/JVN98712361/index.html
概要
ジャストシステムが提供する一太郎シリーズには、脆弱性があります。結果と して、遠隔の第三者が細工したファイルをユーザに開かせることで任意のコー ドを実行する可能性があります。 対象となる製品は以下の通りです。 - 一太郎2013 玄 - 一太郎2012 承 - 一太郎2011 創 / 一太郎2011 - 一太郎Pro 2 - 一太郎Pro - 一太郎Government 7 - 一太郎Government 6 - 一太郎2010 - 一太郎ガバメント2010、ジャストスクール2010 - 一太郎2009、一太郎ガバメント2009、ジャストスクール2009 - 一太郎2008、一太郎ガバメント2008、ジャストスクール - 一太郎2007、一太郎ガバメント2007 - 一太郎2006、一太郎ガバメント2006 - 一太郎ポータブル with oreplug - 一太郎ビューア この問題は、ジャストシステムが提供する修正済みのバージョンに一太郎を更 新することで解決します。詳細については、ジャストシステムが提供する情報 を参照して下さい。
関連文書 (日本語)
ジャストシステム株式会社
一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js13002.html警察庁 @Police
ジャストシステム社製品の脆弱性について
https://www.npa.go.jp/cyberpolice/topics/?seq=11770
【4】サイボウズLive for Android に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#63428218
サイボウズLive for Android において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN63428218/index.htmlJapan Vulnerability Notes JVN#19740283
サイボウズLive for Android における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN19740283/index.html
概要
サイボウズ株式会社が提供するサイボウズLive for Android には、複数の脆弱 性があります。結果として、遠隔の第三者が Android 端末の情報を窃取したり、 任意の OS コマンドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズLive for Android バージョン 2.0.0 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズLive for Android を更新することで解決します。詳細については、サイボウズが提 供する情報を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
サイボウズLive for Android(Ver.2.0)の不具合について
https://live.cybozu.co.jp/trouble.html?q=2530
【5】Symantec Endpoint Protection 製品にバッファオーバフローの脆弱性
情報源
JC3 Bulletin
V-182: Symantec Endpoint Protection Manager Buffer Overflow Vulnerability
http://energy.gov/cio/articles/v-182-symantec-endpoint-protection-manager-buffer-overflow-vulnerability
概要
Symantec Endpoint Protection Manager および Protection Center には、バッ ファオーバフローの脆弱性があります。結果として、遠隔の第三者が、任意の コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Endpoint Protection Manager 12.1.x - Symantec Endpoint Protection Center 12.0.x この問題は、Symantec が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Symantec が提供する情報を参照して 下さい。
関連文書 (英語)
Security Advisories Relating to Symantec Products
Symantec Endpoint Protection Manager/Protection Center 12.x Buffer Overflow
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20130618_00
【6】Cisco TelePresence TC および TE ソフトウェアに複数の脆弱性
情報源
JC3 Bulletin
V-183: Cisco TelePresence TC and TE Bugs Let Remote Users Deny Service and Remote Adjacent Authenticated Users Gain Root Shell Access
http://energy.gov/cio/articles/v-183-cisco-telepresence-tc-and-te-bugs-let-remote-users-deny-service-and-remote
概要
Cisco TelePresence TC および TE ソフトウェアには、複数の脆弱性がありま す。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を実行するな どの可能性があります。 対象となるシステムは以下の通りです。 - Cisco TelePresence MX シリーズ - Cisco TelePresence System EX シリーズ - Cisco TelePresence Integrator C シリーズ - Cisco TelePresence Profiles シリーズ - Cisco TelePresence Quick Set シリーズ - Cisco IP Video Phone E20 この問題は、Cisco が提供する修正済みのバージョンに TelePresence を更新 することで解決します。詳細については、Cisco が提供する情報を参照して下 さい。
関連文書 (日本語)
Cisco Security Advisory
Multiple Vulnerabilities in Cisco TelePresence TC and TE Software
http://www.cisco.com/cisco/web/support/JP/111/1118/1118409_cisco-sa-20130619-tpc-j.html
■今週のひとくちメモ
○JPNIC、「インターネット歴史年表 ベータ版」を公開
JPNIC は、インターネット資源管理の歴史を中心にまとめた「インターネット 歴史年表 ベータ版」を公開しました。この歴史年表は、JPNIC がたどってきた 道筋とインターネット全体の歴史をできるだけ記録し、分かりやすくまとめよ うとする活動の一環です。 JPNIC では、歴史年表の正確性と使い勝手の向上を目指して情報提供を求める とともに、インターネットの歴史に関する資料の収集も行っています。
参考文献 (日本語)
JPNIC
「インターネット歴史年表 ベータ版」の公開のお知らせ〜歴史年表への情報提供のお願い〜
https://www.nic.ad.jp/ja/topics/2013/20130619-01.htmlJPNIC
インターネット歴史年表
https://www.nic.ad.jp/timeline/
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/