<<< JPCERT/CC WEEKLY REPORT 2012-09-12 >>>
■09/02(日)〜09/08(土) のセキュリティ関連情報
目 次
【1】Citrix XenServer に複数の脆弱性
【2】Webmin の入力値検証に脆弱性
【3】WhatsUp Gold に複数の脆弱性
【4】サイボウズ KUNAI for Android に複数の脆弱性
【今週のひとくちメモ】はじめての暗号化メール (Thunderbird 編) 公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123501.txt
https://www.jpcert.or.jp/wr/2012/wr123501.xml
【1】Citrix XenServer に複数の脆弱性
情報源
JC3 Bulletin
U-253: Citrix XenServer Denial of Service and Privilege Escalation Vulnerabilities
http://energy.gov/node/387685
概要
Citrix XenServer には、複数の脆弱性があります。結果として、遠隔の第三者 がサービス運用妨害 (DoS) 攻撃を行ったり、ゲスト OS 上からホスト OS を操 作したりする可能性があります。 対象となるバージョンは以下の通りです。 - Citrix XenServer 5.0、5.5、5.6 および 6.0 この問題は、Citrix が提供する修正済みのバージョンに XenServer を更新す ることで解決します。詳細については、Citrix が提供する情報を参照して下さ い。
関連文書 (英語)
Citrix
Citrix XenServer Multiple Security Updates
http://support.citrix.com/article/CTX134708
【2】Webmin の入力値検証に脆弱性
情報源
US-CERT Vulnerability Note VU#788478
Webmin contains input validation vulnerabilities
http://www.kb.cert.org/vuls/id/788478
概要
Webmin の入力値検証には脆弱性があります。結果として、ユーザが任意のコマ ンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Webmin 1.580 その他のバージョンも影響を受ける可能性があります。 2012年9月11日現在、本脆弱性への対策版はリリースされていません。回避策と して、信頼されるホストやネットワークからのアクセスに制限するなどの方法 があります。詳細については Webmin が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#788478
Webmin の入力値検証に脆弱性
https://jvn.jp/cert/JVNVU788478/index.html
【3】WhatsUp Gold に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#777007
Ipswitch WhatsUp Gold 15.02 contains SQL injection and XSS vulnerabilities
http://www.kb.cert.org/vuls/id/777007
概要
Ipswitch の提供する WhatsUp Gold には、複数の脆弱性があります。結果とし て、遠隔の第三者が、任意の SQL コマンドを実行したり、ユーザのブラウザ上 で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 15.02 およびそれ以前 この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を更 新することで解決します。詳細については、Ipswitch が提供する情報を参照し て下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#777007
WhatsUp Gold に脆弱性
https://jvn.jp/cert/JVNVU777007/index.html
【4】サイボウズ KUNAI for Android に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#23568423
サイボウズ KUNAI for Android において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN23568423/index.htmlJapan Vulnerability Notes JVN#59652356
サイボウズ KUNAI for Android における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN59652356/index.html
概要
サイボウズ KUNAI for Android には、複数の脆弱性があります。結果として、 Android 端末の情報が窃取されたり、任意の OS コマンドが実行されたりする 可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ KUNAI for Android バージョン 2.0.5 およびそれ以前 この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ ズ KUNAI for Android を更新することで解決します。詳細については、サイボ ウズ株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
サイボウズ株式会社
addJavascriptInterface を悪用される脆弱性【CY12-09-001】
http://cs.cybozu.co.jp/information/20120910up01.phpサイボウズ株式会社
file:// プロトコルを悪用される脆弱性【CY12-09-002】
http://cs.cybozu.co.jp/information/20120910up02.php
■今週のひとくちメモ
○はじめての暗号化メール (Thunderbird 編) 公開
2012年8月30日、JPCERT/CC は「はじめての暗号化メール (Thunderbird 編)」 を公開しました。本書は、初めて PGP を使用する方々のための、PGP のインス トールから PGP を使ったメッセージ交換までをカバーするガイドブックです。 Windows の Thunderbird ユーザで、PGP の使用に興味がある方は、本ガイドブッ クを活用いただければ幸いです。
参考文献 (日本語)
JPCERT/CC
はじめての暗号化メール (Thunderbird編)
https://www.jpcert.or.jp/magazine/security/pgpquick.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/