<<< JPCERT/CC WEEKLY REPORT 2012-10-03 >>>
■09/23(日)〜09/29(土) のセキュリティ関連情報
目 次
【1】Cisco からセキュリティアドバイザリバンドル公開
【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性
【3】Trend Micro Control Manager に SQL インジェクションの脆弱性
【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性
【5】Java セキュアコーディング 連続セミナー @東京 第2回開催せまる
【今週のひとくちメモ】情報セキュリティ国際キャンペーン
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123801.txt
https://www.jpcert.or.jp/wr/2012/wr123801.xml
【1】Cisco からセキュリティアドバイザリバンドル公開
情報源
Cisco セキュリティ アドバイザリ
Semiannual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/cisco/web/support/JP/111/1116/1116611_Cisco_ERP_sep12-j.html
概要
Cisco から、複数の製品の脆弱性に対応したセキュリティアドバイザリバンド ルが公開されました。 詳細については、Cisco が提供する情報を参照して下さい。
関連文書 (英語)
Cisco Security Advisory
Semiannual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep12.html
【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性
情報源
JC3 Bulletin
U-267: RSA Authentication Agent 7.1 for Microsoft Windows and RSA Authentication Client 3.5 Access Control Vulnerability
http://energy.gov/cio/articles/u-267-rsa-authentication-agent-71-microsoft-windows-and-rsa-authentication-client-35
概要
RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 には アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、Windows の認証情報のみでシステムにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - RSA Authentication Agent for Microsoft Windows version 7.1 - RSA Authentication Client 3.5 この問題は、RSA が提供する修正済みのバージョンに該当する製品を更新する ことで解決します。詳細については、RSA が提供する情報を参照して下さい。
【3】Trend Micro Control Manager に SQL インジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#42014489
Trend Micro Control Manager における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN42014489/index.html
概要
トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、 SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、当 該製品で使用されているデータベースに対して、任意の SQL コマンドを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - Trend Micro Control Manager 5.5.0.1823 (日本語版) より前のバージョン - Trend Micro Control Manager 5.5.0.1823 (英語版) より前のバージョン - Trend Micro Control Manager 6.0.0.1449 (英語版) より前のバージョン この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに Trend Micro Control Manager を更新することで解決します。詳細については、 トレンドマイクロ株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
トレンドマイクロ株式会社
アラート/アドバイザリ:Trend Micro Control Manager のSQLインジェクション攻撃の脆弱性
http://esupport.trendmicro.co.jp/Pages/JP-2081977.aspxトレンドマイクロ株式会社
Trend Micro Control Manager 5.5
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=tbl&clkval=3432#fragment-3462
関連文書 (英語)
Trend Micro
Critical patch available for SQL injection attacks in Control Manager (TMCM)
http://esupport.trendmicro.com/solution/en-us/1061043.aspxTrend Micro Download Center
Control Manager 5.5
http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=1763#fragment-1845Trend Micro Download Center
Control Manager 6
http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=4202#fragment-4248US-CERT Vulnerability Note VU#950795
Trend Micro Control Manager adhoc query vulnerability
http://www.kb.cert.org/vuls/id/950795
【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性
情報源
Japan Vulnerability Notes JVN#86318665
Android 版 jigbrowser+ における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN86318665/index.html
概要
Android 版 jigbrowser+ には、WebView クラスに関する脆弱性があります。結 果として、ユーザが不正な他の Android アプリケーションを使用した場合、当 該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - jigbrowser+ Ver.1.5.0 より前のバージョン この問題は、株式会社jig.jp が提供する修正済みのバージョンに jigbrowser+ を更新することで解決します。詳細については、株式会社jig.jp が提供する 情報を参照して下さい。
関連文書 (日本語)
株式会社jig.jp
jigbrowser+ ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.jig.product.browser_plus
【5】Java セキュアコーディング 連続セミナー @東京 第2回開催せまる
情報源
JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
概要
JPCERT コーディネーションセンターでは、学生等の若年層向けに、Java 言語 で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニック とノウハウを学んでいただく「Java セキュアコーディング 連続セミナー@東 京」(全4回) を開催しています。これらのセミナーは、講義とハンズオン演習 を組み合わせ、Java セキュアコーディングについて、より実践的に学んでいた だける内容となっています。 10月14日(日) には第2回が開催されます。ひきつづき、参加申し込みをお待ち しております。 ■ Java セキュアコーディング 連続セミナー @ 東京 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:30 - 16:30 ( 受付開始13:00- ) 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:30 - 16:30 ( 受付開始13:00- ) 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:30 - 16:30 ( 受付開始13:00- ) [会場] エッサム神田ホール 401 東京都千代田区神田鍛冶町3-2-2 http://www.essam.co.jp/hall/access/index.html [定員] 55名/回 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○情報セキュリティ国際キャンペーン
9月28日、政府は「情報セキュリティ国際キャンペーン」の発表を行いました。 これは、毎年2月に開催している「情報セキュリティ月間」に加えて、10月を 「情報セキュリティ国際キャンペーン」の期間とし、国際連携の推進と国内に おける情報セキュリティ対策の一層の普及を図るものです。 本キャンペーンに合わせて関連行事も多数開催される予定です。
参考文献 (日本語)
首相官邸ホームページ
情報セキュリティ対策の一層の普及について 〜情報セキュリティ国際キャンペーンの実施にあたって〜
http://www.kantei.go.jp/jp/tyokan/noda/20120928message.html内閣官房情報セキュリティセンター
情報セキュリティ国際キャンペーン
http://www.nisc.go.jp/security-site/campaign/index.htmlJPCERT/CC WEEKLY REPORT 2012-02-01
【今週のひとくちメモ】情報セキュリティ月間
https://www.jpcert.or.jp/wr/2012/wr120401.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/