<<< JPCERT/CC WEEKLY REPORT 2013-04-24 >>>
■04/14(日)〜04/20(土) のセキュリティ関連情報
目 次
【1】Oracle Java に複数の脆弱性
【2】Apple Safari に複数の脆弱性
【3】Cisco の AnyConnect Secure Mobility Client に脆弱性
【4】Cisco ASA に脆弱性
【5】複数のサイボウズ製品にクロスサイトリクエストフォージェリの脆弱性
【6】avast! Mobile Security に脆弱性
【今週のひとくちメモ】マイクロソフト セキュリティ インテリジェンス レポート 第14版
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr131601.txt
https://www.jpcert.or.jp/wr/2013/wr131601.xml
【1】Oracle Java に複数の脆弱性
情報源
US-CERT Alert (TA13-107A)
Oracle Has Released Multiple Updates for Java SE
http://www.us-cert.gov/ncas/alerts/TA13-107A
概要
Oracle の Java には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK and JRE 7 Update 17 およびそれ以前のバージョン - JDK and JRE 6 Update 43 およびそれ以前のバージョン - JDK and JRE 5.0 Update 41 およびそれ以前のバージョン - JavaFX 2.2.7 およびそれ以前のバージョン この問題は、Oracle が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。
関連文書 (日本語)
独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2013-2383等)
http://www.ipa.go.jp/security/ciadr/vul/20130417-jre.htmlJPCERT/CC
2013年4月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130021.htmlApple
Java for OS X 2013-003 および Java for Mac OS X v10.6 Update 15 のセキュリティコンテンツについて
http://support.apple.com/kb/HT5734?viewlocale=ja_JP
関連文書 (英語)
Oracle
Oracle Critical Patch Update Advisory - April 2013
http://www.oracle.com/technetwork/topics/security/cpuapr2013-1899555.html
【2】Apple Safari に複数の脆弱性
情報源
US-CERT Current Activity
Apple Releases Security Updates for Safari
https://www.us-cert.gov/ncas/current-activity/2013/04/18/Apple-Releases-Security-Updates-Safari
概要
Apple Safari には複数の脆弱性があります。結果として、遠隔の第三者が、任 意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となるバージョンは以下の通りです。 - Apple Safari 6.0.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Safari を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (日本語)
Apple
Safari 6.0.4 のセキュリティコンテンツについて
http://support.apple.com/kb/HT5701?viewlocale=ja_JP
【3】Cisco の AnyConnect Secure Mobility Client に脆弱性
情報源
JC3 Bulletin
V-134: Cisco AnyConnect Secure Mobility Client Heap Overflow Lets Local Users Gain Elevated Privileges
http://energy.gov/cio/articles/v-134-cisco-anyconnect-secure-mobility-client-heap-overflow-lets-local-users-gain
概要
Cisco の AnyConnect Secure Mobility Client には、ヒープオーバフローの脆 弱性があります。結果として、一般ユーザが、当該製品をインストールしたシ ステム上で権限を昇格する可能性があります。 対象となる製品は以下の通りです。 - Cisco AnyConnect Secure Mobility Client - Cisco Secure Desktop この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。
関連文書 (英語)
Cisco Security Notice
Cisco Host Scan Privilege Elevation Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1172Cisco Security Notice
Cisco Host Scan Heap Overflow Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-1173
【4】Cisco ASA に脆弱性
情報源
JC3 Bulletin
V-135: Cisco ASA Multiple Bugs Let Remote Users Deny Service
http://energy.gov/cio/articles/v-135-cisco-asa-multiple-bugs-let-remote-users-deny-service
概要
Cisco ASA には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Cisco ASA 5500 シリーズ適応型セキュリティアプライアンス用の Cisco ASA ソフトウェア - Cisco Catalyst 6500 シリーズスイッチ用の Cisco ASA Services Module - Cisco 7600 シリーズルータ用の Cisco ASA Services Module - Cisco ASA 1000V Cloud Firewall この問題は、Cisco が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Cisco が提供する情報を参照して下さ い。
関連文書 (日本語)
Cisco Security Advisory
Multiple Vulnerabilities in Cisco ASA Software
http://www.cisco.com/cisco/web/support/JP/111/1117/1117743_cisco-sa-20130410-asa-j.html
【5】複数のサイボウズ製品にクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#06251813
複数のサイボウズ製品におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN06251813/index.html
概要
サイボウズが提供する複数の製品には、クロスサイトリクエストフォージェリ の脆弱性があります。結果として、遠隔の第三者が管理画面にアクセスするた めのパスワードやユーザ認証のためのパスワードを変更する可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズ Office 9.2.3 およびそれ以前のバージョン - サイボウズ Office 8.1.5 およびそれ以前のバージョン - サイボウズ メールワイズ 5.0.3 およびそれ以前のバージョン - サイボウズ メールワイズ 4.0.5 およびそれ以前のバージョン - サイボウズ デヂエ 8.0.6 およびそれ以前のバージョン この問題は、サイボウズが提供する修正済みのバージョンに該当する製品を更 新することで解決します。詳細については、サイボウズが提供する情報を参照 して下さい。
関連文書 (日本語)
サイボウズ株式会社
ログインユーザーのパスワードが変更できてしまう脆弱性【CY13-004-001】(2013/4/15)
http://cs.cybozu.co.jp/information/20130415up10.phpサイボウズ株式会社
ログインユーザーのケータイパスワードが変更できてしまう脆弱性【CY13-004-002】(2013/4/15)
http://cs.cybozu.co.jp/information/20130415up11.php
【6】avast! Mobile Security に脆弱性
情報源
US-CERT Vulnerability Note VU#131263
Avast! Mobile Security Android application denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/131263
概要
Android アプリである avast! Mobile Security には、サービス運用妨害 (DoS) の脆弱性があります。結果として、ユーザが不正なアプリケーションを 使用した場合、avast! Mobile Security を終了させられる可能性があります。 対象となるバージョンは以下の通りです。 - avast! Mobile Security 2.0.4400 より前のバージョン この問題は、AVAST Software が提供する修正済みのバージョンに avast! Mobile Security を更新することで解決します。詳細については、 AVAST Software が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96781186
avast! Mobile Security にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU96781186/index.html
■今週のひとくちメモ
○マイクロソフト セキュリティ インテリジェンス レポート 第14版
マイクロソフトは、2012年下半期の脅威の動向をまとめた、「マイクロソフト セキュリティ インテリジェンス レポート 第14版」を公開しました。 今回のレポートでは、"Running unprotected: Measuring the benefits of real-time security software" と題したセクションを設け、Windows のバージョ ンの違いやリアルタイム保護機能を持ったマルウエア対策製品を使用している かどうかによる感染率の違いを比較しています。
参考文献 (日本語)
マイクロソフト
セキュリティ インテリジェンス レポート
http://www.microsoft.com/ja-jp/security/resources/sir.aspx日本のセキュリティチーム
セキュリティ インテリジェンス レポート (SIR) 第 14 版を公開 (2012 年下半期の脅威の傾向)
http://blogs.technet.com/b/jpsecurity/archive/2013/04/18/3567518.aspx日本のセキュリティチーム
セキュリティ インテリジェンス レポート第 14 版 〜特集: リアルタイム保護の効果を知る〜
http://blogs.technet.com/b/jpsecurity/archive/2013/04/18/3567566.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/