<<< JPCERT/CC WEEKLY REPORT 2013-10-23 >>>
■10/13(日)〜10/19(土) のセキュリティ関連情報
目 次
【1】2013年10月 Oracle Critical Patch Update について
【2】複数の D-Link 製ルータに認証回避の脆弱性
【3】株式会社アイ・オー・データ機器の NAS 製品に脆弱性
【4】SAP Sybase Adaptive Server Enterprise (ASE) に XML インジェクションの脆弱性
【5】Watchguard Extensible Threat Management (XTM) アプライアンスにバッファオーバーフローの脆弱性
【6】SecurityDay 2013 開催
【今週のひとくちメモ】OWASP Top 10 2013
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr134201.txt
https://www.jpcert.or.jp/wr/2013/wr134201.xml
【1】2013年10月 Oracle Critical Patch Update について
情報源
Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2013
http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 2013年10月の Critical Patch Update より、Java SE のセキュリティ問題の修 正も同時に提供されています。 詳細については、Oracle が提供する情報を参照して下さい。
関連文書 (日本語)
Oracle Technology Network
Critical Patch UpdatesとSecurity Alerts
http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.htmlJapan Vulnerability Notes JVNVU#92570654
Oracle Outside In にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU92570654/index.htmlJapan Vulnerability Notes JVNVU#98285660
Oracle Outside In にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU98285660/index.htmlJapan Vulnerability Notes JVNVU#95955023
JavaServer Faces に複数の脆弱性
https://jvn.jp/cert/JVNVU95955023/index.htmlJPCERT/CC
2013年10月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起
https://www.jpcert.or.jp/at/2013/at130043.html
【2】複数の D-Link 製ルータに認証回避の脆弱性
情報源
CERT/CC Vulnerability Note VU#248083
D-Link routers authenticate administrative access using specific User-Agent string
http://www.kb.cert.org/vuls/id/248083
概要
複数の D-Link 製ルータ製品には、認証回避の脆弱性があります。結果として、 遠隔の第三者が、管理者権限で当該製品のウェブ管理画面にアクセスして、任 意の操作を実行する可能性があります。 対象となる製品は以下の通りです。 - DIR-100 - DIR-120 - DI-624S - DI-524UP - DI-604S - DI-604UP - DI-604+ - TM-G5240 また、本脆弱性の発見者によると、次の Planex 製品も影響を受ける可能性が あるとのことです。 - BRL-04R - BRL-04UR - BRL-04CW この問題は、D-Link が提供する修正済みのバージョンに、該当する製品のファ ームウェアを更新することで解決します。詳細については、D-Link が提供する 情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#90204379
複数の D-Link 製ルータに認証回避の脆弱性
https://jvn.jp/cert/JVNVU90204379/index.html
【3】株式会社アイ・オー・データ機器の NAS 製品に脆弱性
情報源
Japan Vulnerability Notes JVN#52509236
HDL-A および HDL2-A シリーズにおけるセッション管理に関する脆弱性
https://jvn.jp/jp/JVN52509236/index.html
概要
株式会社アイ・オー・データ機器の NAS 製品 HDL-A と HDL2-A シリーズには、 セッション管理に関する脆弱性があります。結果として、遠隔の第三者がユー ザになりすまして、情報を取得したり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - HDL-A シリーズ (HDL-AS、HDL-AH、HDL-A/E シリーズを含む) ファームウェアバージョン 1.07 およびそれ以前 - HDL2-A シリーズ (HDL2-AH、HDL2-A/E シリーズを含む) ファームウェアバージョン 1.07 およびそれ以前 この問題は、株式会社アイ・オー・データ機器が提供する修正済みのバージョ ンにファームウェアを更新することで解決します。詳細については、株式会社 アイ・オー・データ機器が提供する情報を参照して下さい。
【4】SAP Sybase Adaptive Server Enterprise (ASE) に XML インジェクションの脆弱性
情報源
CERT/CC Vulnerability Note VU#303900
SAP Sybase Adaptive Server Enterprise vulnerable to XML injection
http://www.kb.cert.org/vuls/id/303900
概要
SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクション の脆弱性があります。結果として、当該製品のユーザが管理者権限でシステム にアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - SAP Sybase Adaptive Server Enterprise Version 15.7 ESD 2 およびそれ以前 この問題は、SAP が提供する修正済みのバージョンに Sybase Adaptive Server Enterprise (ASE) を更新することで解決します。詳細については、 SAP が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97158970
SAP Sybase Adaptive Server Enterprise に XML インジェクションの脆弱性
https://jvn.jp/cert/JVNVU97158970/index.html
【5】Watchguard Extensible Threat Management (XTM) アプライアンスにバッファオーバーフローの脆弱性
情報源
CERT/CC Vulnerability Note VU#233990
Watchguard Extensible Threat Management (XTM) appliance version 11.7.4 contains a buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/233990
概要
Watchguard Extensible Threat Management (XTM) アプライアンスには、バッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 11.7.4 およびそれ以前のバージョン この問題は、Watchguard Technologies が提供する修正済みのバージョンに Extensible Threat Management を更新することで解決します。詳細については、 Watchguard Technologies が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97653535
Watchguard Extensible Threat Management (XTM) にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU97653535/index.html
【6】SecurityDay 2013 開催
情報源
SecurityDay2013
http://www.securityday.jp/
概要
2013年12月9日に SecurityDay 2013 を開催いたします。 SecurityDay は、情報セキュリティに関わる方々が集い、情報を交換、議論し、 理解と協力関係を深めていただく場を目指しています。ご意見をお持ちの多く の方々にご参加いただき、熱い議論をしたい!と思います。みなさまのご参加 をお待ちしております。 日 時:2013年12月9日(月) 10時00分より(9時30分開場) 主 催:SecurityDay運営委員会 JPCERTコーディネーションセンター(JPCERT/CC) 日本インターネットプロバイダー協会 (JAIPA) 日本データ通信協会 (Telecom-ISAC Japan) 日本ネットワークセキュリティ協会 (JNSA) 後 援:日本クラウドセキュリティアライアンス(CSAJC) (以下、申請中) 日本ネットワークインフォメーションセンター(JPNIC) 日本シーサート協議会 フィッシング対策協議会 場 所:山王健保会館 東京都港区赤坂2-5-6 トスラブ山王健保会館 会議室 参 加 費:無料 参加対象:情報セキュリティに関わる方 定 員:100名 そ の 他:本イベントはCPEクレジット付与対象です 申込方法:ATNDによる参加受付 http://atnd.org/event/securityday2013
■今週のひとくちメモ
○OWASP Top 10 2013
OWASP (The Open Web Application Security Project) が、Top 10 2013 (Web アプリの 10 大セキュリティリスク) を公開しています。 日本語版も公開されていますので、Web アプリケーションの開発を行っている 皆さんはぜひご一読ください。
参考文献 (英語)
The Open Web Application Security Project (OWASP)
Top 10 2013
https://www.owasp.org/index.php/Top_10_2013OWASP
Category:OWASP Top Ten Project
https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/