JPCERT コーディネーションセンター

Weekly Report 2014-11-12号

JPCERT-WR-2014-4401
JPCERT/CC
2014-11-12

<<< JPCERT/CC WEEKLY REPORT 2014-11-12 >>>

■11/02(日)〜11/08(土) のセキュリティ関連情報

目 次

【1】Symantec Endpoint Protection Manager に複数の脆弱性

【2】Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題

【3】フィッシング対策セミナー2014 開催のお知らせ

【今週のひとくちメモ】サイバーセキュリティ基本法が成立

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr144401.txt
https://www.jpcert.or.jp/wr/2014/wr144401.xml

【1】Symantec Endpoint Protection Manager に複数の脆弱性

情報源

Symantec セキュリティ アドバイザリー SYM14-015
Symantec Endpoint Protection Manager に複数の問題
http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20141105_00

概要

Symantec Endpoint Protection Manager には、複数の脆弱性があります。結
果として、遠隔の第三者が、サーバ上の任意のファイルを読み書きするなどの
可能性があります。

対象となるバージョンは以下の通りです。

- Symantec Endpoint Protection Manager 12.1 およびそれ以前

この問題は、Symantec が提供する修正済みのバージョンに Symantec
Endpoint Protection Manager を更新することで解決します。詳細については、
Symantec が提供する情報を参照して下さい。

【2】Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題

情報源

CERT/CC Vulnerability Note VU#432608
IBM Notes Traveler for Android transmits user credentials over HTTP
https://www.kb.cert.org/vuls/id/432608

概要

Android 版 IBM Notes Traveler クライアントは、ユーザの認証情報を送信す
る際、デフォルトで HTTPS ではなく HTTP を使用します。結果として、遠隔
の第三者が認証情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Android 版 IBM Notes Traveler 9.0.1.3 より前のバージョン

この問題は、IBM が提供する修正済みのバージョンに Android 版 IBM Notes
Traveler クライアントを更新することで解決します。詳細については、IBM
が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#97677963
Android 版 IBM Notes Traveler クライアントに HTTP 経由でユーザ認証情報を送信する問題
https://jvn.jp/vu/JVNVU97677963/

関連文書 (英語)

IBM Security Bulletin
IBM Notes Traveler for Android client explicit warning against use of HTTP (CVE-2014-6130)
https://www-01.ibm.com/support/docview.wss?uid=swg21688840

【3】フィッシング対策セミナー2014 開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー 2014 開催のご案内
https://www.antiphishing.jp/news/event/antiphishing_seminar2014.html

概要

2014年12月16日(火)、フィッシング対策協議会は、コクヨホールにて「フィッ
シング対策セミナー2014」を開催します。今回は、警察庁、ライフカード、楽
天、金融 ISAC といった組織の方々が、それぞれの組織におけるサイバー犯罪
への対策や対応について講演されます。また、海外から APWG の Deputy
Secretary-General である Foy Shiver 氏をお招きしてご講演いただきます。
逐次通訳も行う予定です。

参加費は無料ですが、事前に参加申込みが必要となります。お申込み締切は
2014年12月9日(月) までですが、満席になり次第受付終了となりますので、ご
了承ください。

■今週のひとくちメモ

○サイバーセキュリティ基本法が成立

2014年11月6日、サイバーセキュリティ基本法が衆議院本会議で可決され成立
しました。国の行政機関等におけるサイバーセキュリティの確保、教育および
学習の振興・普及啓発、国際協力の推進などの施策が盛り込まれています。

参考文献 (日本語)

衆議院
サイバーセキュリティ基本法案
http://www.shugiin.go.jp/internet/itdb_gian.nsf/html/gian/honbun/houan/g18601035.htm

内閣官房情報セキュリティセンター
サイバーセキュリティ基本法案の概要
http://www.nisc.go.jp/conference/seisaku/dai40/pdf/40shiryou0102.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter