JPCERT-WR-2012-0301
2012-01-25
2012-01-15
2012-01-21
2012年1月 Oracle Critical Patch Update について
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for January 2012
http://www.us-cert.gov/current/archive/2012/01/20/archive.html#oracle_releases_critical_patch_update16
JC3-CIRC Technical Bulletin U-083
Oracle Critical Patch Update Advisory - January 2012
http://circ.jc3.doe.gov/bulletins/u-083.shtml
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応し
た Oracle Critical Patch Update Advisory が公開されました。
詳細については Oracle が提供する情報を参照してください。
Oracle Technology Network
[CPUJan2012] Oracle Critical Patch Update Advisory - January 2012
http://www.oracle.com/technetwork/jp/topics/ojkb156878-1489249-ja.html
Oracle Technology Network
Critical Patch Update - January 2012
http://www.oracle.com/technetwork/jp/topics/security/top-1491621-ja.html
Japan Vulnerability Notes JVNVU#738961
Oracle Outside In に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU738961/index.html
Japan Vulnerability Notes JVN#54779201
Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN54779201/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2012
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html
US-CERT Vulnerability Note VU#738961
Oracle Outside In contains an exploitable vulnerability in Lotus 123 v4 parser
http://www.kb.cert.org/vuls/id/738961
osCommerce に複数の脆弱性
Japan Vulnerability Notes JVN#36559450
osCommerce 日本語版におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN36559450/index.html
Japan Vulnerability Notes JVN#64386898
osCommerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN64386898/index.html
Japan Vulnerability Notes JVN#38216398
osCommerce におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN38216398/index.html
オープンソースのショッピングサイト構築システム osCommerce には、
複数の脆弱性があります。結果として、遠隔の第三者がサーバ内にある
任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリプト
を実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- osCommerce 2.2 MS1 日本語版 R8 およびそれ以前
- osCommerce Online Merchant v2.3.1 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに osCommerce を
更新することで解決します。詳細については、配布元が提供する情報を
参照してください。
osCommerce 日本語版
[重要] クロスサイトスクリプティングの脆弱性について
http://sourceforge.jp/forum/forum.php?forum_id=28119
osCommerce News
osCommerce Online Merchant v2.3.1
http://www.oscommerce.com/about/news,135
ハッシュテーブル処理の問題
2011年12月末に公表されたハッシュテーブル処理に関する攻撃手法につ
いて、様々なアプリケーションで対策がすすめられています。
この攻撃手法の影響を受けるのは、ハッシュ値が衝突するような入力を
作成でき、ハッシュテーブルに登録するデータを外部から制御できる場
合です。多くの Web アプリケーションで使用されるプログラミング言
語やフレームワークが影響を受けます。
Perl や Ruby では、ハッシュ関数をより強固なものに変更しています。
また、Apache Tomcat や PHP では、ハッシュテーブル処理に使われる
データ数を制限する設定項目を追加しています。
お使いのアプリケーションでの対策を確認し、すみやかに対応すること
をおすすめします。
JPCERT/CC WEEKLY REPORT 2012-01-12
【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
https://www.jpcert.or.jp/wr/2012/wr120101.html#1
28th Chaos Communication Congress
28C3: Effective Denial of Service attacks against web application platforms
http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html