-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2012-0401
                                                                   JPCERT/CC
                                                                  2012-02-01

            <<< JPCERT/CC WEEKLY REPORT 2012-02-01 >>>

――――――――――――――――――――――――――――――――――――――
■01/22(日)〜01/28(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Apache Struts に脆弱性
【2】Symantec pcAnywhere に複数の脆弱性
【3】Linux カーネルに脆弱性
【4】Google Chrome に脆弱性
【5】学生向け Java セキュアコーディングセミナー参加者募集中
【今週のひとくちメモ】情報セキュリティ月間

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr120401.html
        https://www.jpcert.or.jp/wr/2012/wr120401.xml
============================================================================


【1】Apache Struts に脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-089
      Apache Struts ParameterInterceptor() Flaw Lets Remote Users Execute Arbitrary Commands
      http://circ.jc3.doe.gov/bulletins/u-089.shtml

    概要
      Apache Struts には、脆弱性があります。結果として、遠隔の第三者が
      Apache Struts を実行しているサーバ上で任意のコマンドを実行する可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - Apache Struts 2.0.0 から 2.3.1.1

      この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
      ンに Apache Struts を更新することで解決します。詳細については、各ベンダ
      や配布元が提供する情報を参照してください。
      		

    関連文書 (英語)
      Apache Struts 2 Documentation
      Security Bulletins S2-009
      http://struts.apache.org/2.x/docs/s2-009.html

      Apache Software Foundation
      Download a Release Struts 2.3.1.2
      http://struts.apache.org/download.cgi#struts2312

【2】Symantec pcAnywhere に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Symantec pcAnywhere Hotfix
      http://www.us-cert.gov/current/archive/2012/01/24/archive.html#symantec_pcanywhere_hotfix

    概要
      Symantec pcAnywhere には、複数の脆弱性があります。結果として、遠隔の第
      三者が任意のコードを実行したり、ローカルユーザが権限を昇格したりする可
      能性があります。

      対象となる製品は以下の通りです。

      - pcAnywhere
      - ITMS with pcAnywhere Solution

      この問題は、Symantec が提供する修正済みのバージョンに pcAnywhere を更新
      することで解決します。詳細については、Symantec が提供する情報を参照して
      ください。
      		

    関連文書 (日本語)
      Symantec pcAnywhere hotfix
      pcAnywhere TECH179526 ホットフィックス
      http://www.symantec.com/business/support/index?page=content&id=TECH179526&actp=search&vie&searchid=1327896107978&locale=ja_JP#

      Symantec pcAnywhere hotfix
      pcAnywhere TECH179960 ホットフィックス
      http://www.symantec.com/business/support/index?page=content&id=TECH179960&actp=search&vie&searchid=1327896283521&locale=ja_JP#

    関連文書 (英語)
      Symantec Security Advisories SYM12-002
      Symantec pcAnywhere Remote Code Execution, Local Access File Tampering
      http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

【3】Linux カーネルに脆弱性

    情報源
      US-CERT Vulnerability Note VU#470151
      Linux Kernel local privilege escalation via SUID /proc/pid/mem write
      http://www.kb.cert.org/vuls/id/470151

      JC3-CIRC Technical Bulletin U-086
      Linux Kernel "/proc/&lt;pid&gt;/mem" Privilege Escalation Vulnerability 
      http://circ.jc3.doe.gov/bulletins/u-086.shtml

    概要
      Linux カーネルには脆弱性があります。結果として、ローカルユーザが権限を
      昇格する可能性があります。

      対象となるバージョンは以下の通りです。

      - Linux カーネル 2.6.39 およびそれ以降
        なお、Linux カーネル 3.0.18 および 3.2.2 では本脆弱性が修正され
        ています。

      この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
      ンに Linux カーネルを更新することで解決します。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#470151
      Linux に権限昇格の脆弱性
      https://jvn.jp/cert/JVNVU470151/

      Debian セキュリティ勧告
      DSA-2389-1 linux-2.6 -- 特権の昇格/サービス拒否攻撃/情報の漏洩
      http://www.debian.org/security/2012/dsa-2389.ja.html

    関連文書 (英語)
      Red Hat CVE DATABASE
      CVE-2012-0056 kernel: proc: /proc/&lt;pid&gt;/mem mem_write insufficient permission checking
      https://www.redhat.com/security/data/cve/CVE-2012-0056.html

      Ubuntu Security Notice
      USN-1342-1: Linux kernel (Oneiric backport) vulnerability
      http://www.ubuntu.com/usn/usn-1342-1/

【4】Google Chrome に脆弱性

    情報源
      US-CERT Current Activity Archive
      Google Releases Chrome 16.0.912.77
      http://www.us-cert.gov/current/archive/2012/01/24/archive.html#google_releases_chrome_16_02

    概要
      Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで
      す。

      - Google Chrome 16.0.912.77 より前のバージョン

      この問題は、Google が提供する修正済みのバージョンに Google Chrome を更
      新することで解決します。
      		

    関連文書 (英語)
      Google Chrome Releases
      Stable Channel Update
      http://www.googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html

【5】学生向け Java セキュアコーディングセミナー参加者募集中

    情報源
      JPCERT/CC
      Java セキュアコーディングセミナーのご案内
      https://www.jpcert.or.jp/event/securecoding-java-seminar.html

    概要
      JPCERT コーディネーションセンターは、学生等の若年層向けに、Java言語で脆
      弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノ
      ウハウを学んでいただく「Java セキュアコーディングセミナー」を開催します。

      関西および関東で同内容のセミナーを各一回開催します。なお、参加者多数の
      場合はお申し込み先着順となります。

            Java セキュアコーディングセミナー @ キャンパスプラザ京都
              [日時] 2012年2月15日(水) 13:30 - 16:30
              [会場] キャンパスプラザ京都 6階　京都大学サテライト
                     京都市下京区西洞院通塩小路下る
                     (MAP) http://www.consortium.or.jp/contents_detail.php?co=cat&frmId=585&frmCd=14-3-0-0-0
              [定員]　30名

            Java セキュアコーディングセミナー @ 慶應義塾大学日吉キャンパス
              [日時] 2012年2月18日(土) 13:30 - 16:30
              [会場] 慶應義塾大学日吉キャンパス協生館 3F C3S01教室
                     神奈川県横浜市港北区日吉4-1-1
                     (MAP) http://www.kcc.keio.ac.jp/access/index.html
              [定員]　50名

    関連文書 (日本語)
      JPCERT/CC
      Java セキュアコーディングセミナーお申し込み
      https://www.jpcert.or.jp/event/securecoding-java-application.html

      JPCERT/CC
      Java セキュアコーディングスタンダード CERT/Oracle 版
      https://www.jpcert.or.jp/java-rules/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○情報セキュリティ月間

      2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため
      の様々な活動が企画されています。JPCERT/CC も「制御システムセキュリティ
      カンファレンス2012」や「SecurityDay 2012」など、いくつかのイベントに協
      力しています。

      情報セキュリティの普及啓発の一助として、この機会をご活用ください。

    参考文献 (日本語)
      内閣官房情報セキュリティセンター
      情報セキュリティ月間
      http://www.nisc.go.jp/active/kihon/ism_index.html

      内閣官房情報セキュリティセンター
      平成23年度「情報セキュリティ月間」の実施について
      http://www.nisc.go.jp/press/pdf/h23_ism_press.pdf

      JPCERT/CC WEEKLY REPORT 2011-02-02
      【今週のひとくちメモ】情報セキュリティ月間
      https://www.jpcert.or.jp/wr/2011/wr110401.html#Memo


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJPKJE6AAoJEDF9l6Rp7OBIFuEH/0KinCMdI5Y59y14PMFqMcFh
XfrWAqfzmv2ZO+skC45djo7jxIiG8uSJy70b3PDaZua5gdDF4GpNfPkx0TpwdzLE
IROX2vBdiaZACiNhtaxNxp4MU9XX6dm+YYPjwLzaGNlHBHu8IxMyIJY+1J9e+XeB
I3Pg60xV825pKUt96lDHTJVIuoT5n3Xg3kD1wPmmMgItrD9+p9l1vSDDunr/IdYd
2U0C7Rej75Gb3/LKBJLLgn5H++XVg3fXRBWjv/cakaH+S7EdrKey9EeP2E2B9PYD
fBtJsPjQxxFiPYaqWFqijpkm6SXAkAegpcC8u8ISlzBSQk3gciehuTWAC58+7Ac=
=FNzW
-----END PGP SIGNATURE-----