-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-1701 JPCERT/CC 2012-05-09 <<< JPCERT/CC WEEKLY REPORT 2012-05-09 >>> ―――――――――――――――――――――――――――――――――――――― ■04/22(日)〜05/05(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Adobe Flash Player に脆弱性 【2】複数のジャストシステム製品に脆弱性 【3】PHP-CGI の query string 処理に脆弱性 【4】Oracle データベース TNS リスナーに脆弱性 【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性 【6】Ruby の Mail Gem に複数の脆弱性 【7】Drupal に複数の脆弱性 【8】OSQA にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】Java SE 7u4/6u32 のリリースと EOL ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr121701.html https://www.jpcert.or.jp/wr/2012/wr121701.xml ============================================================================ 【1】Adobe Flash Player に脆弱性 情報源 US-CERT Current Activity Archive Adobe Releases Security Advisory for Adobe Flash Player http://www.us-cert.gov/current/archive/2012/05/04/archive.html#adobe_releases_security_advisory_for14 概要 Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて いるとのことです。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 11.2.202.233 およびそれ以前 (Windows、Macintosh、 Linux) - Adobe Flash Player 11.1.115.7 およびそれ以前 (Android 4.x) - Adobe Flash Player 11.1.111.8 およびそれ以前 (Android 3.x、2.x) この問題は、Adobe が提供する修正済みのバージョンに更新することで解決し ます。 関連文書 (日本語) Adobe APSB12-09: Adobe Flash Player に関するセキュリティアップデート公開 http://kb2.adobe.com/jp/cps/936/cpsid_93612.html JPCERT/CC Alert 2012-05-07 JPCERT-AT-2012-0014 Adobe Flash Player の脆弱性 (APSB12-09) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120014.html 関連文書 (英語) Adobe Security Bulletins APSB12-09 Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-09.html 【2】複数のジャストシステム製品に脆弱性 情報源 Japan Vulnerability Notes JVN#95378720 複数のジャストシステム製品における DLL 読み込みに関する脆弱性 https://jvn.jp/jp/JVN95378720/index.html Japan Vulnerability Notes JVN#09619876 複数のジャストシステム製品におけるバッファオーバーフローの脆弱性 https://jvn.jp/jp/JVN09619876/index.html 概要 株式会社ジャストシステムの提供する複数の製品には、脆弱性が存在します。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 この問題は、ジャストシステムが提供する更新プログラムを適用することで解 決します。詳細については、ジャストシステムが提供する情報を参照して下さ い。 関連文書 (日本語) 株式会社ジャストシステム [JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js12001.html 独立行政法人情報処理推進機構 セキュリティセンター 複数のジャストシステム製品におけるセキュリティ上の弱点(脆弱性)の注意喚起 https://www.ipa.go.jp/about/press/20120424.html @police ジャストシステム社製品の脆弱性について http://www.npa.go.jp/cyberpolice/topics/?seq=9288 【3】PHP-CGI の query string 処理に脆弱性 情報源 US-CERT Vulnerability Note VU#520827 PHP-CGI query string parameter vulnerability http://www.kb.cert.org/vuls/id/520827 概要 PHP には、CGI として使用される設定において query string をコマンドライ ンオプションとして認識してしまう脆弱性が存在します。結果として、遠隔の 第三者が php スクリプトの内容を取得したり、サービス運用妨害 (DoS) 攻撃 を行ったり、ウェブサーバの権限で任意のコードを実行したりする可能性があ ります。 対象となるバージョンは以下の通りです。 - PHP version 5.4.3 より前のバージョン - PHP version 5.3.13 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#520827 PHP-CGI の query string の処理に脆弱性 https://jvn.jp/cert/JVNVU520827/index.html 関連文書 (英語) PHP News Archive - 2012 PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823) http://www.php.net/archive/2012.php#id2012-05-06-1 【4】Oracle データベース TNS リスナーに脆弱性 情報源 US-CERT Vulnerability Note VU#359816 Oracle database TNS listener vulnerability http://www.kb.cert.org/vuls/id/359816 概要 Oracle データベースコンポーネントの TNS リスナーには、脆弱性があります。 結果として、遠隔の第三者が中間者攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Oracle Database 11g Release 2、バージョン 11.2.0.2、11.2.0.3 - Oracle Database 11g Release 1、バージョン 11.1.0.7 - Oracle Database 10g Release 2、バージョン 10.2.0.3、10.2.0.4、10.2.0.5 2012年5月8日現在、対策済みバージョンは提供されていません。以下の回避策 を適用することで、本脆弱性の影響を軽減することが可能です。 - COST (Class of Secure Transport) を利用してインスタンスの登録を制限する 詳細については Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#359816 Oracle データベース TNS リスナーに脆弱性(緊急) https://jvn.jp/cert/JVNVU359816/index.html 関連文書 (英語) Oracle Technology Network Oracle Security Alert for CVE-2012-1675 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html Oracle Technology Network Oracle Critical Patch Update Advisory - April 2012 http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html 【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性 情報源 Japan Vulnerability Notes JVN#82029095 spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性 https://jvn.jp/jp/JVN82029095/index.html 概要 spモードメールアプリの SSL 証明書検証機能には、脆弱性があります。結果と して、遠隔の第三者が通信内容を傍受する可能性があります。 対象となるバージョンは以下の通りです。 - spモードメールアプリ バージョン5400 およびそれ以前 この問題は、NTTドコモが提供する修正済みのバージョンに更新することで解決 します。 関連文書 (日本語) 脆弱性対策情報データベース 「spモードメールアプリ」における SSL サーバ証明書の検証不備の脆弱性 http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.html Google Play spモードメール https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail 【6】Ruby の Mail Gem に複数の脆弱性 情報源 JC3-CIRC Technical Bulletin U-157 Ruby Mail Gem Directory Traversal and Shell Command Injection Vulnerabilities http://circ.jc3.doe.gov/bulletins/U-157.shtml 概要 Ruby の Mail Gem には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Mail gem for Ruby 2.4.4 より前のバージョン この問題は、開発者が提供する修正済みのバージョン (2.4.4) にアップデート することで解決します。 関連文書 (英語) RubyGems.org mail http://rubygems.org/gems/mail/ 【7】Drupal に複数の脆弱性 情報源 JC3-CIRC Technical Bulletin U-162 Drupal Multiple Vulnerabilities http://circ.jc3.doe.gov/bulletins/u-162.shtml 概要 Drupal には複数の脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行ったり、アクセス制限を回避して非公開のコンテンツに アクセスしたりする可能性があります。 対象となるバージョンは以下の通りです。 - Drupal バージョン 7.13 より前のバージョン この問題は、開発者が提供する修正済みのバージョン (Drupal 7.13) に更新す ることで解決します。 関連文書 (英語) Drupal Security Advisories SA-CORE-2012-002 - Drupal core multiple vulnerabilities http://drupal.org/node/1557938 【8】OSQA にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#15503729 OSQA におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN15503729/index.html 概要 OSQA には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - OSQA trunk revision 1234 より前のバージョン - OSQA バージョン 0.9.0 (Fantasy Island) Beta 3 およびそれ以前 この問題は、開発者が提供する更新プログラムを適用することで解決します。 関連文書 (英語) THE OPEN SOURCE Q&A SYSTEM http://www.osqa.net/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java SE 7u4/6u32 のリリースと EOL 2012年4月26日、Oracle から Java SE 7 および Java SE 6 のアップデートが 公開されました。今回のアップデートには脆弱性の修正は含まれていません。 Java SE 7 では、G1 (Garbage-First) ガベージコレクタの導入を含む性能向上 や、Mac OS X 版の Java SE Development Kit 7 の公開が行われています。 また、Java SE 6 は、2012年11月で EOL となる予定であることがアナウンス されています。この機会に自社システムで使われている Java のバージョンを 確認し、今後のメンテナンス計画を検討することをおすすめします。 参考文献 (英語) Oracle Press Release Oracle Releases Java SE 7 Update 4 and JavaFX 2.1 http://www.oracle.com/us/corporate/press/1603497 Oracle Technology Network Java SE 7 Update 4 Release Notes http://www.oracle.com/technetwork/java/javase/7u4-relnotes-1575007.html Oracle Technology Network Java SE 6 Update 32 Release Notes http://www.oracle.com/technetwork/java/javase/6u32-relnotes-1578471.html Oracle Technology Network Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPqcdDAAoJEDF9l6Rp7OBI1XoH/13nCjKb8rf24bscH5sDzfdA LCZfHBiwCgVQU2Lb5YCdDbHMDnogdvwRr0moIAZEchaUdhu0bDZxQnmj6CuqvKCx QD8mHRGgRfj6V0uUNL/OjoxuMXHYSXrw7DrhPaUCaOpGIz6/P6/BF1zemYbRmOqt olwVYRlq7RngMqJbroIR28/5zxX08wksr6aarSbd/qmlP/HtfvmKMoetJXDB47bC oXaJxSazrvDaChzo70W7J7vMIo8ibHNzoiV0KENL+80fiEKV+Aully263cIBw9gL VchWEFwjD/AidTJC3McErBxU9vepPmwf1YPLXRk3UQit+ZFnCv1rUJ+2oHPjdtc= =UHrh -----END PGP SIGNATURE-----