JPCERT-WR-2012-1701
2012-05-09
2012-04-22
2012-05-05
Adobe Flash Player に脆弱性
Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が
あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて
いるとのことです。
対象となるバージョンは以下の通りです。
- Adobe Flash Player 11.2.202.233 およびそれ以前 (Windows、Macintosh、
Linux)
- Adobe Flash Player 11.1.115.7 およびそれ以前 (Android 4.x)
- Adobe Flash Player 11.1.111.8 およびそれ以前 (Android 3.x、2.x)
この問題は、Adobe が提供する修正済みのバージョンに更新することで解決し
ます。
Adobe
APSB12-09: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/936/cpsid_93612.html
JPCERT/CC Alert 2012-05-07 JPCERT-AT-2012-0014
Adobe Flash Player の脆弱性 (APSB12-09) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120014.html
Adobe Security Bulletins APSB12-09
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-09.html
複数のジャストシステム製品に脆弱性
株式会社ジャストシステムの提供する複数の製品には、脆弱性が存在します。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。
この問題は、ジャストシステムが提供する更新プログラムを適用することで解
決します。詳細については、ジャストシステムが提供する情報を参照して下さ
い。
株式会社ジャストシステム
[JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js12001.html
独立行政法人情報処理推進機構 セキュリティセンター
複数のジャストシステム製品におけるセキュリティ上の弱点(脆弱性)の注意喚起
https://www.ipa.go.jp/about/press/20120424.html
@police
ジャストシステム社製品の脆弱性について
http://www.npa.go.jp/cyberpolice/topics/?seq=9288
PHP-CGI の query string 処理に脆弱性
PHP には、CGI として使用される設定において query string をコマンドライ
ンオプションとして認識してしまう脆弱性が存在します。結果として、遠隔の
第三者が php スクリプトの内容を取得したり、サービス運用妨害 (DoS) 攻撃
を行ったり、ウェブサーバの権限で任意のコードを実行したりする可能性があ
ります。
対象となるバージョンは以下の通りです。
- PHP version 5.4.3 より前のバージョン
- PHP version 5.3.13 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。
Japan Vulnerability Notes JVNVU#520827
PHP-CGI の query string の処理に脆弱性
https://jvn.jp/cert/JVNVU520827/index.html
PHP News Archive - 2012
PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823)
http://www.php.net/archive/2012.php#id2012-05-06-1
Oracle データベース TNS リスナーに脆弱性
Oracle データベースコンポーネントの TNS リスナーには、脆弱性があります。
結果として、遠隔の第三者が中間者攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Oracle Database 11g Release 2、バージョン 11.2.0.2、11.2.0.3
- Oracle Database 11g Release 1、バージョン 11.1.0.7
- Oracle Database 10g Release 2、バージョン 10.2.0.3、10.2.0.4、10.2.0.5
2012年5月8日現在、対策済みバージョンは提供されていません。以下の回避策
を適用することで、本脆弱性の影響を軽減することが可能です。
- COST (Class of Secure Transport) を利用してインスタンスの登録を制限する
詳細については Oracle が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#359816
Oracle データベース TNS リスナーに脆弱性(緊急)
https://jvn.jp/cert/JVNVU359816/index.html
Oracle Technology Network
Oracle Security Alert for CVE-2012-1675
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2012
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
spモードメールアプリの SSL サーバ証明書検証機能に脆弱性
spモードメールアプリの SSL 証明書検証機能には、脆弱性があります。結果と
して、遠隔の第三者が通信内容を傍受する可能性があります。
対象となるバージョンは以下の通りです。
- spモードメールアプリ バージョン5400 およびそれ以前
この問題は、NTTドコモが提供する修正済みのバージョンに更新することで解決
します。
脆弱性対策情報データベース
「spモードメールアプリ」における SSL サーバ証明書の検証不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.html
Google Play
spモードメール
https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail
Ruby の Mail Gem に複数の脆弱性
Ruby の Mail Gem には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Mail gem for Ruby 2.4.4 より前のバージョン
この問題は、開発者が提供する修正済みのバージョン (2.4.4) にアップデート
することで解決します。
RubyGems.org
mail
http://rubygems.org/gems/mail/
Drupal に複数の脆弱性
Drupal には複数の脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害 (DoS) 攻撃を行ったり、アクセス制限を回避して非公開のコンテンツに
アクセスしたりする可能性があります。
対象となるバージョンは以下の通りです。
- Drupal バージョン 7.13 より前のバージョン
この問題は、開発者が提供する修正済みのバージョン (Drupal 7.13) に更新す
ることで解決します。
Drupal Security Advisories
SA-CORE-2012-002 - Drupal core multiple vulnerabilities
http://drupal.org/node/1557938
OSQA にクロスサイトスクリプティングの脆弱性
OSQA には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- OSQA trunk revision 1234 より前のバージョン
- OSQA バージョン 0.9.0 (Fantasy Island) Beta 3 およびそれ以前
この問題は、開発者が提供する更新プログラムを適用することで解決します。
THE OPEN SOURCE Q&A SYSTEM
http://www.osqa.net/
Java SE 7u4/6u32 のリリースと EOL
2012年4月26日、Oracle から Java SE 7 および Java SE 6 のアップデートが
公開されました。今回のアップデートには脆弱性の修正は含まれていません。
Java SE 7 では、G1 (Garbage-First) ガベージコレクタの導入を含む性能向上
や、Mac OS X 版の Java SE Development Kit 7 の公開が行われています。
また、Java SE 6 は、2012年11月で EOL となる予定であることがアナウンス
されています。この機会に自社システムで使われている Java のバージョンを
確認し、今後のメンテナンス計画を検討することをおすすめします。
Oracle Press Release
Oracle Releases Java SE 7 Update 4 and JavaFX 2.1
http://www.oracle.com/us/corporate/press/1603497
Oracle Technology Network
Java SE 7 Update 4 Release Notes
http://www.oracle.com/technetwork/java/javase/7u4-relnotes-1575007.html
Oracle Technology Network
Java SE 6 Update 32 Release Notes
http://www.oracle.com/technetwork/java/javase/6u32-relnotes-1578471.html
Oracle Technology Network
Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice
http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces