-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2012-3101
                                                                   JPCERT/CC
                                                                  2012-08-15

            <<< JPCERT/CC WEEKLY REPORT 2012-08-15 >>>

――――――――――――――――――――――――――――――――――――――
■08/05(日)〜08/11(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】HP の ArcSight Logger および ArcSight Connectors にクロスサイトスクリプティングの脆弱性
【2】HP Network Node Manager i (NNMi) にクロスサイトスクリプティングの脆弱性
【3】Cisco ASA 5500 シリーズに複数の脆弱性
【4】Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性
【5】Sleipnir Mobile for Android に複数の脆弱性
【6】Java セキュアコーディングセミナー @ 札幌、ひきつづき参加者募集中
【今週のひとくちメモ】Java 6 のサポート期限延長される

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr123101.html
        https://www.jpcert.or.jp/wr/2012/wr123101.xml
============================================================================


【1】HP の ArcSight Logger および ArcSight Connectors にクロスサイトスクリプティングの脆弱性

    情報源
      US-CERT Vulnerability Note VU#960468
      HP Arcsight Logger and Connector appliances cross-site scripting vulnerability
      http://www.kb.cert.org/vuls/id/960468

    概要
      HP の ArcSight Logger および ArcSight Connectors には、クロスサイトスク
      リプティングの脆弱性があります。結果として、遠隔の第三者が、細工したファ
      イルをインポートさせ、ブラウザ上で任意のスクリプトを実行する可能性があ
      ります。

      対象となるバージョンは以下の通りです。

      - HP Arcsight Logger v5.2.0.6288.0
      - HP Arcsight Connectors v6.2.0.6244.0

      その他のバージョンも影響を受ける可能性があります。

      2012年8月14日現在、対策方法はありません。回避策としては、信頼できないファ
      イルをインポートしないようにして下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#960468
      HP ArcSight アプライアンス製品にクロスサイトスクリプティングの脆弱性
      https://jvn.jp/cert/JVNVU960468/index.html

【2】HP Network Node Manager i (NNMi) にクロスサイトスクリプティングの脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-229
      U-229: HP Network Node Manager i Input Validation Flaw Permits Cross-Site Scripting Attacks
      http://circ.jc3.doe.gov/bulletins/u-229.shtml

    概要
      HP Network Node Manager i (NNMi) には、クロスサイトスクリプティングの脆
      弱性があります。結果として、遠隔の第三者が、細工した URL をユーザにアク
      セスさせることによって、ブラウザ上で任意のスクリプトを実行する可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - HP Network Node Manager i (NNMi) v8.x, v9.0x, v9.1x, v9.20

      この問題は、HP が提供する修正済みのバージョンに Network Node Manager i
      を更新することで解決します。詳細については、HP が提供する情報を参照して
      下さい。

    関連文書 (英語)
      HP Support document
      HPSBMU02798 SSRT100908 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS)
      http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03405705

【3】Cisco ASA 5500 シリーズに複数の脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-231
      U-231: Cisco ASA SIP and WebVPN Bugs Let Remote Users Deny Service
      http://circ.jc3.doe.gov/bulletins/u-231.shtml

    概要
      Cisco ASA 5500 シリーズの SIP および WebVPN 機能には、脆弱性があります。
      結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
      ます。

      対象となるバージョンは以下の通りです。

      - Cisco ASA 5500 シリーズのバージョン 8.2 から 8.4

      この問題は、Cisco が提供する修正済みのバージョンに Cisco ASA 5500 シリー
      ズを更新することで解決します。詳細については、Cisco が提供する情報を参
      照して下さい。

    関連文書 (英語)
      Cisco
      Release Notes for the Cisco ASA 5500 Series, 8.4(x)
      http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html

【4】Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#67435981
      Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性
      https://jvn.jp/jp/JVN67435981/index.html

    概要
      Android 版 LINE には、暗黙的 Intent の扱いに関する脆弱性があります。結
      果として、LINE で送信したメッセージ情報が、不正な Android アプリケーショ
      ン経由で第三者に漏えいする可能性があります。

      対象となるバージョンは以下の通りです。

      - Android 版 LINE 2.5.4 およびそれ以前のバージョン

      この問題は、NHN Japan によるアップデートを適用することで解決します。詳
      細については、NHN Japan が提供する情報を参照して下さい。

    関連文書 (日本語)
      LINE 公式ブログ
      セキュリティ情報 Android版LINEの脆弱性と対応完了のお知らせ
      http://lineblog.naver.jp/archives/12893561.html

【5】Sleipnir Mobile for Android に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#99730704
      Sleipnir Mobile for Android において任意の Java のメソッドが実行される脆弱性
      https://jvn.jp/jp/JVN99730704/index.html

      Japan Vulnerability Notes JVN#39519659
      Sleipnir Mobile for Android において任意のスクリプトが実行される脆弱性
      https://jvn.jp/jp/JVN39519659/index.html

    概要
      Sleipnir Mobile for Android には、複数の脆弱性があります。結果として、
      遠隔の第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Sleipnir Mobile for Android 2.2.0 およびそれ以前
      - Sleipnir Mobile for Android Black Edition 2.2.0 およびそれ以前

      この問題は、フェンリル株式会社が提供する修正済みのバージョンに
      Sleipnir Mobile を更新することで解決します。詳細については、フェンリル
      株式会社が提供する情報を参照して下さい。

    関連文書 (日本語)
      Google Play
      Sleipnir Mobile
      https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir

      Google Play
      Sleipnir Mobile Black Edition
      https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black

【6】Java セキュアコーディングセミナー @ 札幌、ひきつづき参加者募集中

    情報源
      JPCERT/CC
      Java セキュアコーディングセミナー ＠札幌 のご案内
      https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html

    概要
      JPCERT コーディネーションセンターは、Java 言語で脆弱性を含まない安全な
      プログラムをコーディングする具体的なテクニックとノウハウを学んでいただ
      く「Java セキュアコーディングセミナー」を開催します。

      このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコーディ
      ングについて、より実践的に学んでいただける内容となっています。

      札幌を会場とした「Java セキュアコーディングセミナー ＠札幌」の開催まで、
      あと 2週間となりました。ひきつづき、参加申し込みをお待ちしております。

            ■ Java セキュアコーディングセミナー ＠札幌
              [日時] 2012年8月29日(水) 10:30 - 16:00
              [会場] ＡＣＵ　中研修室 1205
                     札幌市中央区北4西5　アスティ45
                     (MAP) http://www.acu-h.jp/koutsu_access/index.php
              [定員]　50名
              [参加費用]　無料

              [内容]　Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                      「オブジェクトの生成と消滅におけるセキュリティ」
                      「リソース消費攻撃とその対策」
                      Javaにおける脆弱なコーディングの事例の解説
                      クイズおよびハンズオン

    関連文書 (日本語)
      JPCERT/CC
      Java セキュアコーディングセミナー ＠札幌　お申し込み
      https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html

      JPCERT/CC
      Java セキュアコーディングスタンダード CERT/Oracle 版
      https://www.jpcert.or.jp/java-rules/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Java 6 のサポート期限延長される

      Java 6 は 2012年 11月で EOL とアナウンスされていましたが、Oracle は 8月
      8日に、Java 6 のサポート期限を 4ヶ月延長すると発表しました。

      これによると、Java 6 は 2013年 2月にリリースされる Update 37 をもってサ
      ポートを終了する予定です。また、今後、Java 6 から Java 7 への自動更新も
      予定されているようです。

      2月を待たず、すみやかに Java 7 への対応を進めましょう。

    参考文献 (日本語)
      JPCERT/CC ひとくちメモ
      Java 7 への対応
      https://www.jpcert.or.jp/tips/2012/wr121801.html

      内閣官房情報セキュリティセンター
      JavaSE 6 のサポート有効期間の満了に係る対応について（注意喚起）
      http://www.nisc.go.jp/active/general/pdf/javasupport_press_120717.pdf

    参考文献 (英語)
      Oracle
      Java 6 End of Public Updates extended to February 2013
      https://blogs.oracle.com/henrik/entry/java_6_eol_h_h


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJQKustAAoJEDF9l6Rp7OBImVIIAIZLctOM1fuEKzG6yyP25IYm
BUXpw5kFxMyJr3KYlqcWZXpgt4mwIiEJbbDrmQoh+agvZI0ZM5huMqBrHUh8ijim
KN6NJZQK+gwdkH5pZ+Hjn4xgTddzNEN9kVFBNrVOrSkiFerqPtZoMrmDICzEGMKM
8rmIaLb93dGa00+2VuDODwJN8DsBaRGEZcG58cGCwJk64pdF1f0vogDy5Ihm8nAj
WWqSID6LYoE1tTWr9i4+a+jUeiXZLacenPPdNkwyCbYzhGXDVXWzUY6REU683EoD
7MJablkgRRXERaxXmhPiJ95nwS5EOkR7YMF2hU6HFBC7HldRRxHDQkbcE7TT+ek=
=RHCn
-----END PGP SIGNATURE-----