-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-3201 JPCERT/CC 2012-08-22 <<< JPCERT/CC WEEKLY REPORT 2012-08-22 >>> ―――――――――――――――――――――――――――――――――――――― ■08/12(日)〜08/18(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Microsoft 製品に複数の脆弱性 【2】Adobe Flash Player に脆弱性 【3】Adobe Reader および Acrobat に複数の脆弱性 【4】Oracle Database に脆弱性 【5】HP Service Manager に脆弱性 【6】Java セキュアコーディングセミナー @ 札幌、開催せまる 【今週のひとくちメモ】1024 ビット未満の暗号キーをブロックする Windows 更新プログラム提供開始 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr123201.html https://www.jpcert.or.jp/wr/2012/wr123201.xml ============================================================================ 【1】Microsoft 製品に複数の脆弱性 情報源 US-CERT Alert (TA12-227A) Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA12-227A.html 概要 Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品は以下の通りです。 - Microsoft Windows - Internet Explorer - Microsoft Office - Microsoft SQL Server - Microsoft サーバー ソフトウェア - マイクロソフト開発者用ツール - Microsoft Exchange Server この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを 適用することで解決します。詳細については、Microsoft が提供する情報を参 照して下さい。 関連文書 (日本語) マイクロソフトセキュリティTechCenter 2012 年 8 月のセキュリティ情報 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-aug 日本のセキュリティチーム 2012 年 8 月のセキュリティ情報 (月例) - MS12-052 〜 MS12-060 http://blogs.technet.com/b/jpsecurity/archive/2012/08/14/3514262.aspx Japan Vulnerability Notes JVNTA12-227A Microsoft 製品における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA12-227A/index.html 独立行政法人情報処理推進機構 (IPA) Microsoft Office 等の脆弱性の修正について(MS12-060)(CVE-2012-1856) http://www.ipa.go.jp/security/ciadr/vul/20120815-windows.html 警察庁 @Police マイクロソフト社のセキュリティ修正プログラムについて(MS12-052,053,054,055,056,057,058,059,060) http://www.npa.go.jp/cyberpolice/topics/?seq=9905 JPCERT/CC 2012年8月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120025.html 【2】Adobe Flash Player に脆弱性 情報源 Adobe Security bulletin APSB12-18: Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb12-18.html 概要 Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて いるとのことです。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 11.3.300.270 およびそれ以前 (Windows、Macintosh) - Adobe Flash Player 11.2.202.236 およびそれ以前 (Linux) この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新 することで解決します。 関連文書 (日本語) Adobe セキュリティ情報 APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/flash-player/kb/cq08150306.html JPCERT/CC Alert 2012-08-15 JPCERT-AT-2012-0024 Adobe Flash Player の脆弱性 (APSB12-18) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120024.html 【3】Adobe Reader および Acrobat に複数の脆弱性 情報源 Adobe Security bulletin APSB12-16: Security update available for Adobe Reader and Acrobat http://www.adobe.com/support/security/bulletins/apsb12-16.html 概要 Adobe Reader および Acrobat には複数の脆弱性があります。結果として、遠 隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となる製品は以下の通りです。 - Adobe Acrobat X (10.1.3) およびそれ以前の 10.x (Windows および Macintosh) - Adobe Acrobat 9.5.1 およびそれ以前の 9.x (Windows および Macintosh) - Adobe Reader X (10.1.3) およびそれ以前の 10.x (Windows および Macintosh) - Adobe Reader 9.5.1 およびそれ以前の 9.x (Windows および Macintosh) この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新 することで解決します。詳細については、Adobe が提供する情報を参照してく ださい。 関連文書 (日本語) Adobe セキュリティ情報 APSB12-16: Adobe Reader および Acrobat に関するセキュリティアップデート公開 http://helpx.adobe.com/jp/acrobat/kb/cq08100817.html JPCERT/CC Alert 2012-08-15 JPCERT-AT-2012-0023 Adobe Reader 及び Acrobat の脆弱性 (APSB12-16) に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120023.html 【4】Oracle Database に脆弱性 情報源 JC3-CIRC Technical Bulletin U-233 U-233: Oracle Database INDEXTYPE CTXSYS.CONTEXT Bug Lets Remote Authenticated Users Gain Elevated Privileges http://circ.jc3.doe.gov/bulletins/u-233.shtml 概要 Oracle Database には脆弱性があります。結果として、Create Table 権限を持 つユーザが SYS 権限を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Oracle Database Server のバージョン 10.2.0.3、10.2.0.4、10.2.0.5、 11.1.0.7、11.2.0.2、11.2.0.3 この問題は、Oracle が提供する更新プログラムを Oracle Database に適用す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。 関連文書 (英語) ORACLE Oracle Security Alert for CVE-2012-3132 http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-1721017.html ORACLE Text Form of Oracle Security Alert - CVE-2012-3132 Risk Matrices http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-verbose-1721021.html 【5】HP Service Manager に脆弱性 情報源 JC3-CIRC Technical Bulletin U-238 U-238: HP Service Manager Input Validation Flaw Permits Cross-Site Scripting Attacks http://circ.jc3.doe.gov/bulletins/u-238.shtml 概要 HP Service Manager にはクロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 7.11、9.21、9.30 この問題は、HP が提供する修正済みのバージョンに HP Service Manager を更 新することで解決します。詳細については、HP が提供する情報を参照して下さ い。 【6】Java セキュアコーディングセミナー @ 札幌、開催せまる 情報源 JPCERT/CC Java セキュアコーディングセミナー @札幌 のご案内 https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html 概要 JPCERT コーディネーションセンターは、Java 言語で脆弱性を含まない安全な プログラムをコーディングする具体的なテクニックとノウハウを学んでいただ く「Java セキュアコーディングセミナー」を開催します。 このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコーディ ングについて、より実践的に学んでいただける内容となっています。 札幌を会場とした「Java セキュアコーディングセミナー @札幌」の開催まで、 あと 1週間となりました。ひきつづき、参加申し込みをお待ちしております。 ■ Java セキュアコーディングセミナー @札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン 関連文書 (日本語) JPCERT/CC Java セキュアコーディングセミナー @札幌 お申し込み https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html JPCERT/CC Java セキュアコーディングスタンダード CERT/Oracle 版 https://www.jpcert.or.jp/java-rules/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○1024 ビット未満の暗号キーをブロックする Windows 更新プログラム提供開始 マイクロソフトは 2012年8月14日 (米国時間) に、8月のセキュリティ更新プロ グラムとは別に 1024 ビット未満の暗号キーをブロックする更新プログラムを 公開しました。現在は、ダウンロードセンターおよび Microsoft Update カタ ログから入手できるようになっています。 2012年10月には Microsoft Update を通じて配信される予定ですので、事前に 影響範囲を確認し、必要な対策を行うことをお勧めします。 参考文献 (日本語) Microsoft マイクロソフト セキュリティ アドバイザリ (2661254): 証明書の鍵長の最小値に関する更新プログラム http://technet.microsoft.com/ja-jp/security/advisory/2661254 日本のセキュリティチーム 1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その 2 http://blogs.technet.com/b/jpsecurity/archive/2012/08/10/3513621.aspx 日本のセキュリティチーム 1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その 3 http://blogs.technet.com/b/jpsecurity/archive/2012/08/14/3514260.aspx JPCERT/CC Weekly Report ひとくちメモ 1024ビット未満の暗号キーをブロックする Windows 更新プログラム https://www.jpcert.or.jp/tips/2012/wr123001.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQNC/OAAoJEDF9l6Rp7OBIf78IAKG9d2Xs7UpsMB0Aemdij/At mI7U4LcLmIWNyfwyV7UGh2K4TEDreLMexxPHyyEnBNHiFZLM4J6TqJEpk8luSvYR +p3HxKR/n7uKTZ1DyVsfz4LVxsoYM5Va4A088AWjH4EVn1D+uxW4+DN+tJawqKbc INjvkuE75rtrgwSGqDpDdFYkv/qUH3fqWN/kZw0UtYA2qr5uDtQS8gIKr0TABANz gZ9urGEKq0RF+8J4sLlWl2nusnajZtfWYs/KSTa5BZx/gTFvrBa26bh7lHn8Pd+0 krCpo/rLzU7ZbN9f7VaLspU4YD+xwga/sZoe20vTaGW+ui6S6m71sHRPHrvch4E= =goAN -----END PGP SIGNATURE-----