-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2012-3801
                                                                   JPCERT/CC
                                                                  2012-10-03

            <<< JPCERT/CC WEEKLY REPORT 2012-10-03 >>>

――――――――――――――――――――――――――――――――――――――
■09/23(日)〜09/29(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Cisco からセキュリティアドバイザリバンドル公開
【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性
【3】Trend Micro Control Manager に SQL インジェクションの脆弱性
【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性
【5】Java セキュアコーディング 連続セミナー ＠東京 第2回開催せまる
【今週のひとくちメモ】情報セキュリティ国際キャンペーン

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr123801.html
        https://www.jpcert.or.jp/wr/2012/wr123801.xml
============================================================================


【1】Cisco からセキュリティアドバイザリバンドル公開

    情報源
      Cisco セキュリティ アドバイザリ
      Semiannual Cisco IOS Software Security Advisory Bundled Publication
      http://www.cisco.com/cisco/web/support/JP/111/1116/1116611_Cisco_ERP_sep12-j.html

    概要
      Cisco から、複数の製品の脆弱性に対応したセキュリティアドバイザリバンド
      ルが公開されました。

      詳細については、Cisco が提供する情報を参照して下さい。

    関連文書 (英語)
      Cisco Security Advisory
      Semiannual Cisco IOS Software Security Advisory Bundled Publication
      http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep12.html

【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性

    情報源
      JC3 Bulletin
      U-267: RSA Authentication Agent 7.1 for Microsoft Windows and RSA Authentication Client 3.5 Access Control Vulnerability
      http://energy.gov/cio/articles/u-267-rsa-authentication-agent-71-microsoft-windows-and-rsa-authentication-client-35

    概要
      RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 には
      アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、Windows
      の認証情報のみでシステムにアクセスする可能性があります。

      対象となるバージョンは以下の通りです。

      - RSA Authentication Agent for Microsoft Windows version 7.1
      - RSA Authentication Client 3.5

      この問題は、RSA が提供する修正済みのバージョンに該当する製品を更新する
      ことで解決します。詳細については、RSA が提供する情報を参照して下さい。

【3】Trend Micro Control Manager に SQL インジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#42014489
      Trend Micro Control Manager における SQL インジェクションの脆弱性
      https://jvn.jp/jp/JVN42014489/index.html

    概要
      トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、
      SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、当
      該製品で使用されているデータベースに対して、任意の SQL コマンドを実行す
      る可能性があります。

      対象となるバージョンは以下の通りです。

      - Trend Micro Control Manager 5.5.0.1823 (日本語版) より前のバージョン
      - Trend Micro Control Manager 5.5.0.1823 (英語版) より前のバージョン
      - Trend Micro Control Manager 6.0.0.1449 (英語版) より前のバージョン

      この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに
      Trend Micro Control Manager を更新することで解決します。詳細については、
      トレンドマイクロ株式会社が提供する情報を参照して下さい。

    関連文書 (日本語)
      トレンドマイクロ株式会社
      アラート/アドバイザリ：Trend Micro Control Manager のSQLインジェクション攻撃の脆弱性
      http://esupport.trendmicro.co.jp/Pages/JP-2081977.aspx

      トレンドマイクロ株式会社
      Trend Micro Control Manager 5.5
      http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=tbl&clkval=3432#fragment-3462

    関連文書 (英語)
      Trend Micro
      Critical patch available for SQL injection attacks in Control Manager (TMCM)
      http://esupport.trendmicro.com/solution/en-us/1061043.aspx

      Trend Micro Download Center
      Control Manager 5.5
      http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=1763#fragment-1845

      Trend Micro Download Center
      Control Manager 6
      http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=4202#fragment-4248

      US-CERT Vulnerability Note VU#950795
      Trend Micro Control Manager adhoc query vulnerability
      http://www.kb.cert.org/vuls/id/950795

【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性

    情報源
      Japan Vulnerability Notes JVN#86318665
      Android 版 jigbrowser+ における WebView クラスに関する脆弱性
      https://jvn.jp/jp/JVN86318665/index.html

    概要
      Android 版 jigbrowser+ には、WebView クラスに関する脆弱性があります。結
      果として、ユーザが不正な他の Android アプリケーションを使用した場合、当
      該製品のデータ領域にある情報が漏えいする可能性があります。

      対象となるバージョンは以下の通りです。

      - jigbrowser+ Ver.1.5.0 より前のバージョン

      この問題は、株式会社jig.jp が提供する修正済みのバージョンに jigbrowser+
      を更新することで解決します。詳細については、株式会社jig.jp が提供する
      情報を参照して下さい。

    関連文書 (日本語)
      株式会社jig.jp
      jigbrowser+ ウェブブラウザ
      https://play.google.com/store/apps/details?id=jp.jig.product.browser_plus

【5】Java セキュアコーディング 連続セミナー ＠東京 第2回開催せまる

    情報源
      JPCERT/CC
      Java セキュアコーディング 連続セミナー ＠東京 のご案内
      https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

    概要
      JPCERT コーディネーションセンターでは、学生等の若年層向けに、Java 言語
      で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニック
      とノウハウを学んでいただく「Java セキュアコーディング 連続セミナー＠東
      京」(全4回) を開催しています。これらのセミナーは、講義とハンズオン演習
      を組み合わせ、Java セキュアコーディングについて、より実践的に学んでいた
      だける内容となっています。

      10月14日(日) には第２回が開催されます。ひきつづき、参加申し込みをお待ち
      しております。

            ■ Java セキュアコーディング 連続セミナー @ 東京

               第２回「数値データの取扱いと入力値検査」
               2012年10月14日（日）　13:30 - 16:30 ( 受付開始13:00- )

               第３回「入出力(File, Stream)と例外時の動作」
               2012年11月11日（日）　13:30 - 16:30 ( 受付開始13:00- )

               第４回「メソッドとセキュリティ」
               2012年12月16日（日）　13:30 - 16:30 ( 受付開始13:00- )

              [会場]
               エッサム神田ホール　401
               東京都千代田区神田鍛冶町3-2-2
               http://www.essam.co.jp/hall/access/index.html

              [定員]　55名/回

               なお、スケジュール等は予告なく変更する場合があります。Web で最
               新情報をご確認ください。

    関連文書 (日本語)
      JPCERT/CC
      Java セキュアコーディング 連続セミナー ＠東京　お申し込み
      https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

      JPCERT/CC
      Java セキュアコーディングスタンダード CERT/Oracle 版
      https://www.jpcert.or.jp/java-rules/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○情報セキュリティ国際キャンペーン

      9月28日、政府は「情報セキュリティ国際キャンペーン」の発表を行いました。
      これは、毎年2月に開催している「情報セキュリティ月間」に加えて、10月を
      「情報セキュリティ国際キャンペーン」の期間とし、国際連携の推進と国内に
      おける情報セキュリティ対策の一層の普及を図るものです。

      本キャンペーンに合わせて関連行事も多数開催される予定です。

    参考文献 (日本語)
      首相官邸ホームページ
      情報セキュリティ対策の一層の普及について 〜情報セキュリティ国際キャンペーンの実施にあたって〜
      http://www.kantei.go.jp/jp/tyokan/noda/20120928message.html

      内閣官房情報セキュリティセンター
      情報セキュリティ国際キャンペーン
      http://www.nisc.go.jp/security-site/campaign/index.html

      JPCERT/CC WEEKLY REPORT 2012-02-01
      【今週のひとくちメモ】情報セキュリティ月間
      https://www.jpcert.or.jp/wr/2012/wr120401.html#Memo


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJQa4x6AAoJEDF9l6Rp7OBImpIH/RzeMMPs5yGXBMGLgHNrWVH7
SVduMMrrjvwIWvWe7aXSuQIGdpuYJJ900KZw0N361zOQ0om9bUze3GrTyRFDKyBt
lbKBvdZeDF8pN8bS+WLsMjVhDeoMrwLtE8+dfCfZIF4BIhxhQRgkWJCJmysHiSf7
q6JB9YgjLcZXAkcngwohH1AkVMBT0oFNrcRuw+lx0Ss4+Wu1YqNzlxKG3HB0/Yrs
BV0O6QhqciDCav8JHAxMld7msXnbQ/qmq9wI3CLvrxNr7zrlnxJHsuRM6TAMS93l
4Ee6NUhW5MT1jz6ZnWaBaNrlC6J9nZuet8uOBQyUNq6fyWAQvcgyjUyTo7C5EsE=
=50Kx
-----END PGP SIGNATURE-----