-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-3901 JPCERT/CC 2012-10-11 <<< JPCERT/CC WEEKLY REPORT 2012-10-11 >>> ―――――――――――――――――――――――――――――――――――――― ■09/30(日)〜10/06(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】HP Network Node Manager I (NNMi) に脆弱性 【2】IBM の Websphere Commerce に脆弱性 【3】Wireshark に複数の脆弱性 【今週のひとくちメモ】次世代ハッシュ関数 SHA-3 アルゴリズム ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr123901.html https://www.jpcert.or.jp/wr/2012/wr123901.xml ============================================================================ 【1】HP Network Node Manager I (NNMi) に脆弱性 情報源 JC3 Bulletin U-274: HP Network Node Manager I (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Disclosure of Information http://energy.gov/cio/articles/u-274-hp-network-node-manager-i-nnmi-hp-ux-linux-solaris-and-windows-remote-disclosure 概要 HP Network Node Manager I (NNMi) には脆弱性があります。結果として、遠隔 の第三者が機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - HP-UX 用 HP Network Node Manager I (NNMi) v9.20 - Linux 用 HP Network Node Manager I (NNMi) v9.20 - Solaris 用 HP Network Node Manager I (NNMi) v9.20 - Windows 用 HP Network Node Manager I (NNMi) v9.20 この問題は、HP が提供する更新プログラムを HP NNMi に適用することで解決 します。詳細については、HP が提供する情報を参照して下さい。 関連文書 (英語) HP Support Center HPSBMU02817 SSRT100950 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Disclosure of Information http://h20565.www2.hp.com/portal/site/hpsc/public/kb/docDisplay/?docId=emr_na-c03507708 【2】IBM の Websphere Commerce に脆弱性 情報源 JC3 Bulletin U-272: IBM WebSphere Commerce User Information Disclosure Vulnerability http://energy.gov/cio/articles/u-272-ibm-websphere-commerce-user-information-disclosure-vulnerability 概要 IBM の Websphere Commerce には脆弱性があります。結果として、遠隔の第三 者が機密情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - WebSphere Commerce バージョン 6.0.0.0 から 6.0.0.11 - WebSphere Commerce バージョン 7.0.0.0 から 7.0.0.6 この問題は、IBM が提供する更新プログラムを WebSphere Commerce に適用す ることで解決します。詳細については、IBM が提供する情報を参照して下さい。 関連文書 (英語) IBM Security Bulletin Vulnerability in WebSphere Commerce could allow disclosure of user personal data (CVE-2012-4830) https://www-304.ibm.com/support/docview.wss?uid=swg21612484 【3】Wireshark に複数の脆弱性 情報源 JC3 Bulletin U-273: Multiple vulnerabilities have been reported in Wireshark http://energy.gov/cio/articles/u-273-multiple-vulnerabilities-have-been-reported-wireshark 概要 Wireshark には複数の脆弱性があります。結果として、遠隔の第三者が任意の コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。 対象となるバージョンは以下の通りです。 - Wireshark 1.8.3 より前のバージョン この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新 することで解決します。詳細については、Wireshark が提供する情報を参照し て下さい。 関連文書 (英語) Wireshark Wireshark 1.8.3 Release Notes http://www.wireshark.org/docs/relnotes/wireshark-1.8.3.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○次世代ハッシュ関数 SHA-3 アルゴリズム 米国の NIST (National Institute of Standards and Technology) は、2012年 10月2日に次世代ハッシュ関数 SHA-3 アルゴリズムとして Keccak を選定しま した。Keccak は ケチャック (catch-ack) と発音します。 NIST は 2007年に SHA-3 の選定を開始し、5年間かけて標準アルゴリズムを決 定しました。詳細については NIST の情報を参照してください。 参考文献 (英語) NIST NIST Selects Winner of Secure Hash Algorithm (SHA-3) Competition http://www.nist.gov/itl/csd/sha-100212.cfm ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQdhVDAAoJEDF9l6Rp7OBI/bsH/AzHXqST/gCs/ta6e0HrWTAh szCHGphf968+pi/MXilXjS06eQ2U7iPJbbZTFcssV6BP9FFcTp2F+WKn//iKn5VO CKkuNQC3/xpyjVT0rw0hLIgdFx5hYOoUTTcoS8Dx1ZkXEGUYtFhnhk2TYcjhWqVD RPqfMvuGdnxjKOuQ5W6BEzqJDWaZdMLAGW3O98RkTF2qiWTYD9M4By/adsvdWhwU Aqu6RKnih7QBjne1NV0XFhLvdjLm8TCggRvCEvmnpgvZXu38yX+v4Ifwey6JriyM klXPETYXkt57d1bAUxlUXfAU6uOX/ueJx1PkxZQ4gRAQkWhGP29ty87Oyy/v0Wo= =xl1a -----END PGP SIGNATURE-----