-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-4101 JPCERT/CC 2012-10-24 <<< JPCERT/CC WEEKLY REPORT 2012-10-24 >>> ―――――――――――――――――――――――――――――――――――――― ■10/14(日)〜10/20(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Oracle Java に脆弱性 【2】2012年10月 Oracle Critical Patch Update について 【3】CA ARCserve Backup に複数の脆弱性 【4】OTRS にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr124101.html https://www.jpcert.or.jp/wr/2012/wr124101.xml ============================================================================ 【1】Oracle Java に脆弱性 情報源 Oracle Technology Network Oracle Java SE Critical Patch Update Advisory - October 2012 http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html 概要 Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 7 およびそれ以前 - JDK/JRE 6 Update 35 およびそれ以前 - JDK/JRE 5.0 Update 36 およびそれ以前 - SDK/JRE 1.4.2_38 およびそれ以前 - JavaFX 2.2 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。 なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのある製品へ の移行をお勧めします。 関連文書 (日本語) 独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2012-5083等) https://www.ipa.go.jp/security/ciadr/vul/20121017-jre.html 関連文書 (英語) Apple Support About the security content of Java for OS X 2012-006 and Java for Mac OS X 10.6 Update 11 http://support.apple.com/kb/HT5549 【2】2012年10月 Oracle Critical Patch Update について 情報源 Oracle Technology Network Oracle Critical Patch Update Advisory - October 2012 http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については、Oracle が提供する情報を参照して下さい。 【3】CA ARCserve Backup に複数の脆弱性 情報源 JC3 Bulletin V-006: CA ARCserve Backup Flaws Let Remote Users Execute Arbitrary Code and Deny Service http://energy.gov/cio/articles/v-006-ca-arcserve-backup-flaws-let-remote-users-execute-arbitrary-code-and-deny-service 概要 CA ARCserve Backup には複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となるバージョンは以下の通りです。 - Windows 用 CA ARCserve Backup r12.5 - Windows 用 CA ARCserve Backup r15 - Windows 用 CA ARCserve Backup r16 この問題は、CA Technologies が提供する更新プログラムを該当する製品に適 用することで解決します。詳細については、CA Technologies が提供する情報 を参照して下さい。 関連文書 (英語) CA Technologies Support CA20121018-01: Security Notice for CA ARCserve Backup https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={F9EEA31E-8089-423E-B746-41B5C9DD2AC1} 【4】OTRS にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Vulnerability Note VU#603276 OTRS contains a cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/603276 概要 OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があ ります。 対象となるバージョンは以下の通りです。 - OTRS Help Desk 2.4.14 およびそれ以前 - OTRS Help Desk 3.0.16 およびそれ以前 - OTRS Help Desk 3.1.10 およびそれ以前 この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで 解決します。詳細については、OTRS が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#603276 OTRS にクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU603276/index.html 関連文書 (英語) Open Technology Real Services Security Advisory 2012-03 Oktober 16, 2012 -- Please read carefully and check if the version of your OTRS system is affected by this vulnerability. http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-03/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション) 財団法人 地方自治情報センターは、「地方公共団体における情報システムセキュ リティ要求仕様モデルプラン(Webアプリケーション)」を公開しました。Web アプリケーション調達の際のセキュリティ要求仕様の雛型として活用されるこ とを想定し、要求仕様の各項目に対する解説や、調達プロセスにおける注意事 項の解説などが提供されています。 この文書は、地方公共団体に限らず、一般的な Web アプリケーションの開発で も活用可能な内容になっています。Web アプリケーションの仕様検討や、開発 業者との要求仕様打合せなどで参考にしてみてください。 参考文献 (日本語) 財団法人 地方自治情報センター(LASDEC) 地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション) https://www.lasdec.or.jp/cms/12,28369,84.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQh0IQAAoJEDF9l6Rp7OBIPDgH/REh+e0Ag6lFS8vjiLOviL/0 rPPnTnRwYi3kyV1S0M6MfezywvuZ9kyc0uOnUrHzKojbWNpCTZHuJWVTEON6RdQn c74NpXtWdpyVRAEFwH6r5kCc305Ne6rCz61/xyYET0qZnfpSqxu7PzWrIuLOWGqW zYWmPjKXXJEyo0TgunYp6ZTuG6Qx9PXTaxpNa2/2EHaTKHGllibLecxOJujBIuUk xLoBRhgTVB2fxKRWjm63wOIDGFfv9F23STOlXJmLtHEwmotQVL+g9LulR4pU1zOQ l73w1CRNc7L2n72uP2JrVGWBOZqzwVhHcB6LbDfs6xEixcYqFUObNWorxF/vzwA= =q/Jf -----END PGP SIGNATURE-----