-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-2201 JPCERT/CC 2013-06-05 <<< JPCERT/CC WEEKLY REPORT 2013-06-05 >>> ―――――――――――――――――――――――――――――――――――――― ■05/26(日)〜06/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Splunk に複数の脆弱性 【2】Yahoo!ブラウザーにアドレスバー偽装の脆弱性 【3】Sleipnir Mobile for Android にアドレスバー偽装の脆弱性 【今週のひとくちメモ】Oracle Server JRE ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr132201.html https://www.jpcert.or.jp/wr/2013/wr132201.xml ============================================================================ 【1】Splunk に複数の脆弱性 情報源 JC3 Bulletin V-168: Splunk Web Input Validation Flaw Permits Cross-Site Scripting Attacks http://energy.gov/cio/articles/v-168-splunk-web-input-validation-flaw-permits-cross-site-scripting-attacks 概要 Splunk には、複数の脆弱性があります。結果として、遠隔の第三者が、サービ ス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Splunk 5.0.3 より前のバージョン この問題は、Splunk が提供する修正済みのバージョンに Splunk を更新するこ とで解決します。詳細については、Splunk が提供する情報を参照して下さい。 関連文書 (英語) Splunk Security Advisory Splunk 5.0.3 addresses multiple vulnerabilities http://www.splunk.com/view/SP-CAAAHXG 【2】Yahoo!ブラウザーにアドレスバー偽装の脆弱性 情報源 Japan Vulnerability Notes JVN#31817913 Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性 https://jvn.jp/jp/JVN31817913/index.html 概要 Yahoo!ブラウザーには、アドレスバー偽装の脆弱性があります。結果として、 アドレスバーに表示される URL を偽装され、フィッシング詐欺等に悪用される 可能性があります。 対象となるバージョンは以下の通りです。 - Yahoo!ブラウザー v1.4.4 およびそれ以前のバージョン この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザーを更 新することで解決します。詳細については、ヤフーが提供する情報を参照して 下さい。 関連文書 (日本語) Google Play Yahoo! ブラウザー https://play.google.com/store/apps/details?id=jp.co.yahoo.android.ybrowser 【3】Sleipnir Mobile for Android にアドレスバー偽装の脆弱性 情報源 Japan Vulnerability Notes JVN#22756333 Sleipnir Mobile for Android におけるアドレスバー偽装の脆弱性 https://jvn.jp/jp/JVN22756333/index.html 概要 Sleipnir Mobile for Android には、アドレスバー偽装の脆弱性があります。 結果として、アドレスバーに表示される URL を偽装され、フィッシング詐欺等 に悪用される可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.9.1 およびそれ以前のバージョン - Sleipnir Mobile for Android Black Edition 2.9.1 およびそれ以前のバージョン この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile を更新することで解決します。詳細については、フェンリルが提供する情報を 参照して下さい。 関連文書 (日本語) Google Play Sleipnir Mobile - ウェブブラウザ https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir Google Play Sleipnir Mobile Black Edition https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Oracle Server JRE Oracle は、2013年4月にリリースされた Java SE 7u21 から、サーバ向け JRE (Server JRE) の提供を開始しました。 最近報告される JRE の脆弱性では、クライアント環境が対象になることが多く、 サーバ環境では問題ない場合でも、JRE がアップデートされるたびにサーバ環 境においても対応が必要とされていました。 サーバ向け JRE は、クライアント環境でのみ使われるプラグインを削除した形 で提供されています。また今後、サーバ環境では不要な機能やライブラリを削 除していくことが計画されています。 参考文献 (英語) The Oracle Software Security Assurance Blog Maintaining the security-worthiness of Java is Oracle's priority https://blogs.oracle.com/security/entry/maintaining_the_security_worthiness_of ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRro9BAAoJEDF9l6Rp7OBIOtUH/i3xlaq0K26QlG104dT3hES9 lr63yQf6N6YjZyo16ndYx4vvgFwuKPi7z6CKwZm9/z7FLE5/u+K2EDMqAYlxOqBn TQd1WPREIOQz0EltXPylej6KFjlkJx73vHZqc9M7dzhyogRNgjohS/Uoomhm/TUw cAevhjT820sR6Iv2odeSHv25UJjTHO1JpcZlhrDmrXVNnECAwZlAty8qW42cAKHh pURqCzhnFC3sQ5XRVKoU0beLUJgBlUaCs/M5KtiesmEjHfHJaOwRLBW8tJjH4UbE L1RMqWXnFcnWaZYC7qQlXWqCuCkOzmv13wsz8VdTHfkQRdf2NkzOe7peAvb/WII= =Q0Rb -----END PGP SIGNATURE-----