-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-2501 JPCERT/CC 2013-06-26 <<< JPCERT/CC WEEKLY REPORT 2013-06-26 >>> ―――――――――――――――――――――――――――――――――――――― ■06/16(日)〜06/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Oracle Java に複数の脆弱性 【2】Oracle Javadoc ツールに脆弱性 【3】一太郎シリーズに脆弱性 【4】サイボウズLive for Android に複数の脆弱性 【5】Symantec Endpoint Protection 製品にバッファオーバフローの脆弱性 【6】Cisco TelePresence TC および TE ソフトウェアに複数の脆弱性 【今週のひとくちメモ】JPNIC、「インターネット歴史年表 ベータ版」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr132501.html https://www.jpcert.or.jp/wr/2013/wr132501.xml ============================================================================ 【1】Oracle Java に複数の脆弱性 情報源 US-CERT Alert (TA13-169A) Oracle Releases Updates for Javadoc and Other Java SE Vulnerabilities http://www.us-cert.gov/ncas/alerts/TA13-169A 概要 Oracle Java には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK and JRE 7 Update 21 およびそれ以前のバージョン - JDK and JRE 6 Update 45 およびそれ以前のバージョン - JDK and JRE 5.0 Update 45 およびそれ以前のバージョン - JavaFX 2.2.21 およびそれ以前のバージョン この問題は、Oracle が提供する修正済みのバージョンに該当する製品を更新す ることで解決します。詳細については、Oracle が提供する情報を参照して下さ い。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-169A Oracle Java の複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNTA13-169A/index.html 独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2013-2470等) http://www.ipa.go.jp/security/ciadr/vul/20130619-jre.html 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - June 2013 http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html 【2】Oracle Javadoc ツールに脆弱性 情報源 US-CERT Vulnerability Note VU#225657 Oracle Javadoc HTML frame injection vulnerability http://www.kb.cert.org/vuls/id/225657 概要 Oracle Java Development Kit (JDK) に含まれる Javadoc ツールで生成した HTML ファイルには、ページ内のフレームに任意の Web サイトのコンテンツを 表示できる脆弱性があります。結果として、Web ページ内のフレームに任意の Web サイトのコンテンツを表示され、フィッシング詐欺等に使用される可能性 があります。 対象となるバージョンは以下の通りです。 - Java Development Kit (JDK) 7 Update 21 およびそれ以前のバージョン - Java Development Kit (JDK) 6 Update 45 およびそれ以前のバージョン - Java Development Kit (JDK) 5.0 Update 45 およびそれ以前のバージョン - JavaFX 2.2.21 およびそれ以前のバージョン この問題は、Oracle Java Development Kit (JDK) を最新版へアップデートし、 Javadoc ツールで生成した HTML ファイルを作り直すことで解決します。詳細 については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#94189582 Oracle Javadoc ツールに脆弱性 https://jvn.jp/cert/JVNVU94189582/index.html 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - June 2013 http://www.oracle.com/technetwork/topics/security/javacpujun2013-1899847.html 【3】一太郎シリーズに脆弱性 情報源 Japan Vulnerability Notes JVN#98712361 一太郎シリーズにおいて任意のコードが実行される脆弱性 https://jvn.jp/jp/JVN98712361/index.html 概要 ジャストシステムが提供する一太郎シリーズには、脆弱性があります。結果と して、遠隔の第三者が細工したファイルをユーザに開かせることで任意のコー ドを実行する可能性があります。 対象となる製品は以下の通りです。 - 一太郎2013 玄 - 一太郎2012 承 - 一太郎2011 創 / 一太郎2011 - 一太郎Pro 2 - 一太郎Pro - 一太郎Government 7 - 一太郎Government 6 - 一太郎2010 - 一太郎ガバメント2010、ジャストスクール2010 - 一太郎2009、一太郎ガバメント2009、ジャストスクール2009 - 一太郎2008、一太郎ガバメント2008、ジャストスクール - 一太郎2007、一太郎ガバメント2007 - 一太郎2006、一太郎ガバメント2006 - 一太郎ポータブル with oreplug - 一太郎ビューア この問題は、ジャストシステムが提供する修正済みのバージョンに一太郎を更 新することで解決します。詳細については、ジャストシステムが提供する情報 を参照して下さい。 関連文書 (日本語) ジャストシステム株式会社 一太郎の脆弱性を悪用した不正なプログラムの実行危険性について http://www.justsystems.com/jp/info/js13002.html 警察庁 @Police ジャストシステム社製品の脆弱性について https://www.npa.go.jp/cyberpolice/topics/?seq=11770 【4】サイボウズLive for Android に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#63428218 サイボウズLive for Android において任意の Java のメソッドが実行される脆弱性 https://jvn.jp/jp/JVN63428218/index.html Japan Vulnerability Notes JVN#19740283 サイボウズLive for Android における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN19740283/index.html 概要 サイボウズ株式会社が提供するサイボウズLive for Android には、複数の脆弱 性があります。結果として、遠隔の第三者が Android 端末の情報を窃取したり、 任意の OS コマンドを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズLive for Android バージョン 2.0.0 この問題は、サイボウズが提供する修正済みのバージョンにサイボウズLive for Android を更新することで解決します。詳細については、サイボウズが提 供する情報を参照して下さい。 関連文書 (日本語) サイボウズ株式会社 サイボウズLive for Android(Ver.2.0)の不具合について https://live.cybozu.co.jp/trouble.html?q=2530 【5】Symantec Endpoint Protection 製品にバッファオーバフローの脆弱性 情報源 JC3 Bulletin V-182: Symantec Endpoint Protection Manager Buffer Overflow Vulnerability http://energy.gov/cio/articles/v-182-symantec-endpoint-protection-manager-buffer-overflow-vulnerability 概要 Symantec Endpoint Protection Manager および Protection Center には、バッ ファオーバフローの脆弱性があります。結果として、遠隔の第三者が、任意の コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Endpoint Protection Manager 12.1.x - Symantec Endpoint Protection Center 12.0.x この問題は、Symantec が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Symantec が提供する情報を参照して 下さい。 関連文書 (英語) Security Advisories Relating to Symantec Products Symantec Endpoint Protection Manager/Protection Center 12.x Buffer Overflow http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&suid=20130618_00 【6】Cisco TelePresence TC および TE ソフトウェアに複数の脆弱性 情報源 JC3 Bulletin V-183: Cisco TelePresence TC and TE Bugs Let Remote Users Deny Service and Remote Adjacent Authenticated Users Gain Root Shell Access http://energy.gov/cio/articles/v-183-cisco-telepresence-tc-and-te-bugs-let-remote-users-deny-service-and-remote 概要 Cisco TelePresence TC および TE ソフトウェアには、複数の脆弱性がありま す。結果として、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を実行するな どの可能性があります。 対象となるシステムは以下の通りです。 - Cisco TelePresence MX シリーズ - Cisco TelePresence System EX シリーズ - Cisco TelePresence Integrator C シリーズ - Cisco TelePresence Profiles シリーズ - Cisco TelePresence Quick Set シリーズ - Cisco IP Video Phone E20 この問題は、Cisco が提供する修正済みのバージョンに TelePresence を更新 することで解決します。詳細については、Cisco が提供する情報を参照して下 さい。 関連文書 (日本語) Cisco Security Advisory Multiple Vulnerabilities in Cisco TelePresence TC and TE Software http://www.cisco.com/cisco/web/support/JP/111/1118/1118409_cisco-sa-20130619-tpc-j.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○JPNIC、「インターネット歴史年表 ベータ版」を公開 JPNIC は、インターネット資源管理の歴史を中心にまとめた「インターネット 歴史年表 ベータ版」を公開しました。この歴史年表は、JPNIC がたどってきた 道筋とインターネット全体の歴史をできるだけ記録し、分かりやすくまとめよ うとする活動の一環です。 JPNIC では、歴史年表の正確性と使い勝手の向上を目指して情報提供を求める とともに、インターネットの歴史に関する資料の収集も行っています。 参考文献 (日本語) JPNIC 「インターネット歴史年表 ベータ版」の公開のお知らせ〜歴史年表への情報提供のお願い〜 https://www.nic.ad.jp/ja/topics/2013/20130619-01.html JPNIC インターネット歴史年表 https://www.nic.ad.jp/timeline/ ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRyj+5AAoJEDF9l6Rp7OBI09IH/3fkWXBX/zt3S/8Kqq/3IgOC tOBfjuOTk+MlfD+8lHzIByHqd9DmbWgQfUaXe/mbX7qqwFc4LhJx8CIfhCn9r+Y3 oYg6O7Xqxq4fo94znASj/1vb2i6w0Ij8MazGJLc2nMjQf4vrMNNwKjcD+PXIHEAU A1H1r1X3kcECnWK4Ow8BTipqd+0TySEJedtJSoDL3/a08u/sPR1NOCPn6lVcyYAi q6ZB16XIGeYaywpjNwgK49FY5/IL1BvlrUjoCL/oXgF+e92xJbMP+5kBGXaCeZ8o d8J64RTkK8mKdtggRR9blrsJydKnjREmQhy3YmLBAz/V+zdwNle5OgX7jaC6nII= =Enpt -----END PGP SIGNATURE-----