JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2013 > Weekly Report 2013-10-02号

最終更新: 2013-10-02

Weekly Report 2013-10-02号


JPCERT-WR-2013-3901
JPCERT/CC
2013-10-02

<<< JPCERT/CC WEEKLY REPORT 2013-10-02 >>>

■09/22(日)〜09/28(土) のセキュリティ関連情報

目 次

【1】HP System Management Homepage にスタックバッファオーバーフローの脆弱性

【2】Dell iDRAC にクロスサイトスクリプティングの脆弱性

【3】TCG 日本支部 (JRF) セキュリティーワークショップ開催

【今週のひとくちメモ】Microsoft Message Analyzer 正式リリース

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr133901.txt
https://www.jpcert.or.jp/wr/2013/wr133901.xml

【1】HP System Management Homepage にスタックバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#895524
HP System Management Homepage vulnerable to a denial-of-service condition
http://www.kb.cert.org/vuls/id/895524

概要

HP System Management Homepage には、スタックバッファオーバーフローの脆
弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を
行う可能性があります。

対象となるバージョンは以下の通りです。

- HP System Management Homepage 7.2.0.14 およびそれ以前

この問題は、HP が提供する修正済みのバージョンに System Management
Homepage を更新することで解決します。詳細については、HP が提供する情報
を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99680484
HP System Management Homepage にスタックバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU99680484/index.html

【2】Dell iDRAC にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#920038
Dell iDRAC 6 is vulnerable to a cross-site scripting (XSS) attack
http://www.kb.cert.org/vuls/id/920038

概要

Dell が提供する iDRAC には、クロスサイトスクリプティングの脆弱性があり
ます。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプト
を実行する可能性があります。

対象となるバージョンは以下の通りです。

- iDRAC6 バージョン 1.41 およびそれ以前
- iDRAC7 バージョン 1.40.40 およびそれ以前

2013年10月1日現在、対策方法はありません。Dell は、ファームウェアのアッ
プデートリリースを次の通り予定しています。

- iDRAC6 "monolithic" (rack and towers) バージョン 1.96
  - 2013年9月から12月までの期間
- iDRAC7 バージョン 1.46.45
  - 2013年9月中旬から下旬

詳細については、Dell の提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#96078234
iDRAC にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU96078234/index.html

【3】TCG 日本支部 (JRF) セキュリティーワークショップ開催

情報源

TCG日本支部 (JRF)
第5回公開ワークショップ
http://www.trustedcomputinggroup.org/jp/jrfworkshop/workshop5

概要

Trusted Computing Group 日本支部 (JRF) は、2013年10月25日(金)に「第五回
公開セキュリティーワークショップ」を開催します。「TCGの技術がどのように
実際の環境において利用が可能となっているのか」をテーマに、本年公開され
る TCG の規定するセキュリティチップ TPM2.0 の仕様を含め紹介されます。

JPCERT コーディネーションセンターは、このワークショップの開催に協力して
おり、最新のサイバーセキュリティの脅威の紹介なども行う予定です。

    日   時:2013年10月25日(金)13:30-17:30
    主   催:TCG日本支部
    協   力:JPCERT/CC
  後   援:独立行政法人 情報処理推進機構
    場   所:富士通エフサス みなとみらい
              Innovation & Future Center Camping Studio
              http://jp.fujitsu.com/group/fsas/facilities/future-center/
    参 加 費:無料
    参加対象:セキュリティにご興味をお持ちの会員・非会員の皆様(セキュリ
              ティ関連製品開発/販売業者、エンドユーザー、研究機関、政府
              等)
    定   員:75名

■今週のひとくちメモ

○Microsoft Message Analyzer 正式リリース

Microsoft は 9月25日、ネットワーク解析ツール「Microsoft Message
Analyzer」の英語版を正式リリースしました。

「Microsoft Message Analyzer」は「Microsoft Network Monitor」の後継とな
るツールで、Windows 7 以降に対応しています。

各種ネットワークトラフィックの分析や視覚化のための機能が向上しており、
ネットワークトラブルの調査以外にも、ネットワークトラフィックの監視や開
発中のソフトウエアのデバッグにも活用できます。

参考文献 (英語)

Microsoft
Microsoft Message Analyzer Operating Guide
http://technet.microsoft.com/en-us/library/jj649776.aspx

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english