<<< JPCERT/CC WEEKLY REPORT 2011-08-03 >>>

■07/24(日)〜07/30(土) のセキュリティ関連情報

目　次

【1】Apple iOS に脆弱性

【2】VMware ESX に複数の脆弱性

【3】Android の SSL 証明書表示に脆弱性

【4】Avaya Secure Access Link (SAL) Gateway に脆弱性

【今週のひとくちメモ】情報処理の高度化等に対処するための刑法等の一部を改正する法律

【1】Apple iOS に脆弱性

情報源

US-CERT Current Activity Archive
Apple Releases iOS 4.3.5 and iOS 4.2.10
http://www.us-cert.gov/current/archive/2011/07/29/archive.html#apple_releases_ios_4_33

概要

Apple iOS には、脆弱性があります。結果として、遠隔の第三者が
SSL/TLS で通信されている内容を傍受したり、改ざんしたりする可能性
があります。

対象となるバージョンは以下の通りです。

- iPhone (GSM)、iPod touch、iPad 向けの Apple iOS 4.3.5 より前の
  バージョン
- iPhone (CDMA) 向けの Apple iOS 4.2.10 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple iOS を
更新することで解決します。詳細については、Apple が提供する情報を
参照してください。
		

関連文書 (日本語)

Apple Download
iOS 4.3.5 ソフトウェア・アップデート
http://support.apple.com/kb/DL1431?viewlocale=ja_JP

Japan Vulnerability Notes JVNVU#633907
Apple iOS における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU633907/index.html

関連文書 (英語)

Apple Support HT4824
About the security content of iOS 4.3.5 Software Update for iPhone
http://support.apple.com/kb/HT4824?viewlocale=en_US

Apple Support HT4825
About the security content of iOS 4.2.10 Software Update for iPhone
http://support.apple.com/kb/HT4825?viewlocale=en_US

【2】VMware ESX に複数の脆弱性

情報源

DOE-CIRC Technical Bulletin T-679
VMware Security Advisory - VMSA-2011-0010
http://www.doecirc.energy.gov/bulletins/t-679.shtml

概要

VMware ESX に含まれている Service Console パッケージの DHCP およ
び glibc には、複数の脆弱性があります。結果として、遠隔の第三者が
権限を昇格したり、任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- VMware ESX 4.1 (ESX410-201107405-SG および ESX410-201107406-SG 
  未適用のもの)

この問題は、VMware が提供する修正済みのバージョンに、該当する製
品を更新することで解決します。詳細については、VMware が提供する
情報を参照してください。
		

関連文書 (英語)

VMware Security Announcements & Certifications
VMSA-2011-0010 VMware ESX third party updates for Service Console packages glibc and dhcp
http://www.vmware.com/security/advisories/VMSA-2011-0010.html

【3】Android の SSL 証明書表示に脆弱性

情報源

Japan Vulnerability Notes JVN#43105011
Android における SSL 証明書の表示に関する脆弱性
https://jvn.jp/jp/JVN43105011/index.html

概要

Android には、閲覧中の Web サイトの SSL 証明書を表示する際、その
サイトが外部サイトのコンテンツを読み込んでいると、その外部サイト
の SSL 証明書を表示してしまう脆弱性があります。結果として、遠隔の
第三者が細工した Web サイトを閲覧させることで、安全なサイトにアク
セスしていると誤認させる可能性があります。

対象となるバージョンは以下の通りです。

- Android OS 2.2 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Android OS を
更新することで解決します。詳細については、製品ベンダーの情報を参
照してください。
		

関連文書 (英語)

Google
b/2511635 Browser displays incorrect SSL cert information
http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=dba8cb76371960457e91b31fa396478f809a5a34

【4】Avaya Secure Access Link (SAL) Gateway に脆弱性

情報源

US-CERT Vulnerability Note VU#690315
Avaya Secure Access Link (SAL) Gateway information disclosure vulnerability
http://www.kb.cert.org/vuls/id/690315

概要

Avaya が提供する Secure Access Link (SAL) Gateway には、インストー
ル時のデフォルト設定に問題があります。結果として SAL Gateway のロ
グ情報などが漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- Avaya Secure Access Link (SAL) 1.5、1.8、2.0

この問題は、Avaya が提供する情報に基づいて設定を修正することで解
決します。詳細については、Avaya が提供する情報を参照してください。
		

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#690315
Secure Access Link (SAL) Gateway に情報漏えいの脆弱性
https://jvn.jp/cert/JVNVU690315/index.html

関連文書 (英語)

Avaya Product Support Notice
Secure Access Link (SAL) Gateway default Secondary Core Server URL and Remote Server URL points to the invalid servers which are not owned by Avaya.
http://support.avaya.com/css/P8/documents/100140483

■今週のひとくちメモ

○情報処理の高度化等に対処するための刑法等の一部を改正する法律

6月17日に、「情報処理の高度化等に対処するための刑法等の一部を改正
する法律」が成立し、ウイルス作成罪等については、7月14日から施行さ
れました。ログの保全要請等に関する刑事訴訟法の改正については、成
立から1年以内の政令で定める日から施行される予定です。

なお、7月26日には法務省の法案作成担当者を招いた説明会が開催され、
活発な質疑が行われました。

参考文献 (日本語)

法務省
情報処理の高度化等に対処するための刑法等の一部を改正する法律案
http://www.moj.go.jp/keiji1/keiji12_00025.html

■JPCERT/CC からのお願い