<<< JPCERT/CC WEEKLY REPORT 2012-01-25 >>>
■01/15(日)〜01/21(土) のセキュリティ関連情報
目 次
【1】2012年1月 Oracle Critical Patch Update について
【2】osCommerce に複数の脆弱性
【今週のひとくちメモ】ハッシュテーブル処理の問題
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120301.txt
https://www.jpcert.or.jp/wr/2012/wr120301.xml
【1】2012年1月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for January 2012
http://www.us-cert.gov/current/archive/2012/01/20/archive.html#oracle_releases_critical_patch_update16JC3-CIRC Technical Bulletin U-083
Oracle Critical Patch Update Advisory - January 2012
http://circ.jc3.doe.gov/bulletins/u-083.shtml
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応し た Oracle Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。
関連文書 (日本語)
Oracle Technology Network
[CPUJan2012] Oracle Critical Patch Update Advisory - January 2012
http://www.oracle.com/technetwork/jp/topics/ojkb156878-1489249-ja.htmlOracle Technology Network
Critical Patch Update - January 2012
http://www.oracle.com/technetwork/jp/topics/security/top-1491621-ja.htmlJapan Vulnerability Notes JVNVU#738961
Oracle Outside In に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU738961/index.htmlJapan Vulnerability Notes JVN#54779201
Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN54779201/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2012
http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.htmlUS-CERT Vulnerability Note VU#738961
Oracle Outside In contains an exploitable vulnerability in Lotus 123 v4 parser
http://www.kb.cert.org/vuls/id/738961
【2】osCommerce に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#36559450
osCommerce 日本語版におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN36559450/index.htmlJapan Vulnerability Notes JVN#64386898
osCommerce におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN64386898/index.htmlJapan Vulnerability Notes JVN#38216398
osCommerce におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN38216398/index.html
概要
オープンソースのショッピングサイト構築システム osCommerce には、 複数の脆弱性があります。結果として、遠隔の第三者がサーバ内にある 任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - osCommerce 2.2 MS1 日本語版 R8 およびそれ以前 - osCommerce Online Merchant v2.3.1 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに osCommerce を 更新することで解決します。詳細については、配布元が提供する情報を 参照してください。
関連文書 (日本語)
osCommerce 日本語版
[重要] クロスサイトスクリプティングの脆弱性について
http://sourceforge.jp/forum/forum.php?forum_id=28119
関連文書 (英語)
osCommerce News
osCommerce Online Merchant v2.3.1
http://www.oscommerce.com/about/news,135
■今週のひとくちメモ
○ハッシュテーブル処理の問題
2011年12月末に公表されたハッシュテーブル処理に関する攻撃手法につ いて、様々なアプリケーションで対策がすすめられています。 この攻撃手法の影響を受けるのは、ハッシュ値が衝突するような入力を 作成でき、ハッシュテーブルに登録するデータを外部から制御できる場 合です。多くの Web アプリケーションで使用されるプログラミング言 語やフレームワークが影響を受けます。 Perl や Ruby では、ハッシュ関数をより強固なものに変更しています。 また、Apache Tomcat や PHP では、ハッシュテーブル処理に使われる データ数を制限する設定項目を追加しています。 お使いのアプリケーションでの対策を確認し、すみやかに対応すること をおすすめします。
参考文献 (日本語)
JPCERT/CC WEEKLY REPORT 2012-01-12
【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性
https://www.jpcert.or.jp/wr/2012/wr120101.html#1
参考文献 (英語)
28th Chaos Communication Congress
28C3: Effective Denial of Service attacks against web application platforms
http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/