JPCERT コーディネーションセンター

Weekly Report 2012-02-01号

JPCERT-WR-2012-0401
JPCERT/CC
2012-02-01

<<< JPCERT/CC WEEKLY REPORT 2012-02-01 >>>

■01/22(日)〜01/28(土) のセキュリティ関連情報

目 次

【1】Apache Struts に脆弱性

【2】Symantec pcAnywhere に複数の脆弱性

【3】Linux カーネルに脆弱性

【4】Google Chrome に脆弱性

【5】学生向け Java セキュアコーディングセミナー参加者募集中

【今週のひとくちメモ】情報セキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr120401.txt
https://www.jpcert.or.jp/wr/2012/wr120401.xml

【1】Apache Struts に脆弱性

情報源

JC3-CIRC Technical Bulletin U-089
Apache Struts ParameterInterceptor() Flaw Lets Remote Users Execute Arbitrary Commands
http://circ.jc3.doe.gov/bulletins/u-089.shtml

概要

Apache Struts には、脆弱性があります。結果として、遠隔の第三者が
Apache Struts を実行しているサーバ上で任意のコマンドを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- Apache Struts 2.0.0 から 2.3.1.1

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Apache Struts を更新することで解決します。詳細については、各ベンダ
や配布元が提供する情報を参照してください。
		

関連文書 (英語)

Apache Struts 2 Documentation
Security Bulletins S2-009
http://struts.apache.org/2.x/docs/s2-009.html

Apache Software Foundation
Download a Release Struts 2.3.1.2
http://struts.apache.org/download.cgi#struts2312

【2】Symantec pcAnywhere に複数の脆弱性

情報源

US-CERT Current Activity Archive
Symantec pcAnywhere Hotfix
http://www.us-cert.gov/current/archive/2012/01/24/archive.html#symantec_pcanywhere_hotfix

概要

Symantec pcAnywhere には、複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードを実行したり、ローカルユーザが権限を昇格したりする可
能性があります。

対象となる製品は以下の通りです。

- pcAnywhere
- ITMS with pcAnywhere Solution

この問題は、Symantec が提供する修正済みのバージョンに pcAnywhere を更新
することで解決します。詳細については、Symantec が提供する情報を参照して
ください。
		

関連文書 (日本語)

Symantec pcAnywhere hotfix
pcAnywhere TECH179526 ホットフィックス
http://www.symantec.com/business/support/index?page=content&id=TECH179526&actp=search&vie&searchid=1327896107978&locale=ja_JP#

Symantec pcAnywhere hotfix
pcAnywhere TECH179960 ホットフィックス
http://www.symantec.com/business/support/index?page=content&id=TECH179960&actp=search&vie&searchid=1327896283521&locale=ja_JP#

関連文書 (英語)

Symantec Security Advisories SYM12-002
Symantec pcAnywhere Remote Code Execution, Local Access File Tampering
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

【3】Linux カーネルに脆弱性

情報源

US-CERT Vulnerability Note VU#470151
Linux Kernel local privilege escalation via SUID /proc/pid/mem write
http://www.kb.cert.org/vuls/id/470151

JC3-CIRC Technical Bulletin U-086
Linux Kernel "/proc/&lt;pid&gt;/mem" Privilege Escalation Vulnerability
http://circ.jc3.doe.gov/bulletins/u-086.shtml

概要

Linux カーネルには脆弱性があります。結果として、ローカルユーザが権限を
昇格する可能性があります。

対象となるバージョンは以下の通りです。

- Linux カーネル 2.6.39 およびそれ以降
  なお、Linux カーネル 3.0.18 および 3.2.2 では本脆弱性が修正され
  ています。

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Linux カーネルを更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#470151
Linux に権限昇格の脆弱性
https://jvn.jp/cert/JVNVU470151/

Debian セキュリティ勧告
DSA-2389-1 linux-2.6 -- 特権の昇格/サービス拒否攻撃/情報の漏洩
http://www.debian.org/security/2012/dsa-2389.ja.html

関連文書 (英語)

Red Hat CVE DATABASE
CVE-2012-0056 kernel: proc: /proc/&lt;pid&gt;/mem mem_write insufficient permission checking
https://www.redhat.com/security/data/cve/CVE-2012-0056.html

Ubuntu Security Notice
USN-1342-1: Linux kernel (Oneiric backport) vulnerability
http://www.ubuntu.com/usn/usn-1342-1/

【4】Google Chrome に脆弱性

情報源

US-CERT Current Activity Archive
Google Releases Chrome 16.0.912.77
http://www.us-cert.gov/current/archive/2012/01/24/archive.html#google_releases_chrome_16_02

概要

Google Chrome には脆弱性があります。対象となるバージョンは以下の通りで
す。

- Google Chrome 16.0.912.77 より前のバージョン

この問題は、Google が提供する修正済みのバージョンに Google Chrome を更
新することで解決します。
		

関連文書 (英語)

Google Chrome Releases
Stable Channel Update
http://www.googlechromereleases.blogspot.com/2012/01/stable-channel-update_23.html

【5】学生向け Java セキュアコーディングセミナー参加者募集中

情報源

JPCERT/CC
Java セキュアコーディングセミナーのご案内
https://www.jpcert.or.jp/event/securecoding-java-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java言語で脆
弱性を含まない安全なプログラムをコーディングする具体的なテクニックとノ
ウハウを学んでいただく「Java セキュアコーディングセミナー」を開催します。

関西および関東で同内容のセミナーを各一回開催します。なお、参加者多数の
場合はお申し込み先着順となります。

      Java セキュアコーディングセミナー @ キャンパスプラザ京都
        [日時] 2012年2月15日(水) 13:30 - 16:30
        [会場] キャンパスプラザ京都 6階 京都大学サテライト
               京都市下京区西洞院通塩小路下る
               (MAP) http://www.consortium.or.jp/contents_detail.php?co=cat&frmId=585&frmCd=14-3-0-0-0
        [定員] 30名

      Java セキュアコーディングセミナー @ 慶應義塾大学日吉キャンパス
        [日時] 2012年2月18日(土) 13:30 - 16:30
        [会場] 慶應義塾大学日吉キャンパス協生館 3F C3S01教室
               神奈川県横浜市港北区日吉4-1-1
               (MAP) http://www.kcc.keio.ac.jp/access/index.html
        [定員] 50名

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナーお申し込み
https://www.jpcert.or.jp/event/securecoding-java-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○情報セキュリティ月間

2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため
の様々な活動が企画されています。JPCERT/CC も「制御システムセキュリティ
カンファレンス2012」や「SecurityDay 2012」など、いくつかのイベントに協
力しています。

情報セキュリティの普及啓発の一助として、この機会をご活用ください。

参考文献 (日本語)

内閣官房情報セキュリティセンター
情報セキュリティ月間
http://www.nisc.go.jp/active/kihon/ism_index.html

内閣官房情報セキュリティセンター
平成23年度「情報セキュリティ月間」の実施について
http://www.nisc.go.jp/press/pdf/h23_ism_press.pdf

JPCERT/CC WEEKLY REPORT 2011-02-02
【今週のひとくちメモ】情報セキュリティ月間
https://www.jpcert.or.jp/wr/2011/wr110401.html#Memo

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter