JPCERT コーディネーションセンター

Weekly Report 2012-04-25号

JPCERT-WR-2012-1601
JPCERT/CC
2012-04-25

<<< JPCERT/CC WEEKLY REPORT 2012-04-25 >>>

■04/15(日)〜04/21(土) のセキュリティ関連情報

目 次

【1】2012年4月 Oracle Critical Patch Update について

【2】OpenSSL の DER データ処理に脆弱性

【3】Bugzilla にクロスサイトリクエストフォージェリの脆弱性

【4】TwitRocker2 (Android 版) における WebView クラスに関する脆弱性

【今週のひとくちメモ】スマートフォンのアプリに注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121601.txt
https://www.jpcert.or.jp/wr/2012/wr121601.xml

【1】2012年4月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for April 2012
http://www.us-cert.gov/current/archive/2012/04/19/archive.html#oracle_releases_critical_patch_update18

JC3-CIRC Technical Bulletin U-150
Oracle Critical Patch Update Advisory - April 2012
http://circ.jc3.doe.gov/bulletins/u-150.shtml

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細については Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle Technology Network
Critical Patch Update - April 2012
http://www.oracle.com/technetwork/jp/topics/top-1596514-ja.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2012
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html

【2】OpenSSL の DER データ処理に脆弱性

情報源

JC3-CIRC Technical Bulletin U-152
OpenSSL "asn1_d2i_read_bio()" DER Format Data Processing Vulnerability
http://circ.jc3.doe.gov/bulletins/u-152.shtml

概要

OpenSSL の DER データ処理には脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害 (DoS) 攻撃などを行う可能性があります。

対象となるバージョンは以下の通りです。

- OpenSSL 0.x
- OpenSSL 1.x

この問題は、OpenSSL をバージョン 0.9.8w、1.0.1a、及び 1.0.0i に更新する
ことで解決します。

なお、 OpenSSL Project の情報によると SSL/TLS の処理には影響ありません。
詳細については、OpenSSL Project が提供する情報を参照してください。

関連文書 (英語)

OpenSSL Security Advisory [19 Apr 2012]
ASN1 BIO vulnerability (CVE-2012-2110)
http://www.openssl.org/news/secadv_20120419.txt

OpenSSL Security Advisory [24 Apr 2012]
ASN1 BIO incomplete fix (CVE-2012-2131)
http://www.openssl.org/news/secadv_20120424.txt

【3】Bugzilla にクロスサイトリクエストフォージェリの脆弱性

情報源

JC3-CIRC Technical Bulletin U-151
Bugzilla Cross-Site Request Forgery Vulnerability
http://circ.jc3.doe.gov/bulletins/u-151.shtml

概要

Bugzilla には、クロスサイトリクエストフォージェリの脆弱性があります。結
果として、遠隔の第三者がアクセス制限されているバグ情報にアクセスする可
能性があります。

対象となるバージョンは以下の通りです。

- Bugzilla 2.x
- Bugzilla 3.x
- Bugzilla 4.x

この問題は、Bugzilla をバージョン 3.6.9、4.0.6、または 4.2.1 に更新する
ことで解決します。

関連文書 (英語)

Bugzilla
4.2, 4.0.5, and 3.6.8 Security Advisory
http://www.bugzilla.org/security/3.6.8/

【4】TwitRocker2 (Android 版) における WebView クラスに関する脆弱性

情報源

Japan Vulnerability Notes JVN#00000601
TwitRocker2 (Android 版) における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN00000601/index.html

概要

TwitRocker2 (Android 版) には、WebView クラスに関する脆弱性があります。
結果として、当該製品のデータ領域にある情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- TwitRocker2 (Android 版) バージョン 1.0.22 およびそれ以前

開発者の提供する情報をもとに、最新版へアップデートしてください。

関連文書 (日本語)

StudioHitori TwitRocker2
次世代twitterクライアント - Google Play の Android アプリ
https://play.google.com/store/apps/details?id=com.studiohitori.twitrocker2

■今週のひとくちメモ

○スマートフォンのアプリに注意

アンドロイド機器をターゲットとしたマルウエアや不正なアクセスを行うアプ
リが大きな話題になっています。

アンドロイド OS では、アプリをインストールする際に、動作に必要な権限の
確認を行います。不正なアクセスを行うアプリには、想定される機能に必要の
ない権限を要求するものがあります。

アプリインストール時に表示される権限を十分に確認し、不審な権限を要求す
るアプリはインストールしないようにしましょう。

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter