JPCERT-WR-2012-1701

JPCERT/CC

2012-05-09

<<< JPCERT/CC WEEKLY REPORT 2012-05-09 >>>

■04/22(日)〜05/05(土) のセキュリティ関連情報

目　次

【1】Adobe Flash Player に脆弱性

【2】複数のジャストシステム製品に脆弱性

【3】PHP-CGI の query string 処理に脆弱性

【4】Oracle データベース TNS リスナーに脆弱性

【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性

【6】Ruby の Mail Gem に複数の脆弱性

【7】Drupal に複数の脆弱性

【8】OSQA にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】Java SE 7u4/6u32 のリリースと EOL

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121701.txt
https://www.jpcert.or.jp/wr/2012/wr121701.xml

【1】Adobe Flash Player に脆弱性

情報源

US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/archive/2012/05/04/archive.html#adobe_releases_security_advisory_for14

概要

Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が
あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて
いるとのことです。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 11.2.202.233 およびそれ以前 (Windows、Macintosh、
  Linux)
- Adobe Flash Player 11.1.115.7 およびそれ以前 (Android 4.x)
- Adobe Flash Player 11.1.111.8 およびそれ以前 (Android 3.x、2.x)

この問題は、Adobe が提供する修正済みのバージョンに更新することで解決し
ます。

【2】複数のジャストシステム製品に脆弱性

情報源

Japan Vulnerability Notes JVN#95378720
複数のジャストシステム製品における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN95378720/index.html

Japan Vulnerability Notes JVN#09619876
複数のジャストシステム製品におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN09619876/index.html

概要

株式会社ジャストシステムの提供する複数の製品には、脆弱性が存在します。
結果として、遠隔の第三者が任意のコードを実行する可能性があります。

この問題は、ジャストシステムが提供する更新プログラムを適用することで解
決します。詳細については、ジャストシステムが提供する情報を参照して下さ
い。

【3】PHP-CGI の query string 処理に脆弱性

情報源

US-CERT Vulnerability Note VU#520827
PHP-CGI query string parameter vulnerability
http://www.kb.cert.org/vuls/id/520827

概要

PHP には、CGI として使用される設定において query string をコマンドライ
ンオプションとして認識してしまう脆弱性が存在します。結果として、遠隔の
第三者が php スクリプトの内容を取得したり、サービス運用妨害 (DoS) 攻撃
を行ったり、ウェブサーバの権限で任意のコードを実行したりする可能性があ
ります。

対象となるバージョンは以下の通りです。

- PHP version 5.4.3 より前のバージョン
- PHP version 5.3.13 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに更新することで解決し
ます。

【4】Oracle データベース TNS リスナーに脆弱性

情報源

US-CERT Vulnerability Note VU#359816
Oracle database TNS listener vulnerability
http://www.kb.cert.org/vuls/id/359816

概要

Oracle データベースコンポーネントの TNS リスナーには、脆弱性があります。
結果として、遠隔の第三者が中間者攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- Oracle Database 11g Release 2、バージョン 11.2.0.2、11.2.0.3
- Oracle Database 11g Release 1、バージョン 11.1.0.7
- Oracle Database 10g Release 2、バージョン 10.2.0.3、10.2.0.4、10.2.0.5

2012年5月8日現在、対策済みバージョンは提供されていません。以下の回避策
を適用することで、本脆弱性の影響を軽減することが可能です。

- COST (Class of Secure Transport) を利用してインスタンスの登録を制限する

詳細については Oracle が提供する情報を参照して下さい。

【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性

情報源

Japan Vulnerability Notes JVN#82029095
spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN82029095/index.html

概要

spモードメールアプリの SSL 証明書検証機能には、脆弱性があります。結果と
して、遠隔の第三者が通信内容を傍受する可能性があります。

対象となるバージョンは以下の通りです。

- spモードメールアプリ バージョン5400 およびそれ以前

この問題は、NTTドコモが提供する修正済みのバージョンに更新することで解決
します。

【6】Ruby の Mail Gem に複数の脆弱性

情報源

JC3-CIRC Technical Bulletin U-157
Ruby Mail Gem Directory Traversal and Shell Command Injection Vulnerabilities
http://circ.jc3.doe.gov/bulletins/U-157.shtml

概要

Ruby の Mail Gem には、複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Mail gem for Ruby 2.4.4 より前のバージョン

この問題は、開発者が提供する修正済みのバージョン (2.4.4) にアップデート
することで解決します。

【7】Drupal に複数の脆弱性

情報源

JC3-CIRC Technical Bulletin U-162
Drupal Multiple Vulnerabilities
http://circ.jc3.doe.gov/bulletins/u-162.shtml

概要

Drupal には複数の脆弱性があります。結果として、遠隔の第三者がサービス運
用妨害 (DoS) 攻撃を行ったり、アクセス制限を回避して非公開のコンテンツに
アクセスしたりする可能性があります。

対象となるバージョンは以下の通りです。

- Drupal バージョン 7.13 より前のバージョン

この問題は、開発者が提供する修正済みのバージョン (Drupal 7.13) に更新す
ることで解決します。

【8】OSQA にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#15503729
OSQA におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15503729/index.html

概要

OSQA には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- OSQA trunk revision 1234 より前のバージョン
- OSQA バージョン 0.9.0 (Fantasy Island) Beta 3 およびそれ以前

この問題は、開発者が提供する更新プログラムを適用することで解決します。

■今週のひとくちメモ

○Java SE 7u4/6u32 のリリースと EOL

2012年4月26日、Oracle から Java SE 7 および Java SE 6 のアップデートが
公開されました。今回のアップデートには脆弱性の修正は含まれていません。
Java SE 7 では、G1 (Garbage-First) ガベージコレクタの導入を含む性能向上
や、Mac OS X 版の Java SE Development Kit 7 の公開が行われています。

また、Java SE 6 は、2012年11月で EOL となる予定であることがアナウンス
されています。この機会に自社システムで使われている Java のバージョンを
確認し、今後のメンテナンス計画を検討することをおすすめします。

参考文献 (英語)

Oracle Press Release
Oracle Releases Java SE 7 Update 4 and JavaFX 2.1
http://www.oracle.com/us/corporate/press/1603497

Oracle Technology Network
Java SE 7 Update 4 Release Notes
http://www.oracle.com/technetwork/java/javase/7u4-relnotes-1575007.html

Oracle Technology Network
Java SE 6 Update 32 Release Notes
http://www.oracle.com/technetwork/java/javase/6u32-relnotes-1578471.html

Oracle Technology Network
Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice
http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2012-05-09号

<<< JPCERT/CC WEEKLY REPORT 2012-05-09 >>>

■04/22(日)〜05/05(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

○Java SE 7u4/6u32 のリリースと EOL

参考文献 (英語)

■JPCERT/CC からのお願い

目　次