<<< JPCERT/CC WEEKLY REPORT 2012-07-19 >>>

■07/08(日)〜07/14(土) のセキュリティ関連情報

目　次

【1】Microsoft 製品に複数の脆弱性

【2】RSA Authentication Manager に複数の脆弱性

【3】Netsweeper Internet Filter WebAdmin に複数の脆弱性

【4】HP Operations Agent に脆弱性

【5】EMC Celerra/VNX/VNXe のアクセス制御に脆弱性

【6】Synel SY-780/A ターミナルに脆弱性

【7】Johnson Controls CK721-A 及び P2000 にリモートコマンド実行の脆弱性

【8】Yahoo!ブラウザーにおける WebView クラスに関する脆弱性

【9】Java セキュアコーディングセミナー参加者募集開始

【今週のひとくちメモ】システム管理者の日 (System Administrator Appreciation Day)

【1】Microsoft 製品に複数の脆弱性

情報源

US-CERT Alert (TA12-192A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-192A.html

概要

Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft 開発者用ツール
- Microsoft サーバー ソフトウェア

この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。

関連文書 (日本語)

Microsoft セキュリティ TechCenter
2012 年 7 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jul

Microsoft サポート
[MS12-043] Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (2012 年 7 月 10 日)
http://support.microsoft.com/kb/2722479/ja

独立行政法人情報処理推進機構 (IPA)
Microsoft Office 等の脆弱性の修正について(MS12-046)(CVE-2012-1854)
http://www.ipa.go.jp/security/ciadr/vul/20120711-windows.html

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-043,044,045,046,047,048,049,050,051)
http://www.npa.go.jp/cyberpolice/topics/?seq=9751

JPCERT/CC Alert 2012-07-11 JPCERT-AT-2012-0022
2012年7月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120022.html

Japan Vulnerability Notes JVNTA12-192A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-192A/index.html

JPCERT/CC WEEKLY REPORT 2012-06-27 号
【1】Microsoft XML コアサービスに脆弱性
https://www.jpcert.or.jp/wr/2012/wr122401.html#1

【2】RSA Authentication Manager に複数の脆弱性

情報源

JC3-CIRC Technical Bulletin U-212
U-212: RSA Authentication Manager Flaws Permit Cross-Site and Cross-Frame Scripting and URL Redirection Attacks
http://circ.jc3.doe.gov/bulletins/u-212.shtml

概要

RSA Authentication Manager には複数の脆弱性があります。結果として、遠隔
の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。

対象となるバージョンは以下の通りです。

- RSA Authentication Manager バージョン 7.1

なお、その他のバージョンも影響を受ける可能性があります。

この問題は、RSA が提供する更新プログラムを RSA Authentication Manager
に適用することで解決します。

【3】Netsweeper Internet Filter WebAdmin に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#763795
Netsweeper Internet Filter WebAdmin Portal multiple vulnerabilities
http://www.kb.cert.org/vuls/id/763795

概要

Netsweeper Internet Filter WebAdmin にはクロスサイトスクリプティングや
クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔
の第三者が、情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実
行したり、任意の操作を実行する可能性があります。

対象となるシステムは以下の通りです。

- Netsweeper 3.0.6 より前のバージョン

この問題は、Netsweeper を最新版に更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#763795
Netsweeper に複数の脆弱性
https://jvn.jp/cert/JVNVU763795/index.html

【4】HP Operations Agent に脆弱性

情報源

JC3-CIRC Technical Bulletin U-208
U-208: HP Operations Agent Bugs Let Remote Users Execute Arbitrary Code
http://circ.jc3.doe.gov/bulletins/U-208.shtml

概要

HP Operations Agent には脆弱性があります。結果として、遠隔の第三者が対
象システム上で任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- AIX、HP-UX、Linux、Solaris 及び Windows 用の HP Operations Agent のバー
  ジョン 11.03.12 より前のバージョン

この問題は、HP が提供する修正済みのバージョンに HP Operations Agent を
更新することで解決します。詳細については、HP が提供する情報を参照して下
さい。

関連文書 (英語)

HP Support document
HPSBMU02796 SSRT100594 rev.2 - HP Operations Agent for AIX, HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03397769

【5】EMC Celerra/VNX/VNXe のアクセス制御に脆弱性

情報源

JC3-CIRC Technical Bulletin U-211
U-211: EMC Celerra/VNX/VNXe Access Control Bug Lets Remote Authenticated Users Access Files/Directories
http://circ.jc3.doe.gov/bulletins/u-211.shtml

概要

EMC Celerra/VNX/VNXe にはアクセス制御に関する脆弱性があります。結果とし
て、遠隔の第三者が、当該製品上のファイルやディレクトリにアクセスする可
能性があります。

対象となるバージョンは以下の通りです。

- EMC Celerra Network Server バージョン 6.0.36.4 から 6.0.60.2 まで
- EMC VNX バージョン 7.0.12.0 から 7.0.53.1 まで
- EMC VNXe 2.0 (SP1、SP2、SP3 を含む)
- EMC VNXe MR1 (SP1、SP2、SP3、SP3.1 を含む)
- EMC VNXe MR2 (SP0.1 を含む)

この問題は、EMC が提供する修正済みのバージョンに該当する製品を更新する
ことで解決します。詳細については、EMC が提供する情報を参照して下さい。

【6】Synel SY-780/A ターミナルに脆弱性

情報源

US-CERT Vulnerability Note VU#154307
Synel SY-780/A terminal denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/154307

概要

Synel SY-780/A ターミナルには脆弱性があります。結果として、遠隔の第三者
が、特定ポートをスキャンすることで機器を使用不能にする可能性があります。

対象となるシステムは以下の通りです。

- Synel SY-780/A

2012年7月18日現在、対策方法はありません。以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。

- アクセスを制限する

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#154307
Synel SY-780/A にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU154307/index.html

【7】Johnson Controls CK721-A 及び P2000 にリモートコマンド実行の脆弱性

情報源

US-CERT Vulnerability Note VU#977312
Johnson Controls CK721-A and P2000 remote command execution vulnerability
http://www.kb.cert.org/vuls/id/977312

概要

Johnson Controls CK721-A 及び P2000 には脆弱性があります。結果として、
遠隔の第三者が、CK721-A 上で任意のコマンドを実行したり、P2000 上で不正
なアラートを生成したりする可能性があります。

対象となるシステムは以下の通りです。

- Johnson Controls CK721-A
- Johnson Controls P2000

この問題は、システムの更新を行うことで解決します。詳細については、
Johnson Controls が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVN#977312
複数の Johnson Controls 製品に脆弱性
https://jvn.jp/cert/JVNVU977312/index.html

【8】Yahoo!ブラウザーにおける WebView クラスに関する脆弱性

情報源

Japan Vulnerability Notes JVN#46088915
Yahoo!ブラウザーにおける WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN46088915/index.html

概要

Yahoo!ブラウザーには、WebView クラスに関する脆弱性があります。結果とし
て、当該製品のデータ領域にある情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- Yahoo!ブラウザー 1.2.0 およびそれ以前

この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザーを更
新することで解決します。

【9】Java セキュアコーディングセミナー参加者募集開始

情報源

JPCERT/CC
Java セキュアコーディングセミナー ＠札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html

JPCERT/CC
Java セキュアコーディング 連続セミナー ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
す。

札幌を会場として開催する「Java セキュアコーディングセミナー ＠札幌」お
よび、東京を会場として開催する「Java セキュアコーディング 連続セミナー
＠東京」(全4回) の参加者募集を開始しました。

これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
ディングについて、より実践的に学んでいただける内容となっています。

参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。

      ■ Java セキュアコーディングセミナー @ 札幌
        [日時] 2012年8月29日(水) 10:30 - 16:00
        [会場] ＡＣＵ　中研修室 1205
               札幌市中央区北4西5　アスティ45
               (MAP) http://www.acu-h.jp/koutsu_access/index.php
        [定員]　50名
        [参加費用]　無料

        [内容]　Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                「オブジェクトの生成と消滅におけるセキュリティ」
                「リソース消費攻撃とその対策」
                Javaにおける脆弱なコーディングの事例の解説
                クイズおよびハンズオン

      ■ Java セキュアコーディング 連続セミナー @ 東京

         第１回「オブジェクトの生成と消滅におけるセキュリティ」
         2012年 9月9日（日） 13:00 - 16:00 ( 受付開始12:30- )
         アーバンネット神田カンファレンス　　Room　3A
         東京都千代田区内神田3-6-2　アーバンネット神田ビル2階
         http://kanda-c.jp/access.html

         第２回「数値データの取扱いと入力値検査」
         2012年10月14日（日）　13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         第３回「入出力(File, Stream)と例外時の動作」
         2012年11月11日（日）　13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         第４回「メソッドとセキュリティ」
         2012年12月16日（日）　13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         なお、スケジュール等は予告なく変更する場合があります。Web で最
         新情報をご確認ください。

        [定員]　45名/回

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナー ＠札幌　お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html

JPCERT/CC
Java セキュアコーディング 連続セミナー ＠東京　お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○システム管理者の日 (System Administrator Appreciation Day)

7月の最終金曜日は System Administrator Appreciation Day です。今年は来
週金曜日 7月27日となります。これは、米国のシステム管理者が 2000年から提
唱しているものです。

企業のシステムを常に正常に稼働させるため、システム管理者は困難と立ち向
かい、日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね
ぎらい感謝の意を伝えてみてはいかがでしょうか。

参考文献 (日本語)

Wikipedia
システム管理者の日
http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5

参考文献 (英語)

Sysadminday.com
System Administrator Appreciation Day
http://www.sysadminday.com/

■JPCERT/CC からのお願い