JPCERT コーディネーションセンター

Weekly Report 2012-07-25号

JPCERT-WR-2012-2801
JPCERT/CC
2012-07-25

<<< JPCERT/CC WEEKLY REPORT 2012-07-25 >>>

■07/15(日)〜07/21(土) のセキュリティ関連情報

目 次

【1】2012年7月 Oracle Critical Patch Update について

【2】NSD に脆弱性

【3】Java セキュアコーディングセミナー参加者募集中

【今週のひとくちメモ】APWG Phishing Trends Report, 1st Quarter 2012

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122801.txt
https://www.jpcert.or.jp/wr/2012/wr122801.xml

【1】2012年7月 Oracle Critical Patch Update について

情報源

US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for July 2012
http://www.us-cert.gov/current/archive/2012/07/18/archive.html#oracle_releases_critical_patch_update20

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細については Oracle が提供する情報を参照してください。

関連文書 (日本語)

Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2012
http://www.oracle.com/technetwork/jp/topics/security/top-1709266-ja.html

Japan Vulnerability Notes JVNVU#118913
Oracle Outside In に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU118913/index.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2012
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html

Vulnerability Note VU#118913
Oracle Outside In contains multiple exploitable vulnerabilities
http://www.kb.cert.org/vuls/id/118913

【2】NSD に脆弱性

情報源

JPRS DNS関連技術情報
(緊急)NSD 3.xの脆弱性を利用したサービス不能(DoS)攻撃について
http://jprs.jp/tech/security/2012-07-20-nsd-vuln-remote-packet.html

概要

NLnet Labs が提供する NSD には、脆弱性があります。結果として、遠隔の第
三者が細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行
う可能性があります。

対象となるバージョンは以下の通りです。

- すべての NSD 3.x バージョン
  (NSD 3.0.0-3.0.8、3.1.0-3.1.1、および 3.2.0-3.2.11)
- NSD 4.x: NSD 4 production branch
  (NSD 4 は現在開発中であり、開発者/評価者向けに提供されています)

この問題は、使用している OS のベンダや NLnet Labs が提供する修正済みの
バージョンに NSD を更新することで解決します。詳細については、ベンダや
NLnet Labs が提供する情報を参照してください。

関連文書 (英語)

NLnet Labs
NSD denial of service vulnerability from non-standard DNS packet from any host on the internet. [ VU#624931 CVE-2012-2978 ]
http://www.nlnetlabs.nl/downloads/CVE-2012-2978.txt

【3】Java セキュアコーディングセミナー参加者募集中

情報源

JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html

JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
す。

8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」
を開催します。また、9月からは東京を会場として「Java セキュアコーディン
グ 連続セミナー@東京」(全4回) を開催します。

これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
ディングについて、より実践的に学んでいただける内容となっています。

参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。

      ■ Java セキュアコーディングセミナー @ 札幌
        [日時] 2012年8月29日(水) 10:30 - 16:00
        [会場] ACU 中研修室 1205
               札幌市中央区北4西5 アスティ45
               (MAP) http://www.acu-h.jp/koutsu_access/index.php
        [定員] 50名
        [参加費用] 無料

        [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                「オブジェクトの生成と消滅におけるセキュリティ」
                「リソース消費攻撃とその対策」
                Javaにおける脆弱なコーディングの事例の解説
                クイズおよびハンズオン

      ■ Java セキュアコーディング 連続セミナー @ 東京

         第1回「オブジェクトの生成と消滅におけるセキュリティ」
         2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- )
         アーバンネット神田カンファレンス  Room 3A
         東京都千代田区内神田3-6-2 アーバンネット神田ビル2階
         http://kanda-c.jp/access.html

         第2回「数値データの取扱いと入力値検査」
         2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         第3回「入出力(File, Stream)と例外時の動作」
         2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         第4回「メソッドとセキュリティ」
         2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- )
         ※会場未定

         なお、スケジュール等は予告なく変更する場合があります。Web で最
         新情報をご確認ください。

        [定員] 45名/回

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html

JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○APWG Phishing Trends Report, 1st Quarter 2012

Anti-Phishing Working Group (APWG) から Phishing Trends Report, 1st
Quarter 2012 が公開されました。これは、四半期毎に公開されているもので、
APWG に報告されたレポート内容を分析しています。

フィッシングサイトの総数は 2月に記録されたものがこれまでで最高であったこ
と、フィッシングのターゲットとされる業種は金融サービスが最も多いことなど
が報告されています。

また、フィッシング対策協議会からフィッシングレポート 2012 が公開されてい
ます。こちらもあわせてご参照ください。

参考文献 (日本語)

フィッシング対策協議会
フィッシングレポート 2012 の掲載
https://www.antiphishing.jp/report/wg/phishing_report2012.html

参考文献 (英語)

APWG
Phishing Activity Trends Report, 1st Quarter 2012
http://www.apwg.org/reports/apwg_trends_report_q1_2012.pdf

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter