<<< JPCERT/CC WEEKLY REPORT 2012-07-25 >>>
■07/15(日)〜07/21(土) のセキュリティ関連情報
目 次
【1】2012年7月 Oracle Critical Patch Update について
【2】NSD に脆弱性
【3】Java セキュアコーディングセミナー参加者募集中
【今週のひとくちメモ】APWG Phishing Trends Report, 1st Quarter 2012
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122801.txt
https://www.jpcert.or.jp/wr/2012/wr122801.xml
【1】2012年7月 Oracle Critical Patch Update について
情報源
US-CERT Current Activity Archive
Oracle Releases Critical Patch Update for July 2012
http://www.us-cert.gov/current/archive/2012/07/18/archive.html#oracle_releases_critical_patch_update20
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。
関連文書 (日本語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2012
http://www.oracle.com/technetwork/jp/topics/security/top-1709266-ja.htmlJapan Vulnerability Notes JVNVU#118913
Oracle Outside In に任意のコードが実行される脆弱性
https://jvn.jp/cert/JVNVU118913/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - July 2012
http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.htmlVulnerability Note VU#118913
Oracle Outside In contains multiple exploitable vulnerabilities
http://www.kb.cert.org/vuls/id/118913
【2】NSD に脆弱性
情報源
JPRS DNS関連技術情報
(緊急)NSD 3.xの脆弱性を利用したサービス不能(DoS)攻撃について
http://jprs.jp/tech/security/2012-07-20-nsd-vuln-remote-packet.html
概要
NLnet Labs が提供する NSD には、脆弱性があります。結果として、遠隔の第 三者が細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行 う可能性があります。 対象となるバージョンは以下の通りです。 - すべての NSD 3.x バージョン (NSD 3.0.0-3.0.8、3.1.0-3.1.1、および 3.2.0-3.2.11) - NSD 4.x: NSD 4 production branch (NSD 4 は現在開発中であり、開発者/評価者向けに提供されています) この問題は、使用している OS のベンダや NLnet Labs が提供する修正済みの バージョンに NSD を更新することで解決します。詳細については、ベンダや NLnet Labs が提供する情報を参照してください。
関連文書 (英語)
NLnet Labs
NSD denial of service vulnerability from non-standard DNS packet from any host on the internet. [ VU#624931 CVE-2012-2978 ]
http://www.nlnetlabs.nl/downloads/CVE-2012-2978.txt
【3】Java セキュアコーディングセミナー参加者募集中
情報源
JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」 を開催します。また、9月からは東京を会場として「Java セキュアコーディン グ 連続セミナー@東京」(全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○APWG Phishing Trends Report, 1st Quarter 2012
Anti-Phishing Working Group (APWG) から Phishing Trends Report, 1st Quarter 2012 が公開されました。これは、四半期毎に公開されているもので、 APWG に報告されたレポート内容を分析しています。 フィッシングサイトの総数は 2月に記録されたものがこれまでで最高であったこ と、フィッシングのターゲットとされる業種は金融サービスが最も多いことなど が報告されています。 また、フィッシング対策協議会からフィッシングレポート 2012 が公開されてい ます。こちらもあわせてご参照ください。
参考文献 (日本語)
フィッシング対策協議会
フィッシングレポート 2012 の掲載
https://www.antiphishing.jp/report/wg/phishing_report2012.html
参考文献 (英語)
APWG
Phishing Activity Trends Report, 1st Quarter 2012
http://www.apwg.org/reports/apwg_trends_report_q1_2012.pdf
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/