JPCERT コーディネーションセンター

Weekly Report 2012-08-22号

JPCERT-WR-2012-3201
JPCERT/CC
2012-08-22

<<< JPCERT/CC WEEKLY REPORT 2012-08-22 >>>

■08/12(日)〜08/18(土) のセキュリティ関連情報

目 次

【1】Microsoft 製品に複数の脆弱性

【2】Adobe Flash Player に脆弱性

【3】Adobe Reader および Acrobat に複数の脆弱性

【4】Oracle Database に脆弱性

【5】HP Service Manager に脆弱性

【6】Java セキュアコーディングセミナー @ 札幌、開催せまる

【今週のひとくちメモ】1024 ビット未満の暗号キーをブロックする Windows 更新プログラム提供開始

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123201.txt
https://www.jpcert.or.jp/wr/2012/wr123201.xml

【1】Microsoft 製品に複数の脆弱性

情報源

US-CERT Alert (TA12-227A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-227A.html

概要

Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft SQL Server
- Microsoft サーバー ソフトウェア
- マイクロソフト開発者用ツール
- Microsoft Exchange Server

この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。

関連文書 (日本語)

マイクロソフトセキュリティTechCenter
2012 年 8 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-aug

日本のセキュリティチーム
2012 年 8 月のセキュリティ情報 (月例) - MS12-052 〜 MS12-060
http://blogs.technet.com/b/jpsecurity/archive/2012/08/14/3514262.aspx

Japan Vulnerability Notes JVNTA12-227A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-227A/index.html

独立行政法人情報処理推進機構 (IPA)
Microsoft Office 等の脆弱性の修正について(MS12-060)(CVE-2012-1856)
http://www.ipa.go.jp/security/ciadr/vul/20120815-windows.html

警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-052,053,054,055,056,057,058,059,060)
http://www.npa.go.jp/cyberpolice/topics/?seq=9905

JPCERT/CC
2012年8月 Microsoft セキュリティ情報 (緊急 5件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120025.html

【2】Adobe Flash Player に脆弱性

情報源

Adobe Security bulletin
APSB12-18: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-18.html

概要

Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者が任意
のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて
いるとのことです。

対象となるバージョンは以下の通りです。

- Adobe Flash Player 11.3.300.270 およびそれ以前 (Windows、Macintosh)
- Adobe Flash Player 11.2.202.236 およびそれ以前 (Linux)

この問題は、Adobe が提供する修正済みのバージョンに Flash Player を更新
することで解決します。

関連文書 (日本語)

Adobe セキュリティ情報
APSB12-18: Adobe Flash Player に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/flash-player/kb/cq08150306.html

JPCERT/CC Alert 2012-08-15 JPCERT-AT-2012-0024
Adobe Flash Player の脆弱性 (APSB12-18) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120024.html

【3】Adobe Reader および Acrobat に複数の脆弱性

情報源

Adobe Security bulletin
APSB12-16: Security update available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb12-16.html

概要

Adobe Reader および Acrobat には複数の脆弱性があります。結果として、遠
隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ
たりする可能性があります。

対象となる製品は以下の通りです。

- Adobe Acrobat X (10.1.3) およびそれ以前の 10.x (Windows および Macintosh)
- Adobe Acrobat 9.5.1 およびそれ以前の 9.x (Windows および Macintosh)
- Adobe Reader X (10.1.3) およびそれ以前の 10.x (Windows および Macintosh)
- Adobe Reader 9.5.1 およびそれ以前の 9.x (Windows および Macintosh)

この問題は、Adobe が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。詳細については、Adobe が提供する情報を参照してく
ださい。

関連文書 (日本語)

Adobe セキュリティ情報
APSB12-16: Adobe Reader および Acrobat に関するセキュリティアップデート公開
http://helpx.adobe.com/jp/acrobat/kb/cq08100817.html

JPCERT/CC Alert 2012-08-15 JPCERT-AT-2012-0023
Adobe Reader 及び Acrobat の脆弱性 (APSB12-16) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120023.html

【4】Oracle Database に脆弱性

情報源

JC3-CIRC Technical Bulletin U-233
U-233: Oracle Database INDEXTYPE CTXSYS.CONTEXT Bug Lets Remote Authenticated Users Gain Elevated Privileges
http://circ.jc3.doe.gov/bulletins/u-233.shtml

概要

Oracle Database には脆弱性があります。結果として、Create Table 権限を持
つユーザが SYS 権限を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Oracle Database Server のバージョン 10.2.0.3、10.2.0.4、10.2.0.5、
  11.1.0.7、11.2.0.2、11.2.0.3

この問題は、Oracle が提供する更新プログラムを Oracle Database に適用す
ることで解決します。詳細については、Oracle が提供する情報を参照して下さ
い。

関連文書 (英語)

ORACLE
Oracle Security Alert for CVE-2012-3132
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-1721017.html

ORACLE
Text Form of Oracle Security Alert - CVE-2012-3132 Risk Matrices
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-3132-verbose-1721021.html

【5】HP Service Manager に脆弱性

情報源

JC3-CIRC Technical Bulletin U-238
U-238: HP Service Manager Input Validation Flaw Permits Cross-Site Scripting Attacks
http://circ.jc3.doe.gov/bulletins/u-238.shtml

概要

HP Service Manager にはクロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- バージョン 7.11、9.21、9.30

この問題は、HP が提供する修正済みのバージョンに HP Service Manager を更
新することで解決します。詳細については、HP が提供する情報を参照して下さ
い。

【6】Java セキュアコーディングセミナー @ 札幌、開催せまる

情報源

JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html

概要

JPCERT コーディネーションセンターは、Java 言語で脆弱性を含まない安全な
プログラムをコーディングする具体的なテクニックとノウハウを学んでいただ
く「Java セキュアコーディングセミナー」を開催します。

このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコーディ
ングについて、より実践的に学んでいただける内容となっています。

札幌を会場とした「Java セキュアコーディングセミナー @札幌」の開催まで、
あと 1週間となりました。ひきつづき、参加申し込みをお待ちしております。

      ■ Java セキュアコーディングセミナー @札幌
        [日時] 2012年8月29日(水) 10:30 - 16:00
        [会場] ACU 中研修室 1205
               札幌市中央区北4西5 アスティ45
               (MAP) http://www.acu-h.jp/koutsu_access/index.php
        [定員] 50名
        [参加費用] 無料

        [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                「オブジェクトの生成と消滅におけるセキュリティ」
                「リソース消費攻撃とその対策」
                Javaにおける脆弱なコーディングの事例の解説
                クイズおよびハンズオン

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○1024 ビット未満の暗号キーをブロックする Windows 更新プログラム提供開始

マイクロソフトは 2012年8月14日 (米国時間) に、8月のセキュリティ更新プロ
グラムとは別に 1024 ビット未満の暗号キーをブロックする更新プログラムを
公開しました。現在は、ダウンロードセンターおよび Microsoft Update カタ
ログから入手できるようになっています。

2012年10月には Microsoft Update を通じて配信される予定ですので、事前に
影響範囲を確認し、必要な対策を行うことをお勧めします。

参考文献 (日本語)

Microsoft
マイクロソフト セキュリティ アドバイザリ (2661254): 証明書の鍵長の最小値に関する更新プログラム
http://technet.microsoft.com/ja-jp/security/advisory/2661254

日本のセキュリティチーム
1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その 2
http://blogs.technet.com/b/jpsecurity/archive/2012/08/10/3513621.aspx

日本のセキュリティチーム
1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開 - その 3
http://blogs.technet.com/b/jpsecurity/archive/2012/08/14/3514260.aspx

JPCERT/CC Weekly Report ひとくちメモ
1024ビット未満の暗号キーをブロックする Windows 更新プログラム
https://www.jpcert.or.jp/tips/2012/wr123001.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter