<<< JPCERT/CC WEEKLY REPORT 2012-10-03 >>>

■09/23(日)〜09/29(土) のセキュリティ関連情報

目　次

【1】Cisco からセキュリティアドバイザリバンドル公開

【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性

【3】Trend Micro Control Manager に SQL インジェクションの脆弱性

【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性

【5】Java セキュアコーディング 連続セミナー ＠東京 第2回開催せまる

【今週のひとくちメモ】情報セキュリティ国際キャンペーン

【1】Cisco からセキュリティアドバイザリバンドル公開

情報源

Cisco セキュリティ アドバイザリ
Semiannual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/cisco/web/support/JP/111/1116/1116611_Cisco_ERP_sep12-j.html

概要

Cisco から、複数の製品の脆弱性に対応したセキュリティアドバイザリバンド
ルが公開されました。

詳細については、Cisco が提供する情報を参照して下さい。

関連文書 (英語)

Cisco Security Advisory
Semiannual Cisco IOS Software Security Advisory Bundled Publication
http://www.cisco.com/web/about/security/intelligence/Cisco_ERP_sep12.html

【2】RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 にアクセス制限不備の脆弱性

情報源

JC3 Bulletin
U-267: RSA Authentication Agent 7.1 for Microsoft Windows and RSA Authentication Client 3.5 Access Control Vulnerability
http://energy.gov/cio/articles/u-267-rsa-authentication-agent-71-microsoft-windows-and-rsa-authentication-client-35

概要

RSA Authentication Agent 7.1 および RSA Authentication Client 3.5 には
アクセス制限不備の脆弱性があります。結果として、遠隔の第三者が、Windows
の認証情報のみでシステムにアクセスする可能性があります。

対象となるバージョンは以下の通りです。

- RSA Authentication Agent for Microsoft Windows version 7.1
- RSA Authentication Client 3.5

この問題は、RSA が提供する修正済みのバージョンに該当する製品を更新する
ことで解決します。詳細については、RSA が提供する情報を参照して下さい。

【3】Trend Micro Control Manager に SQL インジェクションの脆弱性

情報源

Japan Vulnerability Notes JVN#42014489
Trend Micro Control Manager における SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN42014489/index.html

概要

トレンドマイクロ株式会社が提供する Trend Micro Control Manager には、
SQL インジェクションの脆弱性があります。結果として、遠隔の第三者が、当
該製品で使用されているデータベースに対して、任意の SQL コマンドを実行す
る可能性があります。

対象となるバージョンは以下の通りです。

- Trend Micro Control Manager 5.5.0.1823 (日本語版) より前のバージョン
- Trend Micro Control Manager 5.5.0.1823 (英語版) より前のバージョン
- Trend Micro Control Manager 6.0.0.1449 (英語版) より前のバージョン

この問題は、トレンドマイクロ株式会社が提供する修正済みのバージョンに
Trend Micro Control Manager を更新することで解決します。詳細については、
トレンドマイクロ株式会社が提供する情報を参照して下さい。

関連文書 (日本語)

トレンドマイクロ株式会社
アラート/アドバイザリ：Trend Micro Control Manager のSQLインジェクション攻撃の脆弱性
http://esupport.trendmicro.co.jp/Pages/JP-2081977.aspx

トレンドマイクロ株式会社
Trend Micro Control Manager 5.5
http://downloadcenter.trendmicro.com/index.php?regs=jp&clk=tbl&clkval=3432#fragment-3462

関連文書 (英語)

Trend Micro
Critical patch available for SQL injection attacks in Control Manager (TMCM)
http://esupport.trendmicro.com/solution/en-us/1061043.aspx

Trend Micro Download Center
Control Manager 5.5
http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=1763#fragment-1845

Trend Micro Download Center
Control Manager 6
http://downloadcenter.trendmicro.com/index.php?clk=tbl&clkval=4202#fragment-4248

US-CERT Vulnerability Note VU#950795
Trend Micro Control Manager adhoc query vulnerability
http://www.kb.cert.org/vuls/id/950795

【4】Android 版 jigbrowser+ における WebView クラスに関する脆弱性

情報源

Japan Vulnerability Notes JVN#86318665
Android 版 jigbrowser+ における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN86318665/index.html

概要

Android 版 jigbrowser+ には、WebView クラスに関する脆弱性があります。結
果として、ユーザが不正な他の Android アプリケーションを使用した場合、当
該製品のデータ領域にある情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- jigbrowser+ Ver.1.5.0 より前のバージョン

この問題は、株式会社jig.jp が提供する修正済みのバージョンに jigbrowser+
を更新することで解決します。詳細については、株式会社jig.jp が提供する
情報を参照して下さい。

関連文書 (日本語)

株式会社jig.jp
jigbrowser+ ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.jig.product.browser_plus

【5】Java セキュアコーディング 連続セミナー ＠東京 第2回開催せまる

情報源

JPCERT/CC
Java セキュアコーディング 連続セミナー ＠東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

概要

JPCERT コーディネーションセンターでは、学生等の若年層向けに、Java 言語
で脆弱性を含まない安全なプログラムをコーディングする具体的なテクニック
とノウハウを学んでいただく「Java セキュアコーディング 連続セミナー＠東
京」(全4回) を開催しています。これらのセミナーは、講義とハンズオン演習
を組み合わせ、Java セキュアコーディングについて、より実践的に学んでいた
だける内容となっています。

10月14日(日) には第２回が開催されます。ひきつづき、参加申し込みをお待ち
しております。

      ■ Java セキュアコーディング 連続セミナー @ 東京

         第２回「数値データの取扱いと入力値検査」
         2012年10月14日（日）　13:30 - 16:30 ( 受付開始13:00- )

         第３回「入出力(File, Stream)と例外時の動作」
         2012年11月11日（日）　13:30 - 16:30 ( 受付開始13:00- )

         第４回「メソッドとセキュリティ」
         2012年12月16日（日）　13:30 - 16:30 ( 受付開始13:00- )

        [会場]
         エッサム神田ホール　401
         東京都千代田区神田鍛冶町3-2-2
         http://www.essam.co.jp/hall/access/index.html

        [定員]　55名/回

         なお、スケジュール等は予告なく変更する場合があります。Web で最
         新情報をご確認ください。

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディング 連続セミナー ＠東京　お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html

■今週のひとくちメモ

○情報セキュリティ国際キャンペーン

9月28日、政府は「情報セキュリティ国際キャンペーン」の発表を行いました。
これは、毎年2月に開催している「情報セキュリティ月間」に加えて、10月を
「情報セキュリティ国際キャンペーン」の期間とし、国際連携の推進と国内に
おける情報セキュリティ対策の一層の普及を図るものです。

本キャンペーンに合わせて関連行事も多数開催される予定です。

参考文献 (日本語)

首相官邸ホームページ
情報セキュリティ対策の一層の普及について 〜情報セキュリティ国際キャンペーンの実施にあたって〜
http://www.kantei.go.jp/jp/tyokan/noda/20120928message.html

内閣官房情報セキュリティセンター
情報セキュリティ国際キャンペーン
http://www.nisc.go.jp/security-site/campaign/index.html

JPCERT/CC WEEKLY REPORT 2012-02-01
【今週のひとくちメモ】情報セキュリティ月間
https://www.jpcert.or.jp/wr/2012/wr120401.html#Memo

■JPCERT/CC からのお願い