<<< JPCERT/CC WEEKLY REPORT 2012-10-24 >>>

■10/14(日)〜10/20(土) のセキュリティ関連情報

目　次

【1】Oracle Java に脆弱性

【2】2012年10月 Oracle Critical Patch Update について

【3】CA ARCserve Backup に複数の脆弱性

【4】OTRS にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）

【1】Oracle Java に脆弱性

情報源

Oracle Technology Network
Oracle Java SE Critical Patch Update Advisory - October 2012
http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html

概要

Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品およびバージョンは以下の通りです。

- JDK/JRE 7 Update 7 およびそれ以前
- JDK/JRE 6 Update 35 およびそれ以前
- JDK/JRE 5.0 Update 36 およびそれ以前
- SDK/JRE 1.4.2_38 およびそれ以前
- JavaFX 2.2 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。詳細については、Oracle が
提供する情報を参照して下さい。

なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はす
でにサポートが終了しています。最新の Java SE またはサポートのある製品へ
の移行をお勧めします。

関連文書 (日本語)

独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2012-5083等)
https://www.ipa.go.jp/security/ciadr/vul/20121017-jre.html

関連文書 (英語)

Apple Support
About the security content of Java for OS X 2012-006 and Java for Mac OS X 10.6 Update 11
http://support.apple.com/kb/HT5549

【2】2012年10月 Oracle Critical Patch Update について

情報源

Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2012
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html

概要

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。

詳細については、Oracle が提供する情報を参照して下さい。

【3】CA ARCserve Backup に複数の脆弱性

情報源

JC3 Bulletin
V-006: CA ARCserve Backup Flaws Let Remote Users Execute Arbitrary Code and Deny Service
http://energy.gov/cio/articles/v-006-ca-arcserve-backup-flaws-let-remote-users-execute-arbitrary-code-and-deny-service

概要

CA ARCserve Backup には複数の脆弱性があります。結果として、遠隔の第三者
が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。

対象となるバージョンは以下の通りです。

- Windows 用 CA ARCserve Backup r12.5
- Windows 用 CA ARCserve Backup r15
- Windows 用 CA ARCserve Backup r16

この問題は、CA Technologies が提供する更新プログラムを該当する製品に適
用することで解決します。詳細については、CA Technologies が提供する情報
を参照して下さい。

関連文書 (英語)

CA Technologies Support
CA20121018-01: Security Notice for CA ARCserve Backup
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={F9EEA31E-8089-423E-B746-41B5C9DD2AC1}

【4】OTRS にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#603276
OTRS contains a cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/603276

概要

OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠
隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。

対象となるバージョンは以下の通りです。

- OTRS Help Desk 2.4.14 およびそれ以前
- OTRS Help Desk 3.0.16 およびそれ以前
- OTRS Help Desk 3.1.10 およびそれ以前

この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで
解決します。詳細については、OTRS が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#603276
OTRS にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU603276/index.html

関連文書 (英語)

Open Technology Real Services Security Advisory 2012-03
Oktober 16, 2012 -- Please read carefully and check if the version of your OTRS system is affected by this vulnerability.
http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-03/

■今週のひとくちメモ

○地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）

財団法人 地方自治情報センターは、「地方公共団体における情報システムセキュ
リティ要求仕様モデルプラン（Webアプリケーション）」を公開しました。Web
アプリケーション調達の際のセキュリティ要求仕様の雛型として活用されるこ
とを想定し、要求仕様の各項目に対する解説や、調達プロセスにおける注意事
項の解説などが提供されています。

この文書は、地方公共団体に限らず、一般的な Web アプリケーションの開発で
も活用可能な内容になっています。Web アプリケーションの仕様検討や、開発
業者との要求仕様打合せなどで参考にしてみてください。

参考文献 (日本語)

財団法人 地方自治情報センター(LASDEC)
地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）
https://www.lasdec.or.jp/cms/12,28369,84.html

■JPCERT/CC からのお願い