<<< JPCERT/CC WEEKLY REPORT 2012-11-21 >>>

■11/11(日)〜11/17(土) のセキュリティ関連情報

目　次

【1】Microsoft の複数の製品に脆弱性

【2】複数の Android 製品に脆弱性

【3】Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性

【4】RSA Data Protection Manager Appliance に複数の脆弱性

【5】フィッシング対策セミナー2012 開催のお知らせ

【6】Java セキュアコーディングセミナー＠福岡 ひきつづき参加者募集中

【今週のひとくちメモ】JNSAが「SNS の安全な歩き方」を公開

【1】Microsoft の複数の製品に脆弱性

情報源

US-CERT Alert (TA12-318A)
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA12-318A.html

概要

Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となる製品は以下の通りです。

- Microsoft Windows
- Microsoft Office
- Microsoft .NET Framework
- Internet Explorer

この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
用することで解決します。詳細については、Microsoft が提供する情報を参照
して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA12-318A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-318A/index.html

マイクロソフト株式会社
2012 年 11 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-nov

JPCERT/CC
2012年11月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120035.html

警察庁 ＠Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-071,072,073,074,075,076)
http://www.npa.go.jp/cyberpolice/topics/?seq=10363

【2】複数の Android 製品に脆弱性

情報源

Japan Vulnerability Notes JVN#74829345
Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN74829345/index.html

概要

複数の Android 製品に、サービス運用妨害 (DoS) の脆弱性があります。結果
として、特定のファイルへのアクセスによって、当該製品が強制終了させられ
る可能性があります。

この問題は、ベンダや携帯電話事業者が提供する修正済みのバージョンに該当
する製品を更新することで解決します。詳細については、ベンダや携帯電話事
業者が提供する情報を参照して下さい。

【3】Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#558132
Dell OpenManage Server Administrator contains a cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/558132

概要

Dell OpenManage Server Administrator には、クロスサイトスクリプティング
の脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Dell OpenManage Server Administrator バージョン 7.1.0.1 より前のバージョン
- Dell OpenManage Server Administrator バージョン 7.0.0.1 より前のバージョン
- Dell OpenManage Server Administrator バージョン 6.5.0.1 より前のバージョン

この問題は、Dell が提供する更新プログラムを Dell OpenManage Server
Administrator に適用することで解決します。詳細については、Dell が提供す
る情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#558132
Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU558132/index.html

関連文書 (英語)

Dell
DELL OpenManage Server Administrator Managed Node Patch for OM7.1
http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=5JDN0&osCode=WNET&fileId=3082293694

Dell
DELL OpenManage Server Administrator Managed Node Patch for OM7.0
http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=PCXMR&osCode=WNET&fileId=3082295344

Dell
DELL OpenManage Server Administrator Managed Node Patch for OM6.5
http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=JJMWP&osCode=WNET&fileId=3082295338

【4】RSA Data Protection Manager Appliance に複数の脆弱性

情報源

JC3 Bulletin
V-026: RSA Data Protection Manager Bugs Permit Cross-Site Scripting Attacks and Let Local Users Bypass Security Restrictions
http://energy.gov/cio/articles/v-026-rsa-data-protection-manager-bugs-permit-cross-site-scripting-attacks-and-let

概要

RSA Data Protection Manager Appliance には、複数の脆弱性があります。結
果として、遠隔の第三者が、クロスサイトスクリプティング攻撃を行ったり、
セキュリティ制限を回避したりする可能性があります。

対象となるバージョンは以下の通りです。

- RSA Data Protection Manager Appliance バージョン 2.7.x および 3.x

この問題は、EMC が提供する修正済みのバージョンに RSA Data Protection
Manager Appliance を更新することで解決します。詳細については、EMC が提
供する情報を参照して下さい。

【5】フィッシング対策セミナー2012 開催のお知らせ

情報源

フィッシング対策協議会
フィッシング対策セミナー2012
https://www.antiphishing.jp/news/event/antiphishing_seminar2012.html

概要

フィッシング対策協議会では日本国内におけるフィッシング詐欺被害の抑制を
目的として、「フィッシング対策セミナー2012」を開催します。今回は、みず
ほ銀行や警察庁の方がそれぞれの組織におけるフィッシング対策や対応につい
て講演されます。

参加費は無料です。(ただし、事前に参加申込みが必要となります。) 受付は
2012年12月10日(月) までですが、満席になり次第受付終了となりますので、ご
了承ください。

日時および場所：
    2012年12月14日（金）13:00-17:00 (開場12:30)
    楽天株式会社 品川シーサイド楽天タワー4F 朝会会場
    〒140-0002 東京都品川区東品川4-12-3
    http://corp.rakuten.co.jp/company/map/shinagawa.html

関連文書 (日本語)

フィッシング対策協議会
https://www.antiphishing.jp/

【6】Java セキュアコーディングセミナー＠福岡 ひきつづき参加者募集中

情報源

JPCERT/CC
Java セキュアコーディングセミナー＠福岡のご案内
https://www.jpcert.or.jp/event/securecoding-FUK201212-seminar.html

概要

JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催して
います。このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュア
コーディングについて、より実践的に学んでいただける内容となっています。

現在、福岡を会場として開催する「Java セキュアコーディングセミナー＠福岡」
の参加者を募集しています。ふるってご参加ください。
なお、参加者多数の場合はお申し込み先着順となります。

        [日時] 2012年12月9日(日) 10:30 - 16:00
        [会場] リファレンス駅東ビル　会議室Ｄ
               福岡市博多区博多駅東1丁目16-14
               (MAP) http://www.re-rental.com/map.html
        [定員]　40名
        [参加費用]　無料

        [内容]　Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                「オブジェクトの生成とセキュリティ」
                「リソース消費攻撃とその対策」
                Javaにおける脆弱なコーディングの事例の解説
                クイズおよびハンズオン

関連文書 (日本語)

JPCERT/CC
Java セキュアコーディングセミナー＠福岡 お申し込み
https://www.jpcert.or.jp/event/securecoding-FUK201212-application.html

■今週のひとくちメモ

○JNSAが「SNS の安全な歩き方」を公開

JNSA の SNS セキュリティワーキンググループから「SNS の安全な歩き方」が
公開されました。SNS に関わる様々なセキュリティとプライバシー問題につい
てまとめられています。SNS 使用に関するポリシーを検討する際の参考にして
はいかがでしょうか。

参考文献 (日本語)

NPO 日本ネットワークセキュリティ協会
SNSの安全な歩き方〜セキュリティとプライバシーの課題と対策〜
http://www.jnsa.org/result/2012/sns.html

■JPCERT/CC からのお願い