<<< JPCERT/CC WEEKLY REPORT 2012-12-27 >>>

■12/16(日)〜12/22(土) のセキュリティ関連情報

目　次

【1】Drupal Core に複数の脆弱性

【2】Opera ブラウザに脆弱性

【3】IBM InfoSphere Information Server に複数の脆弱性

【4】concrete5 にクロスサイトスクリプティングの脆弱性

【5】RealPlayer に複数の脆弱性

【6】Android 版 ロケタッチに複数の脆弱性

【7】制御システムセキュリティカンファレンス 2013 参加申し込み受付中

【今週のひとくちメモ】担当者が選ぶ 2012年重大ニュース

【1】Drupal Core に複数の脆弱性

情報源

JC3 Bulletin
V-052: Drupal Core Access Bypass and Arbitrary PHP Code Execution Vulnerabilities
http://energy.gov/cio/articles/v-052-drupal-core-access-bypass-and-arbitrary-php-code-execution-vulnerabilities

概要

Drupal Core には複数の脆弱性があります。結果として、遠隔の第三者が、任
意の PHP コードを実行したり、セキュリティ制限を回避したりする可能性があ
ります。

対象となるバージョンは以下の通りです。

- Drupal 6.27 より前の 6.x 系
- Drupal 7.18 より前の 7.x 系

この問題は、Drupal が提供する修正済みのバージョンに Drupal Core を更新
することで解決します。詳細については、Drupal が提供する情報を参照して下
さい。

関連文書 (英語)

Drupal
SA-CORE-2012-004 - Drupal core - Multiple vulnerabilities
http://drupal.org/SA-CORE-2012-004

【2】Opera ブラウザに脆弱性

情報源

Opera
Opera 12.12 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1212/

概要

Opera ブラウザには脆弱性があります。結果として、遠隔の第三者が細工した
Web ページを閲覧させることで任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Opera 12.12 より前のバージョン

この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新
することで解決します。詳細については、Opera が提供する情報を参照して下
さい。

関連文書 (英語)

Opera
Advisory: Malformed GIF images could allow execution of arbitrary code
http://www.opera.com/support/kb/view/1038/

Opera
Advisory: Repeated attempts to access a target site can trigger address field spoofing
http://www.opera.com/support/kb/view/1040/

Opera
Advisory: Private data can be disclosed to other computer users, or be modified by them
http://www.opera.com/support/kb/view/1039/

【3】IBM InfoSphere Information Server に複数の脆弱性

情報源

JC3 Bulletin
V-050: IBM InfoSphere Information Server Multiple Vulnerabilities
http://energy.gov/cio/articles/v-050-ibm-infosphere-information-server-multiple-vulnerabilities

概要

IBM InfoSphere Information Server には、複数の脆弱性があります。結果と
して、遠隔の第三者がセキュリティ制限を回避する可能性があります。

対象となるバージョンは以下の通りです。

- バージョン 9.1 より前のバージョン

この問題は、IBM が提供する修正済みのバージョンに InfoSphere
Information Server を更新することで解決します。詳細については、IBM が提

供する情報を参照して下さい。

関連文書 (英語)

IBM
IBM InfoSphere Information Server, Version 9.1 fix list
http://www-01.ibm.com/support/docview.wss?uid=swg21607940

【4】concrete5 にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#65458431
concrete5 におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN65458431/index.html

概要

concrete5 には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- concrete5 日本語版 5.5.1 から 5.5.2.1 までのバージョン
- concrete5 英語版 5.5.0 から 5.6.0.2 までのバージョン

この問題は、配布元が提供する修正済みのバージョンに concrete5 を更新する
ことで解決します。なお、concrete5 英語版は、次バージョンで修正予定です
が、公開時期は未定とのことです。詳細は、配布元が提供する情報を参照して
下さい。

関連文書 (日本語)

コンクリートファイブジャパン株式会社
concrete5.6.0.2 日本語版 リリース
http://concrete5-japan.org/news/concrete5602ja-release/

【5】RealPlayer に複数の脆弱性

情報源

JC3 Bulletin
V-049: RealPlayer Buffer Overflow and Invalid Pointer Flaw Let Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-049-realplayer-buffer-overflow-and-invalid-pointer-flaw-let-remote-users-execute

概要

RealPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が細工
したファイルをユーザに閲覧させることで、任意のコードを実行する可能性が
あります。

対象となるバージョンは以下の通りです。

- RealPlayer 15.0.6.14 およびそれ以前のバージョン (Windows版)

この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を
更新することで解決します。詳細については、RealNetworks が提供する情報を
参照して下さい。

関連文書 (英語)

RealNetworks, Inc.
Releases Update to Address Security Vulnerabilities.
http://service.real.com/realplayer/security/12142012_player/en/

【6】Android 版 ロケタッチに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#42625179
Android 版 ロケタッチにおける暗黙的 Intent の扱いに関する脆弱性
https://jvn.jp/jp/JVN42625179/index.html

Japan Vulnerability Notes JVN#33159152
Android 版 ロケタッチにおける情報管理不備の脆弱性
https://jvn.jp/jp/JVN33159152/index.html

概要

Android 版 ロケタッチには、複数の脆弱性があります。結果として、ロケタッ
チで取得した位置情報が漏えいする可能性があります。

対象となるバージョンは以下の通りです。

- Android 版 ロケタッチ 3.4.6 およびそれ以前のバージョン

この問題は、NHN Japan 株式会社が提供する修正済みのバージョンに Android
版ロケタッチを更新することで解決します。詳細については、NHN Japan 株式
会社が提供する情報を参照して下さい。

【7】制御システムセキュリティカンファレンス 2013 参加申し込み受付中

情報源

JPCERT/CC
制御システムセキュリティカンファレンス 2013 開催のご案内
https://www.jpcert.or.jp/event/ics-conference2013.html

概要

2013年1月24日(木)に「制御システムセキュリティカンファレンス 2013」を開
催いたします。会場は品川コクヨホールです。

今回は、米国 ICS-CERT の設立に携わった Sean McGurk 氏、日本マイクロソフ
ト株式会社 高橋氏や株式会社フォティーンフォティ技術研究所 鵜飼氏による
講演などを予定しています。

    [日時] 2013年1月24日(木) 10:00-17:20 (受付開始 9:30)
    [会場] コクヨホール
           東京都港区港南 1-8-35
           http://www.kokuyo.co.jp/showroom/hall/access/
    [定員] 300名
    [参加費用] 無料
    [申し込み] 申し込みフォームに必要事項をご記入の上、メールにてお申し
               込みください。

■今週のひとくちメモ

○担当者が選ぶ 2012年重大ニュース

2012年もいよいよ残り少なくなってきました。今年もこの場をお借りして、担
当者が選んだ 2012年の重大ニュースをご紹介します。

- インターネットにおける抗議活動

  インターネットを舞台にした、企業や国家への抗議活動が話題となりました。
  攻撃によって自サイトが影響を受けるだけでなく、脆弱性のあるサイトを運
  用していたため、他サイトへの攻撃の踏み台として使われる事例もありまし
  た。

- 不正アクセス禁止法改正

  平成 11年から施行されている不正アクセス禁止法が改正され、5月より施行
  されています。この改正では、不正なアクセス行為自体にとどまらず、不正
  なアクセス行為を目的として ID やパスワードを収集する行為まで含めて禁
  止するように条文が改正されました。

    不正アクセス禁止法改正と警察の取り組みについて
    http://www.antiphishing.jp/news/pdf/apcseminar2012npa.pdf

- 遠隔操作ウイルス事件

  Web サイトに犯罪予告の書き込みを行った容疑で、複数の容疑者が逮捕され
  ました。その後、真犯人からと思われる犯行声明が出され、容疑者の PC に
  遠隔操作ウイルスが感染して遠隔操作で書き込みが行われたことが判明しま
  した。捜査手法に関する問題点や犯行の手口などが大きな話題となりました。

- タブレット端末の本格普及

  スマートフォンと同様の OS を使った、タブレット型情報端末が各社から発
  売され、企業で業務利用するケースを目にする機会も多くなってきました。
  携帯性が高く便利なデバイスですが、従来の PC とは違ったセキュリティ対
  策や管理が求められます。重要な情報を扱う際には注意が必要です。

- Android アプリの脆弱性、情報窃取

  表向きの動作とは関係ない権限をユーザに許可させ、端末内の情報を窃取す
  るアプリが Android マーケットで公開されるなど、利用者の端末内に含まれ
  る情報を狙った攻撃が話題になりました。

  また、JVN では Android アプリのアクセス制限不備に関する脆弱性の届出が
  増加しています。アプリ開発者の方は、IPA の「『Androidアプリの脆弱性』
  に関するレポート」などを参考にしてください。

- DNS Changer マルウエア感染確認サイト

  2012年7月、DNS Chager マルウエア感染 PC 向けに、米国政府が運用してい
  た DNS サーバの運用が終了しました。JPCERT/CC では、DCWG と協力を行い、
  日本国内の感染者向けの感染確認サイトを公開し、国内の感染者への対応を
  行いました。

    DNS Changer Working Group
    http://www.dcwg.org/detect/

来年が皆様にとって良い年になることを、編集担当一同祈っております。来年
も Weekly Report をどうぞよろしくお願いします。

■JPCERT/CC からのお願い