JPCERT-WR-2013-0501

JPCERT/CC

2013-02-06

<<< JPCERT/CC WEEKLY REPORT 2013-02-06 >>>

■01/27(日)〜02/02(土) のセキュリティ関連情報

目　次

【1】Oracle Java に複数の脆弱性

【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性

【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性

【4】Apple iOS に複数の脆弱性

【5】ISC BIND に脆弱性

【6】WordPress に複数の脆弱性

【7】Wireshark に複数の脆弱性

【今週のひとくちメモ】情報セキュリティ月間

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr130501.txt
https://www.jpcert.or.jp/wr/2013/wr130501.xml

【1】Oracle Java に複数の脆弱性

情報源

Oracle Technology Network
Oracle Java SE Critical Patch Update Advisory - February 2013
http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html

概要

Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となるバージョンは以下の通りです。

- JDK/JRE 7 Update 11 およびそれ以前
- JDK/JRE 6 Update 38 およびそれ以前
- JDK/JRE 5.0 Update 38 およびそれ以前
- SDK/JRE 1.4.2_40 およびそれ以前
- JavaFX 2.2.4 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに、該当する製品を更新することで解決します。詳細については、Oracle が
提供する情報を参照して下さい。

なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列はすでにサポートが終了してい
ます。JDK/JRE 6 系列は、2013年2月に終了します。最新の Java SE またはサ
ポートのある製品への移行をお勧めします。

【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#922681
Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
http://www.kb.cert.org/vuls/id/922681

概要

UPnP デバイス用ポータブル SDK (libupnp ライブラリ) には、バッファオーバー
フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実
行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- UPnP SDK 1.2 (Intel SDK)
- UPnP SDK 1.6.17 およびそれ以前のバージョン (Portable SDK)

この問題は、libupnp ライブラリを使用している製品のベンダが提供する修正
済みのバージョンに該当する製品を更新することで解決します。詳細について
は、各ベンダが提供する情報を参照して下さい。

【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性

情報源

US-CERT Vulnerability Note VU#628463
Ruby on Rails 3.0 and 2.3 JSON Parser vulnerability
http://www.kb.cert.org/vuls/id/628463

概要

Ruby on Rails 3.0 および 2.3 の JSON 解析には、脆弱性があります。結果と
して、遠隔の第三者が、任意のコードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- Ruby on Rails バージョン 3.0.20 より前のバージョン
- Ruby on Rails バージョン 2.3.16 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに Ruby on Rails を更新することで解決します。詳細については、配布元が
提供する情報を参照して下さい。

【4】Apple iOS に複数の脆弱性

情報源

Japan Vulnerability Notes JVNVU#95364469
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU95364469/index.html

概要

Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が、機
密情報を取得したり、任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- Apple iOS 6.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Apple iOS を更新する
ことで解決します。詳細については、Apple が提供する情報を参照して下さい。

【5】ISC BIND に脆弱性

情報源

Knowledge Base
CVE-2012-5689: BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ
https://kb.isc.org/article/AA-00855

概要

ISC BIND には脆弱性があります。結果として、DNS64 と RPZ を有効に設定し
ている場合、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があ
ります。

対象となるバージョンは以下の通りです。

- ISC BIND 9.8.0 から 9.8.4-P1 のバージョン
- ISC BIND 9.9.0 から 9.9.2-P1 のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ
ンに BIND を更新することで解決します。詳細については、ISC が提供する情
報を参照して下さい。

【6】WordPress に複数の脆弱性

情報源

JC3 Bulletin
V-078: WordPress Bugs Permit Cross-Site Scripting and Port Scanning Attacks
http://energy.gov/cio/articles/v-078-wordpress-bugs-permit-cross-site-scripting-and-port-scanning-attacks

概要

WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機密
情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- WordPress 3.5.1 より前のバージョン

この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新
することで解決します。詳細については、WordPress が提供する情報を参照し
て下さい。

【7】Wireshark に複数の脆弱性

情報源

JC3 Bulletin
V-081: Wireshark Multiple Vulnerabilities
http://energy.gov/cio/articles/v-081-wireshark-multiple-vulnerabilities

概要

Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- Wireshark 1.8.5 より前のバージョン
- Wireshark 1.6.13 より前のバージョン

この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新
することで解決します。詳細については、Wireshark が提供する情報を参照し
て下さい。

■今週のひとくちメモ

○情報セキュリティ月間

2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため
の様々な活動が企画されています。また、「国民を守る情報セキュリティサイ
ト」では様々な資料や関連サイトへのリンクも紹介しています。

情報セキュリティの普及啓発の一助として、この機会をご活用ください。

参考文献 (日本語)

内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html

独立行政法人情報処理推進機構 (IPA)
情報セキュリティ：2013年2月の呼びかけ
http://www.ipa.go.jp/security/txt/2013/02outline.html

JPCERT/CC WEEKLY REPORT ひとくちメモ 2012-02-01
情報セキュリティ月間
https://www.jpcert.or.jp/tips/2012/wr120401.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2013-02-06号

<<< JPCERT/CC WEEKLY REPORT 2013-02-06 >>>

■01/27(日)〜02/02(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

○情報セキュリティ月間

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次