JPCERT コーディネーションセンター

Weekly Report 2013-05-02号

JPCERT-WR-2013-1701
JPCERT/CC
2013-05-02

<<< JPCERT/CC WEEKLY REPORT 2013-05-02 >>>

■04/21(日)〜04/27(土) のセキュリティ関連情報

目 次

【1】Citrix の NetScaler Access Gateway Enterprise Edition に脆弱性

【2】ActiveMQ に複数の脆弱性

【3】Yahoo!ブラウザーにアドレスバー偽装の脆弱性

【4】Android 版 jigbrowser+ にアドレスバー偽装の脆弱性

【5】「CSIRTフォーラム2013」開催のお知らせ

【今週のひとくちメモ】25th FIRST Annual Conference、バンコクで開催

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr131701.txt
https://www.jpcert.or.jp/wr/2013/wr131701.xml

【1】Citrix の NetScaler Access Gateway Enterprise Edition に脆弱性

情報源

US-CERT Vulnerability Note VU#521612
Citrix NetScaler and Access Gateway Enterprise Edition unauthorized access to network resources vulnerability
http://www.kb.cert.org/vuls/id/521612

概要

Citrix の NetScaler Access Gateway Enterprise Edition には、脆弱性があ
ります。結果として、遠隔の第三者が、内部ネットワークのリソースにアクセ
スする可能性があります。

対象となるバージョンは以下の通りです。

- NetScaler Access Gateway Enterprise Edition firmware version 9.3.61.5
  およびそれ以前のバージョン
- NetScaler Access Gateway Enterprise Edition firmware version 10.0.74.4
  およびそれ以前のバージョン 10.0 系

この問題は、Citrix が提供する修正済みのバージョンに該当する製品を更新す
ることで解決します。詳細については、Citrix が提供する情報を参照して下さ
い。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#95943552
NetScaler Access Gateway Enterprise Edition に脆弱性
https://jvn.jp/cert/JVNVU95943552/index.html

関連文書 (英語)

Citrix
Vulnerability in Citrix NetScaler Access Gateway Enterprise Edition Could Result in Unauthorized Access to Network Resources
http://support.citrix.com/article/ctx137238

【2】ActiveMQ に複数の脆弱性

情報源

JC3 Bulletin
V-140: Apache ActiveMQ Bugs Let Remote Users Conduct Cross-Site Scripting Attacks, Deny Service, and Obtain Potentially Sensitive Information
http://energy.gov/cio/articles/v-140-apache-activemq-bugs-let-remote-users-conduct-cross-site-scripting-attacks-deny

概要

ActiveMQ には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- ActiveMQ 5.8.0 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに ActiveMQ を更新する
ことで解決します。詳細については、開発者が提供する情報を参照して下さい。

関連文書 (英語)

Apache
Active MQ 5.8.0 Release
http://activemq.apache.org/activemq-580-release.html

【3】Yahoo!ブラウザーにアドレスバー偽装の脆弱性

情報源

Japan Vulnerability Notes JVN#55074201
Yahoo!ブラウザーにおけるアドレスバー偽装の脆弱性
https://jvn.jp/jp/JVN55074201/index.html

概要

Yahoo!ブラウザーには、アドレスバー偽装の脆弱性があります。結果として、
アドレスバーに表示される URL を偽装され、フィッシング詐欺等に悪用される
可能性があります。

対象となるバージョンは以下の通りです。

- Yahoo!ブラウザー v1.4.2 およびそれ以前のバージョン

この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザを更新
することで解決します。詳細については、ヤフーが提供する情報を参照して下
さい。

関連文書 (日本語)

Google Play の Android アプリ
Yahoo!ブラウザー
https://play.google.com/store/apps/details?id=jp.co.yahoo.android.ybrowser

Yahoo!マーケット
Yahoo!ブラウザ
http://market.yahoo.co.jp/app/android/details/jp.co.yahoo.android.ybrowser/a

【4】Android 版 jigbrowser+ にアドレスバー偽装の脆弱性

情報源

Japan Vulnerability Notes JVN#01313594
Android 版 jigbrowser+ におけるアドレスバー偽装の脆弱性
https://jvn.jp/jp/JVN01313594/index.html

概要

Android 版 jigbrowser+ には、アドレスバー偽装の脆弱性があります。結果と
して、アドレスバーに表示される URL を偽装され、フィッシング詐欺等に悪用
される可能性があります。

対象となるバージョンは以下の通りです。

- jigbrowser+ Ver.1.6.3 およびそれ以前のバージョン

この問題は、jig.jp が提供する修正済みのバージョンに jigbrowser+ を更新
することで解決します。詳細については、jig.jp が提供する情報を参照して下
さい。

関連文書 (日本語)

Google Play の Android アプリ
jigbrowser+ ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.jig.product.browser_plus

【5】「CSIRTフォーラム2013」開催のお知らせ

情報源

日本シーサート協議会
CSIRTフォーラム2013
http://www.nca.gr.jp/2013/csirt-forum/index.html

概要

日本シーサート協議会では、CSIRT の構築や CSIRT コミュニティへの参画を考
えている企業や団体の方を対象に、「CSIRTフォーラム2013 -これから CSIRT
を構築したい方々へ-」を開催します。

今回は、NISC (内閣官房情報セキュリティセンター) からセキュリティインシ
デントに対する政府の対応方針についての講演が行われる他、みずほ銀行、ト
ヨタ自動車、DeNA から CSIRT 運用現場の声をお届けします。

参加費は無料です。ただし、事前に参加申し込みが必要となります。満席にな
り次第、受け付け終了とさせていただきますので、ご了承ください。

日時および場所:
    2013年5月24日(金) 14:00-17:30 (開場 13:30)
    株式会社ディー・エヌ・エー 渋谷オフィス(本社)
    〒150-8510 東京都渋谷区渋谷2-21-1 渋谷ヒカリエ
    http://dena.com/company/access.html

■今週のひとくちメモ

○25th FIRST Annual Conference、バンコクで開催

今年の FIRST Annual Conference は、6月16日から 21日までタイのバンコクで
開催されます。FIRST カンファレンスのセッションのうち、AGM (Annual
General Meeting) への参加は FIRST 加盟チームのメンバのみとされています
が、その他の一般セッションについては、どなたでも参加可能です。

FIRST カンファレンスの魅力は、セキュリティに関する様々なトピックの講演
を聞けること、あわせて、セッションの合間の休憩時間やランチタイムなどの
時間を利用して、日頃気になっていたチームと交流するチャンスが多数あるこ
とです。

アジア地域で開催される今年は、出張費用をおさえて FIRST カンファレンスに
参加するチャンスです。みなさんも参加してみませんか。

参考文献 (英語)

FIRST
25th Annual FIRST Conference
http://conference.first.org/2013/

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter