-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-2901 JPCERT/CC 2011-08-03 <<< JPCERT/CC WEEKLY REPORT 2011-08-03 >>> ―――――――――――――――――――――――――――――――――――――― ■07/24(日)〜07/30(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple iOS に脆弱性 【2】VMware ESX に複数の脆弱性 【3】Android の SSL 証明書表示に脆弱性 【4】Avaya Secure Access Link (SAL) Gateway に脆弱性 【今週のひとくちメモ】情報処理の高度化等に対処するための刑法等の一部を改正する法律 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr112901.html https://www.jpcert.or.jp/wr/2011/wr112901.xml ============================================================================ 【1】Apple iOS に脆弱性 情報源 US-CERT Current Activity Archive Apple Releases iOS 4.3.5 and iOS 4.2.10 http://www.us-cert.gov/current/archive/2011/07/29/archive.html#apple_releases_ios_4_33 概要 Apple iOS には、脆弱性があります。結果として、遠隔の第三者が SSL/TLS で通信されている内容を傍受したり、改ざんしたりする可能性 があります。 対象となるバージョンは以下の通りです。 - iPhone (GSM)、iPod touch、iPad 向けの Apple iOS 4.3.5 より前の バージョン - iPhone (CDMA) 向けの Apple iOS 4.2.10 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple iOS を 更新することで解決します。詳細については、Apple が提供する情報を 参照してください。 関連文書 (日本語) Apple Download iOS 4.3.5 ソフトウェア・アップデート http://support.apple.com/kb/DL1431?viewlocale=ja_JP Japan Vulnerability Notes JVNVU#633907 Apple iOS における脆弱性に対するアップデート https://jvn.jp/cert/JVNVU633907/index.html 関連文書 (英語) Apple Support HT4824 About the security content of iOS 4.3.5 Software Update for iPhone http://support.apple.com/kb/HT4824?viewlocale=en_US Apple Support HT4825 About the security content of iOS 4.2.10 Software Update for iPhone http://support.apple.com/kb/HT4825?viewlocale=en_US 【2】VMware ESX に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin T-679 VMware Security Advisory - VMSA-2011-0010 http://www.doecirc.energy.gov/bulletins/t-679.shtml 概要 VMware ESX に含まれている Service Console パッケージの DHCP およ び glibc には、複数の脆弱性があります。結果として、遠隔の第三者が 権限を昇格したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - VMware ESX 4.1 (ESX410-201107405-SG および ESX410-201107406-SG 未適用のもの) この問題は、VMware が提供する修正済みのバージョンに、該当する製 品を更新することで解決します。詳細については、VMware が提供する 情報を参照してください。 関連文書 (英語) VMware Security Announcements & Certifications VMSA-2011-0010 VMware ESX third party updates for Service Console packages glibc and dhcp http://www.vmware.com/security/advisories/VMSA-2011-0010.html 【3】Android の SSL 証明書表示に脆弱性 情報源 Japan Vulnerability Notes JVN#43105011 Android における SSL 証明書の表示に関する脆弱性 https://jvn.jp/jp/JVN43105011/index.html 概要 Android には、閲覧中の Web サイトの SSL 証明書を表示する際、その サイトが外部サイトのコンテンツを読み込んでいると、その外部サイト の SSL 証明書を表示してしまう脆弱性があります。結果として、遠隔の 第三者が細工した Web サイトを閲覧させることで、安全なサイトにアク セスしていると誤認させる可能性があります。 対象となるバージョンは以下の通りです。 - Android OS 2.2 より前のバージョン この問題は、Google が提供する修正済みのバージョンに Android OS を 更新することで解決します。詳細については、製品ベンダーの情報を参 照してください。 関連文書 (英語) Google b/2511635 Browser displays incorrect SSL cert information http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commit;h=dba8cb76371960457e91b31fa396478f809a5a34 【4】Avaya Secure Access Link (SAL) Gateway に脆弱性 情報源 US-CERT Vulnerability Note VU#690315 Avaya Secure Access Link (SAL) Gateway information disclosure vulnerability http://www.kb.cert.org/vuls/id/690315 概要 Avaya が提供する Secure Access Link (SAL) Gateway には、インストー ル時のデフォルト設定に問題があります。結果として SAL Gateway のロ グ情報などが漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - Avaya Secure Access Link (SAL) 1.5、1.8、2.0 この問題は、Avaya が提供する情報に基づいて設定を修正することで解 決します。詳細については、Avaya が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#690315 Secure Access Link (SAL) Gateway に情報漏えいの脆弱性 https://jvn.jp/cert/JVNVU690315/index.html 関連文書 (英語) Avaya Product Support Notice Secure Access Link (SAL) Gateway default Secondary Core Server URL and Remote Server URL points to the invalid servers which are not owned by Avaya. http://support.avaya.com/css/P8/documents/100140483 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○情報処理の高度化等に対処するための刑法等の一部を改正する法律 6月17日に、「情報処理の高度化等に対処するための刑法等の一部を改正 する法律」が成立し、ウイルス作成罪等については、7月14日から施行さ れました。ログの保全要請等に関する刑事訴訟法の改正については、成 立から1年以内の政令で定める日から施行される予定です。 なお、7月26日には法務省の法案作成担当者を招いた説明会が開催され、 活発な質疑が行われました。 参考文献 (日本語) 法務省 情報処理の高度化等に対処するための刑法等の一部を改正する法律案 http://www.moj.go.jp/keiji1/keiji12_00025.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOOJ4bAAoJEDF9l6Rp7OBIB3EH/0d2llrXM8TbglfiZShVNgBf ezfxXTymPKzWSTnJxUiCLRFOEibuk1rimYWSfAHgYQI1Ibfmew4/D9unLwntCi12 dcuLD4OUbGit8srqUUcG+E7sSUemKT/VfvEEXnhP7VHH7evNZa5tPcFoM1CN58uz F/P55SfXuWUp1ZDv4BRXtjJ6GA+jrzLvTSaA4W5cEO6nWeEZsSbYK41tGuOaGWsR WGFzLvYi83sWr7zFsmPaxr5y1faLR+xQwVun42bxR6weX868AAkY8ELADgdIjXgw 5WkgX5RmP/vzqEfQOuWcycI2iHrOSBB5O+qikL5zI84cvdWs4hNtElOq964/va0= =KSRv -----END PGP SIGNATURE-----