-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-3501 JPCERT/CC 2011-09-14 <<< JPCERT/CC WEEKLY REPORT 2011-09-14 >>> ―――――――――――――――――――――――――――――――――――――― ■09/04(日)〜09/10(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】「不正な SSL 証明書による問題」に関する追加情報 【2】Blue Coat Reporter にディレクトリトラバーサルの脆弱性 【今週のひとくちメモ】スマートフォン&タブレットの業務利用に関するセキュリティガイドライン ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr113501.html https://www.jpcert.or.jp/wr/2011/wr113501.xml ============================================================================ 【1】「不正な SSL 証明書による問題」に関する追加情報 情報源 Apple About Security Update 2011-005 https://support.apple.com/kb/HT4920 Mozilla Foundation セキュリティアドバイザリ MFSA 2011-35: DigiNotar 社の不正な SSL 証明書からのさらなる保護 http://www.mozilla-japan.org/security/announce/2011/mfsa2011-35.html 概要 JPCERT/CC WEEKLY REPORT 2011-09-07 号【1】で紹介した「不正な SSL 証明書による問題」に関する追加情報です。 Apple が Mac OS X 向けのアップデートを 2011年9月9日に公開しまし た。 また、Mozilla は 2011年9月6日に追加の修正を行ったセキュリティアッ プデートを公開しています。 関連文書 (日本語) JPCERT/CC WEEKLY REPORT 2011-09-07 【1】不正な SSL 証明書による問題 https://www.jpcert.or.jp/wr/2011/wr113401.html#1 Japan Vulnerability Notes JVNVU#557171 Apple Mac OS X におけるアップデート https://jvn.jp/cert/JVNVU557171/index.html 【2】Blue Coat Reporter にディレクトリトラバーサルの脆弱性 情報源 DOE-CIRC Technical Bulletin T-713 Blue Coat Reporter Directory Traversal Flaw http://www.doecirc.energy.gov/bulletins/t-713.shtml 概要 Blue Coat Reporter には、ディレクトリトラバーサルの脆弱性があり ます。結果として、遠隔の第三者がシステム上の任意のファイルを閲覧 したり、設定ファイルを取得した上で Reporter を操作したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Reporter 8 - Reporter 9.1.1、9.1.2、9.1.3、9.1.4、9.1.5 - Reporter 9.2.0、9.2.1、9.2.2、9.2.3 この問題は、Blue Coat Systems が提供する修正済みのバージョンに Blue Coat Reporter を更新することで解決します。詳細については、 Blue Coat Systems が提供する情報を参照してください。 関連文書 (日本語) Blue Coat Systems Blue Coat Reporter http://www.bluecoat.co.jp/products/reporter/index.html 関連文書 (英語) Blue Coat Security Advisories SA60 September 6, 2011 - Reporter unauthenticated directory traversal https://kb.bluecoat.com/index?page=content&id=SA60 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○スマートフォン&タブレットの業務利用に関するセキュリティガイドライン 日本スマートフォンセキュリティフォーラム (JSSEC) が『スマートフォ ン&タブレットの業務利用に関するセキュリティガイドライン』【β版】 を公開し、パブリックコメントを募集しています。 このガイドラインは、一般企業などでスマートフォンを業務利用する際 に必要なセキュリティガイドラインを策定したものです。 参考文献 (日本語) 日本スマートフォンセキュリティフォーラム(JSSEC) 『スマートフォン&タブレットの業務利用に関するセキュリティガイドライン』【β版】公開 及びパブリックコメントを募集 http://www.jssec.org/news/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOb/52AAoJEDF9l6Rp7OBITSAH/j0Jkf1Qq92/vyXt35bQHfLJ cMBNjKlJkALtdqredqBbCfZJosGsWDEcktTq9U/JN1/pU9VhCTPQBQ1sFpKZ0NL0 rS5sPBga6ShAHebtSfR2JglWsMhBdLBCefPlm6nHtLO2hjdFiea+kH4aTTrMJF/a DpOaz+aRPK1VQ57pnKO6+4TSmXPwH+4csedevom654W8ae2ZqdxWHzIqh6HozrtG jN7abLn88btymjZmE0wd7vEzlGK5/IcAdGHvwkRcXjRlHj6GQNCyJh7iacgH8ZzE V5ixBoYlVB2IWI5JbVsL8VYStCm90mShXL6fcd5/LeARghxG8/IiUxcNJdNT1ak= =uVuK -----END PGP SIGNATURE-----