-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2011-4101 JPCERT/CC 2011-10-26 <<< JPCERT/CC WEEKLY REPORT 2011-10-26 >>> ―――――――――――――――――――――――――――――――――――――― ■10/16(日)〜10/22(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2011年10月 Oracle Critical Patch Update について 【2】Cisco 製品群に複数の脆弱性 【3】HP Data Protector に複数の脆弱性 【4】Opera ブラウザに脆弱性 【今週のひとくちメモ】Oracle Java SE Critical Patch Update ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2011/wr114101.html https://www.jpcert.or.jp/wr/2011/wr114101.xml ============================================================================ 【1】2011年10月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for October 2011 http://www.us-cert.gov/current/archive/2011/10/19/archive.html#oracle_pre_release_announcements_for 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応し た Oracle Critical Patch Update Advisory および Oracle Java SE Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network [CPUOct2011] Oracle Critical Patch Update Advisory - October 2011 http://www.oracle.com/technetwork/jp/topics/ojkb155517-518195-ja.html Oracle Technology Network Critical Patch Update - October 2011 http://www.oracle.com/technetwork/jp/topics/alerts-519137-ja.html 関連文書 (英語) Oracle Technology Network Oracle Java SE Critical Patch Update Advisory - October 2011 http://www.oracle.com/technetwork/topics/security/javacpuoct2011-443431.html The Oracle Software Security Assurance Blog October 2011 Critical Patch Updates Released http://blogs.oracle.com/security/entry/october_2011_critical_patch_updates Oracle Technology Network Oracle Critical Patch Update Advisory - October 2011 http://www.oracle.com/technetwork/topics/security/cpuoct2011-330135.html 【2】Cisco 製品群に複数の脆弱性 情報源 US-CERT Current Activity Archive Cisco Releases Two Security Advisories http://www.us-cert.gov/current/archive/2011/10/19/archive.html#cisco_releases_two_security_advisories 概要 Cisco 製品群には、複数の脆弱性があります。結果として、遠隔の第三 者が認証を回避したり、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - CiscoWorks Common Services 4.1 より前のバージョン - Cisco Show and Share 5.2(2.1) より前のバージョン この問題は、Cisco が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については、Cisco が提供する情報 を参照してください。 関連文書 (日本語) Cisco Security Advisory cisco-sa-20111019-cs CiscoWorks Common Services Arbitrary Command Execution Vulnerability http://www.cisco.com/cisco/web/support/JP/110/1108/1108724_cisco-sa-20111019-cs-j.html 関連文書 (英語) Cisco Security Advisory cisco-sa-20111019-cs CiscoWorks Common Services Arbitrary Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-cs Cisco Security Advisory cisco-sa-20111019-sns Cisco Show and Share Security Vulnerabilities http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-sns 【3】HP Data Protector に複数の脆弱性 情報源 DOE-CIRC Technical Bulletin U-013 HP Data Protector Multiple Unspecified Vulnerabilities http://www.doecirc.energy.gov/bulletins/u-013.shtml 概要 HP Data Protector には、複数の脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows プラットフォームで動作する以下の製品 - HP Data Protector Notebook Extension 6.20 - HP Data Protector for Personal Computers 7.0 この問題は、HP が提供するパッチを該当する製品に適用することで解 決します。詳細については、HP が提供する情報を参照してください。 関連文書 (英語) HP SUPPORT COMMUNICATION - SECURITY BULLETIN c03054543 HPSBMP02713 SSRT100651 rev.2 - Replaced by Document ID c03058866 - HPSBMU02716 SSRT100651 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03054543 【4】Opera ブラウザに脆弱性 情報源 The Opera Security group Manipulating fonts in SVG can allow execution of arbitrary code Severity http://www.opera.com/support/kb/view/1002/ 概要 Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が 細工した Web ページを閲覧させることで任意のコードを実行したり、 サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 11.51 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザ を更新することで解決します。 関連文書 (英語) The Opera Security group About the SVG font manipulation vulnerability that was fixed in 11.52 http://my.opera.com/securitygroup/blog/2011/10/19/about-the-svg-font-manipulation-vulnerability-that-was-fixed-in-11-52 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Oracle Java SE Critical Patch Update Oracle では、自社製品のセキュリティアップデートを「Critical Patch Update」として、3か月毎に公開するポリシーを採用しています。 ただし、Java のアップデートは「Oracle Java SE Critical Patch Update」として別のスケジュールで公開されています。2011年10月には、 これらふたつのセキュリティアップデート公開が重なることになりました。 双方とも今後のスケジュールは公開されているので、これに合わせ、シ ステム更新作業の体制を準備することをお勧めします。 参考文献 (日本語) Oracle Technical Network Critical Patch UpdatesとSecurity Alerts http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJOp2BYAAoJEDF9l6Rp7OBIj4kH/j2da2jLBOwoHdLQ9GVyMFry K9kHrHOlAVOeRLDTGZKq9nMdeM8TqFEE7mEonrGc3Lee1ApTTQUxjZkOSF/wkyaj KZ+t7sz2ot5PNtApgBqrxYgcAA+/vDO4+5toWPNljEOxOHh5cBgCV5Qp8fSFi0U8 P4lT2ood9tHCgV8gyVxZljtJHo9RcfB7tzAOgF/hD6SV842CPrEa2BRjEG73F2JV iUcUXjRGyaeyQDNYbaUivFKKeB2Te3uw7KQ20fBO6XnzuZ42sr46P8xkgtORo31D iOPNj8euKYkOJ0a8bIF+kO/CAk1aQefudKvZvIh4eT9PQ9o/UIcA3l8r3AoM9JU= =FoGD -----END PGP SIGNATURE-----