-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2011-4701
                                                                   JPCERT/CC
                                                                  2011-12-07

            <<< JPCERT/CC WEEKLY REPORT 2011-12-07 >>>

――――――――――――――――――――――――――――――――――――――
■11/27(日)〜12/03(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Adobe Flex アプリケーションにクロスサイトスクリプティングの脆弱性
【2】PowerChute Business Edition にクロスサイトスクリプティングの脆弱性
【3】沖縄ICTフォーラム2011 サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜
【今週のひとくちメモ】サーバに対するブルートフォース攻撃への備え

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2011/wr114701.html
        https://www.jpcert.or.jp/wr/2011/wr114701.xml
============================================================================


【1】Adobe Flex アプリケーションにクロスサイトスクリプティングの脆弱性

    情報源
      US-CERT Current Activity Archive
      Adobe Releases Security Advisory for Adobe Flex SDK
      http://www.us-cert.gov/current/archive/2011/12/02/archive.html#adobe_releases_security_advisory_for9

    概要
      Adobe Flex SDK で作成した Flex アプリケーションには、クロスサイト
      スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
      ザのブラウザ上で任意のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Windows、Macintosh および Linux で動作する Adobe Flex SDK 4.5.1 
        およびそれ以前の 4.x
      - Windows、Macintosh および Linux で動作する Adobe Flex SDK 3.6 
        およびそれ以前の 3.x

      この問題は、Adobe が提供する修正済みのバージョンに Adobe Flex SDK 
      を更新し、Flex アプリケーションを再構築することで解決します。詳
      細については、Adobe が提供する情報を参照してください。
      		

    関連文書 (日本語)
      Adobe セキュリティ情報
      APSB-11-25: Flex SDK に関するセキュリティアップデート公開
      http://kb2.adobe.com/jp/cps/925/cpsid_92568.html

      Adobe セキュリティ情報
      Flexのセキュリティ問題（APSB11-25）
      http://kb2.adobe.com/jp/cps/915/cpsid_91544.html

【2】PowerChute Business Edition にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#61695284
      PowerChute Business Edition におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN61695284/index.html

    概要
      シュナイダーエレクトリック (旧エーピーシー・ジャパン) の
      PowerChute Business Edition には、クロスサイトスクリプティングの
      脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で
      任意のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - PowerChute Business Edition v8.5 より前のバージョン

      この問題は、シュナイダーエレクトリックが提供する修正済みのバージョ
      ンに PowerChute Business Edition を更新することで解決します。詳細
      については、シュナイダーエレクトリックが提供する情報を参照してく
      ださい。
      		

    関連文書 (英語)
      Schneider Electric
      PowerChute Business Edition
      http://www.apc.com/products/family/index.cfm?id=125

【3】沖縄ICTフォーラム2011 サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜

    情報源
      JAIPA
      http://www.jaipa.or.jp/topics/?p=459

      SecurityDay
      http://securityday.jp/

    概要
      2011年12月15日(木) から 16日(金) まで、沖縄大学において日本インター
      ネットプロバイダー協会 (JAIPA) 主催、SecurityDay 運営委員会共催の
      「サイバーセキュリティと通信の秘密 〜SecurityDay in Okinawa〜」が
      開催されます。JPCERT/CC は SecurityDay 運営委員会に参加しています。

      なお、例年開催の SecurityDay は 2012年、東京にて開催を予定してい
      ます。
      		


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○サーバに対するブルートフォース攻撃への備え

      インターネットからのアクセスを許可しているサーバでは、ブルート
      フォース攻撃によってパスワード認証をやぶられることがあります。と
      くに、SSH サーバや Windows リモートデスクトップサービスを狙う攻撃
      が様々な定点観測活動において継続的に観測されています。

      インターネットからのアクセスを許可する場合、SSH サーバでは、ユー
      ザ認証として公開鍵認証を利用し、可能であればアクセス元 IP アドレ
      スによるアクセス制限を行いましょう。また、Windows のリモートデス
      クトップサービスでは、強固なパスワードを使用し、可能な限りアクセ
      ス元 IP アドレスによるアクセス制限を行うなどの対策を実施しましょ
      う。

    参考文献 (日本語)
      TechNet Blogs 日本のセキュリティチーム
      マルウェア Morto に見る、強固なパスワードの重要性
      http://blogs.technet.com/b/jpsecurity/archive/2011/09/06/3451299.aspx

    参考文献 (英語)
      ISC Diary
      SSH Password Brute Forcing may be on the Rise
      http://isc.sans.edu/diary/SSH+Password+Brute+Forcing+may+be+on+the+Rise/12133


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2011 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJO3r4JAAoJEDF9l6Rp7OBIGUMH/3FEFycWj+p0GtMgoeAAKhVB
pkSmC8fBY+C14ZVOJjxx4YAvuvYHUREVJd/E7isC6i1rHt98SSRgbN/w/tYqq7Zj
c1pwJ39Un3X7D8dnU8JjQCZKv9bdi7dcuDxVmuzgB7tZk9VuNwZ/GUSHnruC7b5Z
YCCST6/+9+K1tH8WySAwgmlKxUymhMoJeEzVH2QUYQZLylRDw8RQyR1MKZzOjt1Y
fLrGHzKWBCtQSNfr+o8i7a9IEJQbwq41weiLi7/R9jEh0kDMPZqZQAGz502Hna40
qbscS5p4F+tvrWSQlTfs+WvK98GwniPBM8QCFDaC0S7CKvoxcVsOoda5NbhwObg=
=a9Hs
-----END PGP SIGNATURE-----