-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-0301 JPCERT/CC 2012-01-25 <<< JPCERT/CC WEEKLY REPORT 2012-01-25 >>> ―――――――――――――――――――――――――――――――――――――― ■01/15(日)〜01/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2012年1月 Oracle Critical Patch Update について 【2】osCommerce に複数の脆弱性 【今週のひとくちメモ】ハッシュテーブル処理の問題 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr120301.html https://www.jpcert.or.jp/wr/2012/wr120301.xml ============================================================================ 【1】2012年1月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for January 2012 http://www.us-cert.gov/current/archive/2012/01/20/archive.html#oracle_releases_critical_patch_update16 JC3-CIRC Technical Bulletin U-083 Oracle Critical Patch Update Advisory - January 2012 http://circ.jc3.doe.gov/bulletins/u-083.shtml 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応し た Oracle Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network [CPUJan2012] Oracle Critical Patch Update Advisory - January 2012 http://www.oracle.com/technetwork/jp/topics/ojkb156878-1489249-ja.html Oracle Technology Network Critical Patch Update - January 2012 http://www.oracle.com/technetwork/jp/topics/security/top-1491621-ja.html Japan Vulnerability Notes JVNVU#738961 Oracle Outside In に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU738961/index.html Japan Vulnerability Notes JVN#54779201 Oracle WebLogic Server におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN54779201/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - January 2012 http://www.oracle.com/technetwork/topics/security/cpujan2012-366304.html US-CERT Vulnerability Note VU#738961 Oracle Outside In contains an exploitable vulnerability in Lotus 123 v4 parser http://www.kb.cert.org/vuls/id/738961 【2】osCommerce に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#36559450 osCommerce 日本語版におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN36559450/index.html Japan Vulnerability Notes JVN#64386898 osCommerce におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN64386898/index.html Japan Vulnerability Notes JVN#38216398 osCommerce におけるディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN38216398/index.html 概要 オープンソースのショッピングサイト構築システム osCommerce には、 複数の脆弱性があります。結果として、遠隔の第三者がサーバ内にある 任意のファイルを閲覧したり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - osCommerce 2.2 MS1 日本語版 R8 およびそれ以前 - osCommerce Online Merchant v2.3.1 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに osCommerce を 更新することで解決します。詳細については、配布元が提供する情報を 参照してください。 関連文書 (日本語) osCommerce 日本語版 [重要] クロスサイトスクリプティングの脆弱性について http://sourceforge.jp/forum/forum.php?forum_id=28119 関連文書 (英語) osCommerce News osCommerce Online Merchant v2.3.1 http://www.oscommerce.com/about/news,135 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○ハッシュテーブル処理の問題 2011年12月末に公表されたハッシュテーブル処理に関する攻撃手法につ いて、様々なアプリケーションで対策がすすめられています。 この攻撃手法の影響を受けるのは、ハッシュ値が衝突するような入力を 作成でき、ハッシュテーブルに登録するデータを外部から制御できる場 合です。多くの Web アプリケーションで使用されるプログラミング言 語やフレームワークが影響を受けます。 Perl や Ruby では、ハッシュ関数をより強固なものに変更しています。 また、Apache Tomcat や PHP では、ハッシュテーブル処理に使われる データ数を制限する設定項目を追加しています。 お使いのアプリケーションでの対策を確認し、すみやかに対応すること をおすすめします。 参考文献 (日本語) JPCERT/CC WEEKLY REPORT 2012-01-12 【1】多くの Web アプリケーションで使用されるプログラミング言語に脆弱性 https://www.jpcert.or.jp/wr/2012/wr120101.html#1 参考文献 (英語) 28th Chaos Communication Congress 28C3: Effective Denial of Service attacks against web application platforms http://events.ccc.de/congress/2011/Fahrplan/events/4680.en.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPH1M2AAoJEDF9l6Rp7OBIRlwH/0ZUgz04osw9Iyl6F6VGOkDJ WD4UQe5FSSzo6TN1A/ej49CFFP432xxl3cGU+U7kEn8/dT1Gy5yJqTpWpJzOW1Rq mhDbhAmoDjiEJj++pTzpS1W70xr4UoQmLn2Asr8zdyW5UHrPwj9Faeziy7KVz/VM vuaH83YeVd3Xisz234HJHEv0zk7RSuCyRgm4hghWNjIi6wOy+/ohpj1quDcq3CdQ SlF9EvPkbijz9Sa6NgTycAdH8SAmpizpM7Cg/C1RKLUKr74i0MLTIZ5PWo9HD7ou NpCMSO+2cyRmg+IXv6vySw2AMpHKQY3bgJ5aVIsnxxiXI07sETT23G6MUDpPuEw= =Taou -----END PGP SIGNATURE-----