JPCERT-WR-2012-1001
2012-03-14
2012-03-04
2012-03-10
Apple 製品群に複数の脆弱性
US-CERT Current Activity Archive
Apple Releases Multiple Security Updates
http://www.us-cert.gov/current/archive/2012/03/09/archive.html#apple_releases_multiple_security_updates2
Apple 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が任
意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となる製品およびバージョンは以下の通りです。
- iOS 5.1 より前のバージョン
- Windows 版 iTunes 10.6 より前のバージョン
- Apple TV 5.0 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに、該当する製品を更新
することで解決します。詳細については、Apple が提供する情報を参照してく
ださい。
Japan Vulnerability Notes JVNVU#479643
Apple iTunes における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU479643/index.html
Japan Vulnerability Notes JVNVU#341747
Apple iOS における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU341747/index.html
Japan Vulnerability Notes JVNVU#841059
Apple TV における脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU841059/index.html
Apple Support HT5191
About the security content of iTunes 10.6
http://support.apple.com/kb/HT5191?viewlocale=en_US
Apple Support HT5192
About the security content of iOS 5.1 Software Update
http://support.apple.com/kb/HT5192?viewlocale=en_US
Apple Support HT5193
About the security content of Apple TV 5.0 software
http://support.apple.com/kb/HT5193?viewlocale=en_US
Adobe Flash Player に複数の脆弱性
US-CERT Current Activity Archive
Adobe Releases Update for Adobe Flash Player
http://www.us-cert.gov/current/archive/2012/03/09/archive.html#adobe_releases_update_for_adobe2
Adobe Flash Player には、複数の脆弱性があります。結果として、遠隔の第三
者が細工したコンテンツをユーザに開かせることで任意のコードを実行したり、
サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Windows、Macintosh、Linux、Solaris 版 Adobe Flash Player
11.1.102.62 およびそれ以前
- Android 4.x 版 Adobe Flash Player 11.1.115.6 およびそれ以前
- Android 2.x、3.x 版 Adobe Flash Player 11.1.111.6 およびそれ以前
この問題は、Adobe が提供する修正済みのバージョンに、Adobe Flash Player
を更新することで解決します。詳細については、Adobe が提供する情報を参照
してください。
Adobe セキュリティ情報
APSB12-05: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/932/cpsid_93265.html
@police
アドビシステムズ社の Adobe Flash Player のセキュリティ修正プログラムについて
https://www.npa.go.jp/cyberpolice/topics/?seq=8787
JPCERT/CC Alert 2012-03-06 JPCERT-AT-2012-0007
Adobe Flash Player の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120007.html
Adobe - Security Bulletins
APSB12-05: Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-05.html
ES ファイルエクスプローラーにアクセス制限不備の脆弱性
Japan Vulnerability Notes JVN#08871006
ES ファイルエクスプローラーにおけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN08871006/index.html
ES ファイルエクスプローラーには、アクセス制限不備の脆弱性があります。結
果として、遠隔の第三者が当該製品の権限で閲覧可能な任意のファイルを取得
する可能性があります。
対象となるバージョンは以下の通りです。
- ES ファイルエクスプローラー バージョン 1.6.0.2 から 1.6.1.1 まで
この問題は、配布元が提供する修正済みのバージョンに ES ファイルエクスプ
ローラーを更新することで解決します。
Google
ES ファイルエクスプローラー
https://play.google.com/store/apps/details?id=com.estrongs.android.pop&hl=ja
EStrongs
ES File Explorer
http://www.estrongs.com/products/es-file-explorer.html
「Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加情報
JC3-CIRC Technical Bulletin U-117
Potential security vulnerability has been identified with certain HP printers and HP digital senders.
http://circ.jc3.doe.gov/bulletins/u-117.shtml
JPCERT/CC WEEKLY REPORT 2011-12-14 号【3】で紹介した「Hewlett- Packard
製のプリンタやスキャナのリモートアップデート機能に脆弱性」に関する追加
情報です。
HP から、この問題に対する修正済みのバージョンが公開されました。詳細につ
いては、HP が提供する情報を参照してください。
JPCERT/CC WEEKLY REPORT 2011-12-14 JPCERT-WR-2011-4801
【3】Hewlett-Packard 製のプリンタやスキャナのリモートアップデート機能に脆弱性
https://www.jpcert.or.jp/wr/2011/wr114801.html#3
HP SUPPORT COMMUNICATION - SECURITY BULLETIN c03102449
HPSBPI02728 SSRT100692 rev.4 - Certain HP Printers and HP Digital Senders, Remote Firmware Update Enabled by Default
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03102449
AjaXplorer に複数の脆弱性
US-CERT Vulnerability Note VU#504019
AjaXplorer contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/504019
AjaXplorer には、複数の脆弱性があります。結果として、遠隔の第三者が、
AjaXplorer が動作しているサーバ上の任意のファイルを閲覧するなどの可能性
があります。
対象となるバージョンは以下の通りです。
- AjaXplorer 4.0.3 およびそれ以前
- AjaXplorer 3.2.4 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに AjaXplorer を更新す
ることで解決します。
Japan Vulnerability Notes JVNVU#504019
AjaXplorer に複数の脆弱性
https://jvn.jp/cert/JVNVU504019/index.html
AjaXplorer
Important Security Upgrade : AjaXplorer 4.0.4 & 3.2.5
http://ajaxplorer.info/ajaxplorer-4-0-4/
RSA SecurID Software Token Converter にバッファオーバーフローの脆弱性
JC3-CIRC Technical Bulletin U-120
RSA SecurID Software Token Converter Unspecified Buffer Overflow Vulnerability
http://circ.jc3.doe.gov/bulletins/U-120.shtml
RSA SecurID Software Token Converter には、バッファオーバーフロー
脆弱性があります。結果として、遠隔の第三者が任意のコードを実行す
る可能性があります。
対象となる製品およびバージョンは以下の通りです。
- RSA SecurID Software Token Converter 2.6.1 より前のバージョン
この問題は、EMC が提供する修正済みのバージョンに RSA SecurID
Software Token Converter を更新することで解決します。
EMC
RSA SecurID
http://japan.rsa.com/node.aspx?id=1156
EMC
RSA Worldwide Customer Support
https://knowledge.rsasecurity.com/
SquirrelMail 用プラグイン Autocomplete にクロスサイトスクリプティングの脆弱性
Japan Vulnerability Notes JVN#56653852
SquirrelMail 用プラグイン Autocomplete におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN56653852/index.html
SquirrelMail 用プラグイン Autocomplete には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任
意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Autocomplete バージョン 3.0 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに Autocomplete を更新
することで解決します。
SquirrelMail
Plugins - Autocomplete
http://squirrelmail.org/plugin_view.php?id=32
Jenkins に複数のクロスサイトスクリプティングの脆弱性
Japan Vulnerability Notes JVN#14791558
Jenkins におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN14791558/index.html
Japan Vulnerability Notes JVN#79950061
Jenkins におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN79950061/index.html
Jenkins には、複数のクロスサイトスクリプティングの脆弱性があります。結
果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する
可能性があります。
対象となるバージョンは以下の通りです。
- Jenkins 1.452 およびそれ以前
- Jenkins Enterprise by CloudBees 1.424.3 およびそれ以前
- Jenkins Enterprise by CloudBees 1.400.0.12 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに Jenkins を更新するこ
とで解決します。
Jenkins CI
Jenkins
https://wiki.jenkins-ci.org/display/JA/Jenkins
Jenkins CI
Jenkins Security Advisory 2012-03-05
https://wiki.jenkins-ci.org/display/SECURITY/Jenkins+Security+Advisory+2012-03-05
マイクロソフト Internet Explorer の自動アップグレード
マイクロソフトは、日本国内における Internet Explorer (IE) の自動アップ
グレードを 3月中旬より始めることを発表しました。これまで IE の更新につ
いては、インストーラが起動される形で提供されていました。今回の自動アッ
プグレードでは、自動更新設定になっていた場合 Windows Update を通じ、最
新版の IE が導入されます。
マイクロソフトからは、対象となる OS バージョンや、自動アップグレードを
一時的にブロックするための方法などの情報も提供されています。事前に対応
を検討しておくことをおすすめします。
Microsoft
Internet Explorer の自動アップグレードについて
http://technet.microsoft.com/ja-jp/ie/hh859701