-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-1601 JPCERT/CC 2012-04-25 <<< JPCERT/CC WEEKLY REPORT 2012-04-25 >>> ―――――――――――――――――――――――――――――――――――――― ■04/15(日)〜04/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2012年4月 Oracle Critical Patch Update について 【2】OpenSSL の DER データ処理に脆弱性 【3】Bugzilla にクロスサイトリクエストフォージェリの脆弱性 【4】TwitRocker2 (Android 版) における WebView クラスに関する脆弱性 【今週のひとくちメモ】スマートフォンのアプリに注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr121601.html https://www.jpcert.or.jp/wr/2012/wr121601.xml ============================================================================ 【1】2012年4月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for April 2012 http://www.us-cert.gov/current/archive/2012/04/19/archive.html#oracle_releases_critical_patch_update18 JC3-CIRC Technical Bulletin U-150 Oracle Critical Patch Update Advisory - April 2012 http://circ.jc3.doe.gov/bulletins/u-150.shtml 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network Critical Patch Update - April 2012 http://www.oracle.com/technetwork/jp/topics/top-1596514-ja.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - April 2012 http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html 【2】OpenSSL の DER データ処理に脆弱性 情報源 JC3-CIRC Technical Bulletin U-152 OpenSSL "asn1_d2i_read_bio()" DER Format Data Processing Vulnerability http://circ.jc3.doe.gov/bulletins/u-152.shtml 概要 OpenSSL の DER データ処理には脆弱性があります。結果として、遠隔の第三者 がサービス運用妨害 (DoS) 攻撃などを行う可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.x - OpenSSL 1.x この問題は、OpenSSL をバージョン 0.9.8w、1.0.1a、及び 1.0.0i に更新する ことで解決します。 なお、 OpenSSL Project の情報によると SSL/TLS の処理には影響ありません。 詳細については、OpenSSL Project が提供する情報を参照してください。 関連文書 (英語) OpenSSL Security Advisory [19 Apr 2012] ASN1 BIO vulnerability (CVE-2012-2110) http://www.openssl.org/news/secadv_20120419.txt OpenSSL Security Advisory [24 Apr 2012] ASN1 BIO incomplete fix (CVE-2012-2131) http://www.openssl.org/news/secadv_20120424.txt 【3】Bugzilla にクロスサイトリクエストフォージェリの脆弱性 情報源 JC3-CIRC Technical Bulletin U-151 Bugzilla Cross-Site Request Forgery Vulnerability http://circ.jc3.doe.gov/bulletins/u-151.shtml 概要 Bugzilla には、クロスサイトリクエストフォージェリの脆弱性があります。結 果として、遠隔の第三者がアクセス制限されているバグ情報にアクセスする可 能性があります。 対象となるバージョンは以下の通りです。 - Bugzilla 2.x - Bugzilla 3.x - Bugzilla 4.x この問題は、Bugzilla をバージョン 3.6.9、4.0.6、または 4.2.1 に更新する ことで解決します。 関連文書 (英語) Bugzilla 4.2, 4.0.5, and 3.6.8 Security Advisory http://www.bugzilla.org/security/3.6.8/ 【4】TwitRocker2 (Android 版) における WebView クラスに関する脆弱性 情報源 Japan Vulnerability Notes JVN#00000601 TwitRocker2 (Android 版) における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN00000601/index.html 概要 TwitRocker2 (Android 版) には、WebView クラスに関する脆弱性があります。 結果として、当該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - TwitRocker2 (Android 版) バージョン 1.0.22 およびそれ以前 開発者の提供する情報をもとに、最新版へアップデートしてください。 関連文書 (日本語) StudioHitori TwitRocker2 次世代twitterクライアント - Google Play の Android アプリ https://play.google.com/store/apps/details?id=com.studiohitori.twitrocker2 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○スマートフォンのアプリに注意 アンドロイド機器をターゲットとしたマルウエアや不正なアクセスを行うアプ リが大きな話題になっています。 アンドロイド OS では、アプリをインストールする際に、動作に必要な権限の 確認を行います。不正なアクセスを行うアプリには、想定される機能に必要の ない権限を要求するものがあります。 アプリインストール時に表示される権限を十分に確認し、不審な権限を要求す るアプリはインストールしないようにしましょう。 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJPl1CZAAoJEDF9l6Rp7OBIGvgH/0u6OzXMKvqbcIQUWLMgGXvm ho5g9HQdeR2XsQUg6qenbv51uxxjATKteIH2+rYCd5xmqPzXG3NdxM3NEng3tE1q Jf4A5BNamQd6MIr51cYfOLMijM5X/vqC1Hf6Mx5Sm2tINi/WRit1fXvVJPd1sxa1 h0VC2w02f0wqJ9HnD1FpbJZRo7wGFutXuxKkIKXFNCO4M6pUIjGn/8w+gqXM0C3r kRUa4ppu1FcrCRpUvn6hgJ7caCk6JvjV2qf8HYGSqETqYJ4LB8Ukxgs8oNL0YSca x+M8wImu8LfBFeRx/gool3bhUsUCIs22TXbxJG3+cTKTvTVdfB6uhXiUswCqd20= =T4WC -----END PGP SIGNATURE-----