JPCERT-WR-2012-1601
2012-04-25
2012-04-15
2012-04-21
2012年4月 Oracle Critical Patch Update について
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した
Oracle Critical Patch Update Advisory が公開されました。
詳細については Oracle が提供する情報を参照してください。
Oracle Technology Network
Critical Patch Update - April 2012
http://www.oracle.com/technetwork/jp/topics/top-1596514-ja.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2012
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
OpenSSL の DER データ処理に脆弱性
OpenSSL の DER データ処理には脆弱性があります。結果として、遠隔の第三者
がサービス運用妨害 (DoS) 攻撃などを行う可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 0.x
- OpenSSL 1.x
この問題は、OpenSSL をバージョン 0.9.8w、1.0.1a、及び 1.0.0i に更新する
ことで解決します。
なお、 OpenSSL Project の情報によると SSL/TLS の処理には影響ありません。
詳細については、OpenSSL Project が提供する情報を参照してください。
OpenSSL Security Advisory [19 Apr 2012]
ASN1 BIO vulnerability (CVE-2012-2110)
http://www.openssl.org/news/secadv_20120419.txt
OpenSSL Security Advisory [24 Apr 2012]
ASN1 BIO incomplete fix (CVE-2012-2131)
http://www.openssl.org/news/secadv_20120424.txt
Bugzilla にクロスサイトリクエストフォージェリの脆弱性
Bugzilla には、クロスサイトリクエストフォージェリの脆弱性があります。結
果として、遠隔の第三者がアクセス制限されているバグ情報にアクセスする可
能性があります。
対象となるバージョンは以下の通りです。
- Bugzilla 2.x
- Bugzilla 3.x
- Bugzilla 4.x
この問題は、Bugzilla をバージョン 3.6.9、4.0.6、または 4.2.1 に更新する
ことで解決します。
Bugzilla
4.2, 4.0.5, and 3.6.8 Security Advisory
http://www.bugzilla.org/security/3.6.8/
TwitRocker2 (Android 版) における WebView クラスに関する脆弱性
TwitRocker2 (Android 版) には、WebView クラスに関する脆弱性があります。
結果として、当該製品のデータ領域にある情報が漏えいする可能性があります。
対象となるバージョンは以下の通りです。
- TwitRocker2 (Android 版) バージョン 1.0.22 およびそれ以前
開発者の提供する情報をもとに、最新版へアップデートしてください。
StudioHitori TwitRocker2
次世代twitterクライアント - Google Play の Android アプリ
https://play.google.com/store/apps/details?id=com.studiohitori.twitrocker2
スマートフォンのアプリに注意
アンドロイド機器をターゲットとしたマルウエアや不正なアクセスを行うアプ
リが大きな話題になっています。
アンドロイド OS では、アプリをインストールする際に、動作に必要な権限の
確認を行います。不正なアクセスを行うアプリには、想定される機能に必要の
ない権限を要求するものがあります。
アプリインストール時に表示される権限を十分に確認し、不審な権限を要求す
るアプリはインストールしないようにしましょう。