<<< JPCERT/CC WEEKLY REPORT 2012-05-09 >>>
■04/22(日)〜05/05(土) のセキュリティ関連情報
目 次
【1】Adobe Flash Player に脆弱性
【2】複数のジャストシステム製品に脆弱性
【3】PHP-CGI の query string 処理に脆弱性
【4】Oracle データベース TNS リスナーに脆弱性
【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性
【6】Ruby の Mail Gem に複数の脆弱性
【7】Drupal に複数の脆弱性
【8】OSQA にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Java SE 7u4/6u32 のリリースと EOL
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121701.txt
https://www.jpcert.or.jp/wr/2012/wr121701.xml
【1】Adobe Flash Player に脆弱性
情報源
US-CERT Current Activity Archive
Adobe Releases Security Advisory for Adobe Flash Player
http://www.us-cert.gov/current/archive/2012/05/04/archive.html#adobe_releases_security_advisory_for14
概要
Adobe Flash Player には脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性が あります。なお、Adobe によると、本脆弱性を使用した攻撃活動が確認されて いるとのことです。 対象となるバージョンは以下の通りです。 - Adobe Flash Player 11.2.202.233 およびそれ以前 (Windows、Macintosh、 Linux) - Adobe Flash Player 11.1.115.7 およびそれ以前 (Android 4.x) - Adobe Flash Player 11.1.111.8 およびそれ以前 (Android 3.x、2.x) この問題は、Adobe が提供する修正済みのバージョンに更新することで解決し ます。
関連文書 (日本語)
Adobe
APSB12-09: Adobe Flash Player に関するセキュリティアップデート公開
http://kb2.adobe.com/jp/cps/936/cpsid_93612.htmlJPCERT/CC Alert 2012-05-07 JPCERT-AT-2012-0014
Adobe Flash Player の脆弱性 (APSB12-09) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120014.html
関連文書 (英語)
Adobe Security Bulletins APSB12-09
Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-09.html
【2】複数のジャストシステム製品に脆弱性
情報源
Japan Vulnerability Notes JVN#95378720
複数のジャストシステム製品における DLL 読み込みに関する脆弱性
https://jvn.jp/jp/JVN95378720/index.htmlJapan Vulnerability Notes JVN#09619876
複数のジャストシステム製品におけるバッファオーバーフローの脆弱性
https://jvn.jp/jp/JVN09619876/index.html
概要
株式会社ジャストシステムの提供する複数の製品には、脆弱性が存在します。 結果として、遠隔の第三者が任意のコードを実行する可能性があります。 この問題は、ジャストシステムが提供する更新プログラムを適用することで解 決します。詳細については、ジャストシステムが提供する情報を参照して下さ い。
関連文書 (日本語)
株式会社ジャストシステム
[JS12001] 一太郎・Shurikenの脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js12001.html独立行政法人情報処理推進機構 セキュリティセンター
複数のジャストシステム製品におけるセキュリティ上の弱点(脆弱性)の注意喚起
https://www.ipa.go.jp/about/press/20120424.html@police
ジャストシステム社製品の脆弱性について
http://www.npa.go.jp/cyberpolice/topics/?seq=9288
【3】PHP-CGI の query string 処理に脆弱性
情報源
US-CERT Vulnerability Note VU#520827
PHP-CGI query string parameter vulnerability
http://www.kb.cert.org/vuls/id/520827
概要
PHP には、CGI として使用される設定において query string をコマンドライ ンオプションとして認識してしまう脆弱性が存在します。結果として、遠隔の 第三者が php スクリプトの内容を取得したり、サービス運用妨害 (DoS) 攻撃 を行ったり、ウェブサーバの権限で任意のコードを実行したりする可能性があ ります。 対象となるバージョンは以下の通りです。 - PHP version 5.4.3 より前のバージョン - PHP version 5.3.13 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに更新することで解決し ます。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#520827
PHP-CGI の query string の処理に脆弱性
https://jvn.jp/cert/JVNVU520827/index.html
関連文書 (英語)
PHP News Archive - 2012
PHP 5.3.12 and 5.4.2 and the CGI flaw (CVE-2012-1823)
http://www.php.net/archive/2012.php#id2012-05-06-1
【4】Oracle データベース TNS リスナーに脆弱性
情報源
US-CERT Vulnerability Note VU#359816
Oracle database TNS listener vulnerability
http://www.kb.cert.org/vuls/id/359816
概要
Oracle データベースコンポーネントの TNS リスナーには、脆弱性があります。 結果として、遠隔の第三者が中間者攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Oracle Database 11g Release 2、バージョン 11.2.0.2、11.2.0.3 - Oracle Database 11g Release 1、バージョン 11.1.0.7 - Oracle Database 10g Release 2、バージョン 10.2.0.3、10.2.0.4、10.2.0.5 2012年5月8日現在、対策済みバージョンは提供されていません。以下の回避策 を適用することで、本脆弱性の影響を軽減することが可能です。 - COST (Class of Secure Transport) を利用してインスタンスの登録を制限する 詳細については Oracle が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#359816
Oracle データベース TNS リスナーに脆弱性(緊急)
https://jvn.jp/cert/JVNVU359816/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Security Alert for CVE-2012-1675
http://www.oracle.com/technetwork/topics/security/alert-cve-2012-1675-1608180.htmlOracle Technology Network
Oracle Critical Patch Update Advisory - April 2012
http://www.oracle.com/technetwork/topics/security/cpuapr2012-366314.html
【5】spモードメールアプリの SSL サーバ証明書検証機能に脆弱性
情報源
Japan Vulnerability Notes JVN#82029095
spモードメールアプリにおける SSL サーバ証明書の検証不備の脆弱性
https://jvn.jp/jp/JVN82029095/index.html
概要
spモードメールアプリの SSL 証明書検証機能には、脆弱性があります。結果と して、遠隔の第三者が通信内容を傍受する可能性があります。 対象となるバージョンは以下の通りです。 - spモードメールアプリ バージョン5400 およびそれ以前 この問題は、NTTドコモが提供する修正済みのバージョンに更新することで解決 します。
関連文書 (日本語)
脆弱性対策情報データベース
「spモードメールアプリ」における SSL サーバ証明書の検証不備の脆弱性
http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-000037.htmlGoogle Play
spモードメール
https://play.google.com/store/apps/details?id=jp.co.nttdocomo.carriermail
【6】Ruby の Mail Gem に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-157
Ruby Mail Gem Directory Traversal and Shell Command Injection Vulnerabilities
http://circ.jc3.doe.gov/bulletins/U-157.shtml
概要
Ruby の Mail Gem には、複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Mail gem for Ruby 2.4.4 より前のバージョン この問題は、開発者が提供する修正済みのバージョン (2.4.4) にアップデート することで解決します。
関連文書 (英語)
RubyGems.org
http://rubygems.org/gems/mail/
【7】Drupal に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-162
Drupal Multiple Vulnerabilities
http://circ.jc3.doe.gov/bulletins/u-162.shtml
概要
Drupal には複数の脆弱性があります。結果として、遠隔の第三者がサービス運 用妨害 (DoS) 攻撃を行ったり、アクセス制限を回避して非公開のコンテンツに アクセスしたりする可能性があります。 対象となるバージョンは以下の通りです。 - Drupal バージョン 7.13 より前のバージョン この問題は、開発者が提供する修正済みのバージョン (Drupal 7.13) に更新す ることで解決します。
関連文書 (英語)
Drupal Security Advisories
SA-CORE-2012-002 - Drupal core multiple vulnerabilities
http://drupal.org/node/1557938
【8】OSQA にクロスサイトスクリプティングの脆弱性
情報源
Japan Vulnerability Notes JVN#15503729
OSQA におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN15503729/index.html
概要
OSQA には、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となるバージョンは以下の通りです。 - OSQA trunk revision 1234 より前のバージョン - OSQA バージョン 0.9.0 (Fantasy Island) Beta 3 およびそれ以前 この問題は、開発者が提供する更新プログラムを適用することで解決します。
関連文書 (英語)
THE OPEN SOURCE Q&A SYSTEM
http://www.osqa.net/
■今週のひとくちメモ
○Java SE 7u4/6u32 のリリースと EOL
2012年4月26日、Oracle から Java SE 7 および Java SE 6 のアップデートが 公開されました。今回のアップデートには脆弱性の修正は含まれていません。 Java SE 7 では、G1 (Garbage-First) ガベージコレクタの導入を含む性能向上 や、Mac OS X 版の Java SE Development Kit 7 の公開が行われています。 また、Java SE 6 は、2012年11月で EOL となる予定であることがアナウンス されています。この機会に自社システムで使われている Java のバージョンを 確認し、今後のメンテナンス計画を検討することをおすすめします。
参考文献 (英語)
Oracle Press Release
Oracle Releases Java SE 7 Update 4 and JavaFX 2.1
http://www.oracle.com/us/corporate/press/1603497Oracle Technology Network
Java SE 7 Update 4 Release Notes
http://www.oracle.com/technetwork/java/javase/7u4-relnotes-1575007.htmlOracle Technology Network
Java SE 6 Update 32 Release Notes
http://www.oracle.com/technetwork/java/javase/6u32-relnotes-1578471.htmlOracle Technology Network
Java SE EOL Policy: Java SE 6 End of Life (EOL) Notice
http://www.oracle.com/technetwork/java/eol-135779.html#Interfaces
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/