-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2012-2602
                                                                   JPCERT/CC
                                                                  2012-07-11

            <<< JPCERT/CC WEEKLY REPORT 2012-07-11 >>>

――――――――――――――――――――――――――――――――――――――
■07/01(日)〜07/07(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】WordPress に複数の脆弱性
【2】RSA Access Manager に脆弱性
【3】HP Network Node Manager i (NNMi) に脆弱性
【4】HP Photosmart に脆弱性
【5】Zenphoto にクロスサイトスクリプティングの脆弱性
【6】Movable Type 用プラグイン MT4i にクロスサイトスクリプティングの脆弱性
【7】YY-BOARD にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】Thunderbird の開発方針に関する新たな提案

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr122602.html
        https://www.jpcert.or.jp/wr/2012/wr122602.xml
============================================================================


【1】WordPress に複数の脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-206
      U-206: WordPress Flaws Permit Cross-Site Scripting, Cross-Site Request Forgery, and Information Disclosure Attacks
      http://circ.jc3.doe.gov/bulletins/u-206.shtml

    概要
      WordPress には複数の脆弱性があります。結果として、遠隔の第三者がユーザ
      のブラウザ上で任意のスクリプトを実行したり、情報を取得したりする可能性
      があります。

      対象となるバージョンは以下の通りです。

      - WordPress バージョン 3.4.1 より前のバージョン

      この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新
      することで解決します。詳細については、WordPress が提供する情報を参照し
      て下さい。

    関連文書 (英語)
      WordPress News
      WordPress 3.4.1 Maintenance and Security Release
      http://wordpress.org/news/2012/06/wordpress-3-4-1/

      WordPress Codex
      Version 3.4.1
      http://codex.wordpress.org/Version_3.4.1

【2】RSA Access Manager に脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-205
      U-205: RSA Access Manager Session Replay Flaw Lets Remote Users Access the System
      http://circ.jc3.doe.gov/bulletins/u-205.shtml

    概要
      RSA Access Manager にはセッションリプレイの脆弱性があります。結果として、
      遠隔の第三者がシステムにアクセスする可能性があります。

      対象となるバージョンは以下の通りです。

      - RSA Access Manager Server バージョン 6.0.x、6.1、6.1 SP1、6.1 SP2、6.1 SP3
      - RSA Access Manager Agent の全てのバージョン

      この問題は、RSA が提供する更新プログラムを適用するとともに、RSA Access
      Manager Agent の設定を変更することで解決します。詳細については、RSA が
      提供する情報を参照して下さい。

    関連文書 (英語)
      RSA
      RSA Worldwide Customer Support
      https://knowledge.rsasecurity.com/

【3】HP Network Node Manager i (NNMi) に脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-204
      U-204: HP Network Node Manager I Input Validation Hole Permits Cross-Site Scripting Attacks
      http://circ.jc3.doe.gov/bulletins/u-204.shtml

    概要
      HP Network Node Manager i (NNMi) にはクロスサイトスクリプティングの脆弱
      性があります。結果として、遠隔の第三者がユーザのブラウザ上で、任意のス
      クリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - HP Network Node Manager i (NNMi) バージョン 8.x、9.0x、9.1x

      この問題は、HP が提供する修正済みのバージョンに NNMi をアップデートする
      ことで解決します。詳細については、HP が提供する情報を参照して下さい。

    関連文書 (英語)
      HP SUPPORT COMMUNICATION - SECURITY BULLETIN
      HPSBMU02783 SSRT100806 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS)
      http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03343724

【4】HP Photosmart に脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-203
      U-203: HP Photosmart Bug Lets Remote Users Deny Service
      http://circ.jc3.doe.gov/bulletins/u-203.shtml

    概要
      HP Photosmart には脆弱性があります。結果として、遠隔の第三者が細工した
      データを送信することで、サービス運用妨害 (DoS) 攻撃を行う可能性がありま
      す。

      対象となるバージョンは以下の通りです。

      - HP Photosmart Wireless e-All-in-One Printer series - B110
      - HP Photosmart e-All-in-One Printer series - D110
      - HP Photosmart Plus e-All-in-One Printer series - B210
      - HP Photosmart eStation All-in-One Printer series - C510
      - HP Photosmart Ink Advantage e-All-in-One Printer series - K510
      - HP Photosmart Premium Fax e-All-in-One Printer series - C410

      この問題は、HP が提供する修正済みのファームウェアに更新することで解決し
      ます。詳細については、HP が提供する情報を参照して下さい。

    関連文書 (英語)
      HP SUPPORT COMMUNICATION - SECURITY BULLETIN
      HPSBPI02794 SSRT100542 rev.1 - Certain HP Photosmart Printers, Remote Denial of Service (DoS)
      http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02931414

【5】Zenphoto にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#59842447
      Zenphoto におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN59842447/index.html

    概要
      Zenphoto にはクロスサイトスクリプティングの脆弱性があります。結果として、
      遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があ
      ります。

      対象となるバージョンは以下の通りです。

      - Zenphoto 1.4.2.4 およびそれ以前

      この問題は、Zenphoto が提供する修正済みのバージョンに Zenphoto を更新す
      ることで解決します。詳細については、Zenphoto が提供する情報を参照して下
      さい。

    関連文書 (英語)
      Zenphoto
      Zenphoto 1.4.3
      http://www.zenphoto.org/news/zenphoto-1.4.3

【6】Movable Type 用プラグイン MT4i にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#80835745
      Movable Type 用プラグイン MT4i におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN80835745/index.html

    概要
      MT4i にはクロスサイトスクリプティングの脆弱性があります。結果として、遠
      隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり
      ます。

      対象となるバージョンは以下の通りです。

      - MT4i 3.1 β4 およびそれ以前

      この問題は、MT4i が提供する修正済みのバージョンに MT4i を更新することで
      解決します。詳細については、MT4i が提供する情報を参照して下さい。

    関連文書 (日本語)
      MT4i/3.1
      http://www.hazama.nu/pukiwiki/index.php?MT4i%2F3.1

【7】YY-BOARD にクロスサイトスクリプティングの脆弱性

    情報源
      Japan Vulnerability Notes JVN#03582364
      YY-BOARD におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN03582364/index.html

    概要
      YY-BOARD にはクロスサイトスクリプティングの脆弱性があります。結果として、
      遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性が
      あります。

      対象となるバージョンは以下の通りです。

      - YY-BOARD Ver.6.4 より前のバージョン

      この問題は、ウェブクリエイトが提供する修正済みのバージョンに更新するこ
      とで解決します。

    関連文書 (日本語)
      株式会社ウェブクリエイト
      YY-BOARD
      http://www.kent-web.com/bbs/yybbs.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○Thunderbird の開発方針に関する新たな提案

      メーラソフト Thunderbird は、これまで Firefox と同期して開発が行われて
      きましたが、Mozilla プロジェクトでは、Thunderbird について、安定性を維
      持することが最も重要であるとして、今後の開発方針に関する新たな提案を行っ
      ています。

      この提案では、セキュリティ上必要なアップデートは提供し、新機能の開発や
      サポートについてはコミュニティに委ねるといった内容になっています。

      Mozilla プロジェクトでは、9月までこの新たな開発方針に関する議論を続けた
      いとして、関心のある個人や企業からの意見を求めています。

    参考文献 (日本語)
      Mozilla Japan ブログ
      Thunderbird: 安定性とコミュニティによる革新
      http://www.mozilla.jp/blog/entry/9697/

    参考文献 (英語)
      Mozilla Wiki
      Thunderbird/Proposal: New Release and Governance Model
      https://wiki.mozilla.org/Thunderbird/Proposal:_New_Release_and_Governance_Model


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJP/QetAAoJEDF9l6Rp7OBIs2gIAKniANlAh5IYNI/xXyDe5OAi
XW48C36J1/U1OUt45XMZHqGBDszsGoPe3ixS78G/EfbFUuGujkhrROjYwgrcy2vc
CzjBd112XMKbDYeJRO1hWgDfK9AKKHmkShsRGc2fO09UB3luPVaSZhe86V+waMhA
yGQpGiQvsODpZjkSJ7aBQr+VhQfkNhssgIKgTlYP2C16su+rIaVGA7Re7VYByxhc
E69yIgJyPC9l2i5mcJhZdHHTROMTX+wvxMxQaNIFJ9NZaKFn4eQRLu46WHp38UgO
Plqt2QiF28badzcogbLKF2ZBeBrHSD5NzEVi45Cn3jjb26LKo8daDhbCdmbx1L4=
=jlOA
-----END PGP SIGNATURE-----