JPCERT-WR-2012-2701
2012-07-19
2012-07-08
2012-07-14
Microsoft 製品に複数の脆弱性
Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- Microsoft Windows
- Internet Explorer
- Microsoft Office
- Microsoft 開発者用ツール
- Microsoft サーバー ソフトウェア
この問題は、Microsoft Update などを用いて、セキュリティ更新プログラムを
適用することで解決します。詳細については、Microsoft が提供する情報を参
照して下さい。
Microsoft セキュリティ TechCenter
2012 年 7 月のセキュリティ情報
http://technet.microsoft.com/ja-jp/security/bulletin/ms12-jul
Microsoft サポート
[MS12-043] Microsoft XML コアサービスの脆弱性により、リモートでコードが実行される (2012 年 7 月 10 日)
http://support.microsoft.com/kb/2722479/ja
独立行政法人情報処理推進機構 (IPA)
Microsoft Office 等の脆弱性の修正について(MS12-046)(CVE-2012-1854)
http://www.ipa.go.jp/security/ciadr/vul/20120711-windows.html
警察庁 @Police
マイクロソフト社のセキュリティ修正プログラムについて(MS12-043,044,045,046,047,048,049,050,051)
http://www.npa.go.jp/cyberpolice/topics/?seq=9751
JPCERT/CC Alert 2012-07-11 JPCERT-AT-2012-0022
2012年7月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120022.html
Japan Vulnerability Notes JVNTA12-192A
Microsoft 製品における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNTA12-192A/index.html
JPCERT/CC WEEKLY REPORT 2012-06-27 号
【1】Microsoft XML コアサービスに脆弱性
https://www.jpcert.or.jp/wr/2012/wr122401.html#1
RSA Authentication Manager に複数の脆弱性
RSA Authentication Manager には複数の脆弱性があります。結果として、遠隔
の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があり
ます。
対象となるバージョンは以下の通りです。
- RSA Authentication Manager バージョン 7.1
なお、その他のバージョンも影響を受ける可能性があります。
この問題は、RSA が提供する更新プログラムを RSA Authentication Manager
に適用することで解決します。
Netsweeper Internet Filter WebAdmin に複数の脆弱性
Netsweeper Internet Filter WebAdmin にはクロスサイトスクリプティングや
クロスサイトリクエストフォージェリの脆弱性があります。結果として、遠隔
の第三者が、情報を取得したり、ユーザのブラウザ上で任意のスクリプトを実
行したり、任意の操作を実行する可能性があります。
対象となるシステムは以下の通りです。
- Netsweeper 3.0.6 より前のバージョン
この問題は、Netsweeper を最新版に更新することで解決します。
Japan Vulnerability Notes JVNVU#763795
Netsweeper に複数の脆弱性
https://jvn.jp/cert/JVNVU763795/index.html
HP Operations Agent に脆弱性
HP Operations Agent には脆弱性があります。結果として、遠隔の第三者が対
象システム上で任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- AIX、HP-UX、Linux、Solaris 及び Windows 用の HP Operations Agent のバー
ジョン 11.03.12 より前のバージョン
この問題は、HP が提供する修正済みのバージョンに HP Operations Agent を
更新することで解決します。詳細については、HP が提供する情報を参照して下
さい。
HP Support document
HPSBMU02796 SSRT100594 rev.2 - HP Operations Agent for AIX, HP-UX, Linux, Solaris and Windows, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03397769
EMC Celerra/VNX/VNXe のアクセス制御に脆弱性
EMC Celerra/VNX/VNXe にはアクセス制御に関する脆弱性があります。結果とし
て、遠隔の第三者が、当該製品上のファイルやディレクトリにアクセスする可
能性があります。
対象となるバージョンは以下の通りです。
- EMC Celerra Network Server バージョン 6.0.36.4 から 6.0.60.2 まで
- EMC VNX バージョン 7.0.12.0 から 7.0.53.1 まで
- EMC VNXe 2.0 (SP1、SP2、SP3 を含む)
- EMC VNXe MR1 (SP1、SP2、SP3、SP3.1 を含む)
- EMC VNXe MR2 (SP0.1 を含む)
この問題は、EMC が提供する修正済みのバージョンに該当する製品を更新する
ことで解決します。詳細については、EMC が提供する情報を参照して下さい。
Synel SY-780/A ターミナルに脆弱性
Synel SY-780/A ターミナルには脆弱性があります。結果として、遠隔の第三者
が、特定ポートをスキャンすることで機器を使用不能にする可能性があります。
対象となるシステムは以下の通りです。
- Synel SY-780/A
2012年7月18日現在、対策方法はありません。以下の回避策を適用することで、
本脆弱性の影響を軽減することが可能です。
- アクセスを制限する
Japan Vulnerability Notes JVNVU#154307
Synel SY-780/A にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU154307/index.html
Johnson Controls CK721-A 及び P2000 にリモートコマンド実行の脆弱性
Johnson Controls CK721-A 及び P2000 には脆弱性があります。結果として、
遠隔の第三者が、CK721-A 上で任意のコマンドを実行したり、P2000 上で不正
なアラートを生成したりする可能性があります。
対象となるシステムは以下の通りです。
- Johnson Controls CK721-A
- Johnson Controls P2000
この問題は、システムの更新を行うことで解決します。詳細については、
Johnson Controls が提供する情報を参照して下さい。
Japan Vulnerability Notes JVN#977312
複数の Johnson Controls 製品に脆弱性
https://jvn.jp/cert/JVNVU977312/index.html
Yahoo!ブラウザーにおける WebView クラスに関する脆弱性
Yahoo!ブラウザーには、WebView クラスに関する脆弱性があります。結果とし
て、当該製品のデータ領域にある情報が漏えいする可能性があります。
対象となるバージョンは以下の通りです。
- Yahoo!ブラウザー 1.2.0 およびそれ以前
この問題は、ヤフーが提供する修正済みのバージョンに Yahoo!ブラウザーを更
新することで解決します。
Java セキュアコーディングセミナー参加者募集開始
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
す。
札幌を会場として開催する「Java セキュアコーディングセミナー @札幌」お
よび、東京を会場として開催する「Java セキュアコーディング 連続セミナー
@東京」(全4回) の参加者募集を開始しました。
これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
ディングについて、より実践的に学んでいただける内容となっています。
参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。
■ Java セキュアコーディングセミナー @ 札幌
[日時] 2012年8月29日(水) 10:30 - 16:00
[会場] ACU 中研修室 1205
札幌市中央区北4西5 アスティ45
(MAP) http://www.acu-h.jp/koutsu_access/index.php
[定員] 50名
[参加費用] 無料
[内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
「オブジェクトの生成と消滅におけるセキュリティ」
「リソース消費攻撃とその対策」
Javaにおける脆弱なコーディングの事例の解説
クイズおよびハンズオン
■ Java セキュアコーディング 連続セミナー @ 東京
第1回「オブジェクトの生成と消滅におけるセキュリティ」
2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- )
アーバンネット神田カンファレンス Room 3A
東京都千代田区内神田3-6-2 アーバンネット神田ビル2階
http://kanda-c.jp/access.html
第2回「数値データの取扱いと入力値検査」
2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- )
※会場未定
第3回「入出力(File, Stream)と例外時の動作」
2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- )
※会場未定
第4回「メソッドとセキュリティ」
2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- )
※会場未定
なお、スケジュール等は予告なく変更する場合があります。Web で最
新情報をご確認ください。
[定員] 45名/回
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html
JPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html
JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
システム管理者の日 (System Administrator Appreciation Day)
7月の最終金曜日は System Administrator Appreciation Day です。今年は来
週金曜日 7月27日となります。これは、米国のシステム管理者が 2000年から提
唱しているものです。
企業のシステムを常に正常に稼働させるため、システム管理者は困難と立ち向
かい、日夜人知れず働いています。一年に一度この日ばかりは、その苦労をね
ぎらい感謝の意を伝えてみてはいかがでしょうか。
Wikipedia
システム管理者の日
http://ja.wikipedia.org/wiki/%E3%82%B7%E3%82%B9%E3%83%86%E3%83%A0%E7%AE%A1%E7%90%86%E8%80%85%E3%81%AE%E6%97%A5
Sysadminday.com
System Administrator Appreciation Day
http://www.sysadminday.com/