-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-2801 JPCERT/CC 2012-07-25 <<< JPCERT/CC WEEKLY REPORT 2012-07-25 >>> ―――――――――――――――――――――――――――――――――――――― ■07/15(日)〜07/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2012年7月 Oracle Critical Patch Update について 【2】NSD に脆弱性 【3】Java セキュアコーディングセミナー参加者募集中 【今週のひとくちメモ】APWG Phishing Trends Report, 1st Quarter 2012 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr122801.html https://www.jpcert.or.jp/wr/2012/wr122801.xml ============================================================================ 【1】2012年7月 Oracle Critical Patch Update について 情報源 US-CERT Current Activity Archive Oracle Releases Critical Patch Update for July 2012 http://www.us-cert.gov/current/archive/2012/07/18/archive.html#oracle_releases_critical_patch_update20 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については Oracle が提供する情報を参照してください。 関連文書 (日本語) Oracle Technology Network Oracle Critical Patch Update Advisory - July 2012 http://www.oracle.com/technetwork/jp/topics/security/top-1709266-ja.html Japan Vulnerability Notes JVNVU#118913 Oracle Outside In に任意のコードが実行される脆弱性 https://jvn.jp/cert/JVNVU118913/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - July 2012 http://www.oracle.com/technetwork/topics/security/cpujul2012-392727.html Vulnerability Note VU#118913 Oracle Outside In contains multiple exploitable vulnerabilities http://www.kb.cert.org/vuls/id/118913 【2】NSD に脆弱性 情報源 JPRS DNS関連技術情報 (緊急)NSD 3.xの脆弱性を利用したサービス不能(DoS)攻撃について http://jprs.jp/tech/security/2012-07-20-nsd-vuln-remote-packet.html 概要 NLnet Labs が提供する NSD には、脆弱性があります。結果として、遠隔の第 三者が細工したパケットを送信することで、サービス運用妨害 (DoS) 攻撃を行 う可能性があります。 対象となるバージョンは以下の通りです。 - すべての NSD 3.x バージョン (NSD 3.0.0-3.0.8、3.1.0-3.1.1、および 3.2.0-3.2.11) - NSD 4.x: NSD 4 production branch (NSD 4 は現在開発中であり、開発者/評価者向けに提供されています) この問題は、使用している OS のベンダや NLnet Labs が提供する修正済みの バージョンに NSD を更新することで解決します。詳細については、ベンダや NLnet Labs が提供する情報を参照してください。 関連文書 (英語) NLnet Labs NSD denial of service vulnerability from non-standard DNS packet from any host on the internet. [ VU#624931 CVE-2012-2978 ] http://www.nlnetlabs.nl/downloads/CVE-2012-2978.txt 【3】Java セキュアコーディングセミナー参加者募集中 情報源 JPCERT/CC Java セキュアコーディングセミナー @札幌 のご案内 https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html JPCERT/CC Java セキュアコーディング 連続セミナー @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html 概要 JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」 を開催します。また、9月からは東京を会場として「Java セキュアコーディン グ 連続セミナー@東京」(全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス  Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回 関連文書 (日本語) JPCERT/CC Java セキュアコーディングセミナー @札幌 お申し込み https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html JPCERT/CC Java セキュアコーディング 連続セミナー @東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html JPCERT/CC Java セキュアコーディングスタンダード CERT/Oracle 版 https://www.jpcert.or.jp/java-rules/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○APWG Phishing Trends Report, 1st Quarter 2012 Anti-Phishing Working Group (APWG) から Phishing Trends Report, 1st Quarter 2012 が公開されました。これは、四半期毎に公開されているもので、 APWG に報告されたレポート内容を分析しています。 フィッシングサイトの総数は 2月に記録されたものがこれまでで最高であったこ と、フィッシングのターゲットとされる業種は金融サービスが最も多いことなど が報告されています。 また、フィッシング対策協議会からフィッシングレポート 2012 が公開されてい ます。こちらもあわせてご参照ください。 参考文献 (日本語) フィッシング対策協議会 フィッシングレポート 2012 の掲載 https://www.antiphishing.jp/report/wg/phishing_report2012.html 参考文献 (英語) APWG Phishing Activity Trends Report, 1st Quarter 2012 http://www.apwg.org/reports/apwg_trends_report_q1_2012.pdf ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQD0RPAAoJEDF9l6Rp7OBI/BoH/3ghzbofPwmWcELQw/0RxcJm y3iH6ZjMxwprP5KfEwS9EqOBJ3op4XkzL8TIAj0XcMtWjKIGYm+2UnkvX3pbSN8Y XiTQroLs14Ekt8n3NwOcWKtGe245RDIrUTP8N664lf59Gjnn4X7DvWsRyWDSAzoB dhiio6HCVEIW+wrGTXgtdOubpJqVr7CCsB+6gdburJeD244WHxx/zl9RtINdN/vq g4fopnMcgl/xPqBowyEbRFqrDDGfAla+mEIeZVHz+uokoN2nbdCc8nyQfMAM2FMU nc4CbbNqD0sPijiF4JuuDonk8Z01szI54UIz+mfYCP7TGJ15nxogkHdT/nhwigk= =3Q/Z -----END PGP SIGNATURE-----