<<< JPCERT/CC WEEKLY REPORT 2012-08-01 >>>
■07/22(日)〜07/28(土) のセキュリティ関連情報
目 次
【1】ISC BIND 9 に複数の脆弱性
【2】Microsoft Exchange Server および FAST Search Server に脆弱性
【3】Apple Safari に複数の脆弱性
【4】Symantec Web Gateway に複数の脆弱性
【5】Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性
【6】Resin に複数の脆弱性
【7】Sleipnir Mobile for Android における WebView クラスに関する脆弱性
【8】Java セキュアコーディングセミナー参加者ひきつづき募集中
【今週のひとくちメモ】Mac OS X のセキュリティアップデートの提供期間に注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr122901.txt
https://www.jpcert.or.jp/wr/2012/wr122901.xml
【1】ISC BIND 9 に複数の脆弱性
情報源
JPRS
BIND 9.9.xの大量のTCP問い合わせ受信時におけるメモリリーク発生について
http://jprs.jp/tech/security/2012-07-25-bind99-vuln-high-tcp-query-load.htmlJPRS
BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について
http://jprs.jp/tech/security/2012-07-25-bind9-vuln-heavy-dnssec-validation-load.html
概要
ISC BIND 9 には複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.6-ESV から 9.6-ESV-R7-P1 までのバージョン - BIND 9.7.1 から 9.7.6-P1 までのバージョン - BIND 9.8.0 から 9.8.3-P1 までのバージョン - BIND 9.9.0 から 9.9.1-P1 までのバージョン ISC によると、9.4 系及び 9.5 系についても本脆弱性の対象となりますが、こ れらのバージョンのサポートは終了しており、セキュリティパッチはリリース されないとのことです。 この問題は、使用している OS のベンダや ISC が提供する修正済みのバージョ ンに BIND 9 を更新することで解決します。詳細については、ベンダや ISC が 提供する情報を参照して下さい。
関連文書 (英語)
Internet Systems Consortium Knowledge Base
CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache" Assertion Failure in BIND9
https://kb.isc.org/article/AA-00729Internet Systems Consortium Knowledge Base
CVE-2012-3868: High TCP Query Load Can Trigger a Memory Leak in BIND 9
https://kb.isc.org/article/AA-00730
【2】Microsoft Exchange Server および FAST Search Server に脆弱性
情報源
マイクロソフト セキュリティ アドバイザリ (2737111)
Microsoft Exchange および FAST Search Server 2010 for SharePoint の解析の脆弱性により、リモートでコードが実行される
http://technet.microsoft.com/ja-jp/security/advisory/2737111
概要
Microsoft Exchange Server および FAST Search Server 2010 for SharePointには脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Exchange Server 2007 Service Pack 3 - Microsoft Exchange Server 2010 Service Pack 1 - Microsoft Exchange Server 2010 Service Pack 2 - Microsoft SharePoint Server 2010 Service Pack 1 - FAST Search Server 2010 for SharePoint 2012年7月31日現在、Microsoft から、この問題に対するセキュリティ更新プロ グラムは提供されていません。回避策については、Microsoft のセキュリティ アドバイザリを参照してください。
【3】Apple Safari に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#864819
Apple Safari における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU864819/index.html
概要
Apple Safari には複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - Apple Safari 6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple Safari をアッ プデートすることで解決します。詳細については、Apple が提供する情報を参 照して下さい。
関連文書 (英語)
Apple
About the security content of Safari 6
http://support.apple.com/kb/HT5400
【4】Symantec Web Gateway に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#108471
Symantec Web Gateway contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/108471
概要
Symantec Web Gateway には複数の脆弱性があります。結果として、遠隔の第三 者が SQL コマンドインジェクション攻撃を行ったり、任意のコマンドを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Web Gateway 5.0.x.x この問題は、Symantec が提供する修正プログラムを適用することで解決します。 詳細は、Symantec が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#108471
Symantec Web Gateway に複数の脆弱性
https://jvn.jp/cert/JVNVU108471/index.htmlSymantec
セキュリティ アドバイザリー - Symantec Web Gateway にセキュリティの問題 (SYM12-011)
http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120720_00
【5】Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性
情報源
US-CERT Vulnerability Note VU#404051
Dell SonicWALL Scrutinizer SQL injection vulnerability
http://www.kb.cert.org/vuls/id/404051
概要
Dell SonicWALL Scrutinizer には脆弱性があります。結果として、遠隔の第三 者が任意の SQL コマンドを実行して、機密情報にアクセスする可能性がありま す。 対象となるシステムは以下の通りです。 - Dell SonicWALL Scrutinizer 9.5.0 およびそれ以前のバージョン この問題は、Dell Computer が提供する修正済みのバージョンに Dell SonicWALL Scrutinizer を更新することで解決します。詳細は、Dell Computer が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#404051
Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性
https://jvn.jp/cert/JVNVU404051/index.html
関連文書 (英語)
DELL SonicWALL Service Bulletin
Dell SonicWALL Scrutinizer Service Bulletin for SQL injection vulnerability CVE-2012-2962 VU#404051
http://www.sonicwall.com/shared/download/Dell_SonicWALL_Scrutinizer_Service_Bulletin_for_SQL_injection_vulnerability_CVE.pdf
【6】Resin に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#309979
Caucho's Quercus on Resin contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/309979
概要
Resin には複数の脆弱性があります。結果として、遠隔の第三者が機密情報に アクセスしたり、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実 行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Resin 4.0.28 およびそれ以前のバージョン この問題は、ベンダが提供する修正済みのバージョンに Resin を更新すること で解決します。詳細については、ベンダが提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#309979
Resin に複数の脆弱性
https://jvn.jp/cert/JVNVU309979/index.html
【7】Sleipnir Mobile for Android における WebView クラスに関する脆弱性
情報源
Japan Vulnerability Notes JVN#88643450
Sleipnir Mobile for Android における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN88643450/index.html
概要
Sleipnir Mobile for Android には WebView クラスに関する脆弱性があります。 結果として、当該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.1.0 より前のバージョン - Sleipnir Mobile for Android Black Edition 2.1.0 より前のバージョン この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile for Android を更新することで解決します。詳細については、フェンリルが提 供する情報を参照して下さい。
関連文書 (日本語)
Google Play
Sleipnir Mobile for Android
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir
【8】Java セキュアコーディングセミナー参加者ひきつづき募集中
情報源
JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」 を開催します。また、9月からは東京を会場として「Java セキュアコーディン グ 連続セミナー@東京」(全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○Mac OS X のセキュリティアップデートの提供期間に注意
Apple Mac OS X のセキュリティアップデートは、多くの場合、最新およびひと つ前のバージョンを対象としています。例えば、今回の Weekly Report でご紹 介した Apple Safari のセキュリティアップデートは、ひとつ前のバージョン 10.7 に対してのみ言及しており、10.6 以前については記載されておりません。 現在のところ Apple 社からは、セキュリティアップデートの提供ポリシーに関 する情報は公開されていません。 Mac OS X のシステムを運用する場合には、使用しているソフトウエアのバージョ ンを確認し、セキュリティアップデートはすみやかに適用できるように、運用 体制を整えることをお勧めします。
参考文献 (日本語)
Apple
Mac OS X のバージョンおよびビルド情報を確認する
http://support.apple.com/kb/HT1633?viewlocale=ja_JP
参考文献 (英語)
Apple
Apple Security Update
http://support.apple.com/kb/HT1222?viewlocale=en_US
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/