-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-2901 JPCERT/CC 2012-08-01 <<< JPCERT/CC WEEKLY REPORT 2012-08-01 >>> ―――――――――――――――――――――――――――――――――――――― ■07/22(日)〜07/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】ISC BIND 9 に複数の脆弱性 【2】Microsoft Exchange Server および FAST Search Server に脆弱性 【3】Apple Safari に複数の脆弱性 【4】Symantec Web Gateway に複数の脆弱性 【5】Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性 【6】Resin に複数の脆弱性 【7】Sleipnir Mobile for Android における WebView クラスに関する脆弱性 【8】Java セキュアコーディングセミナー参加者ひきつづき募集中 【今週のひとくちメモ】Mac OS X のセキュリティアップデートの提供期間に注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr122901.html https://www.jpcert.or.jp/wr/2012/wr122901.xml ============================================================================ 【1】ISC BIND 9 に複数の脆弱性 情報源 JPRS BIND 9.9.xの大量のTCP問い合わせ受信時におけるメモリリーク発生について http://jprs.jp/tech/security/2012-07-25-bind99-vuln-high-tcp-query-load.html JPRS BIND 9.xの大量のDNSSEC検証要求受信時におけるサービス停止について http://jprs.jp/tech/security/2012-07-25-bind9-vuln-heavy-dnssec-validation-load.html 概要 ISC BIND 9 には複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - BIND 9.6-ESV から 9.6-ESV-R7-P1 までのバージョン - BIND 9.7.1 から 9.7.6-P1 までのバージョン - BIND 9.8.0 から 9.8.3-P1 までのバージョン - BIND 9.9.0 から 9.9.1-P1 までのバージョン ISC によると、9.4 系及び 9.5 系についても本脆弱性の対象となりますが、こ れらのバージョンのサポートは終了しており、セキュリティパッチはリリース されないとのことです。 この問題は、使用している OS のベンダや ISC が提供する修正済みのバージョ ンに BIND 9 を更新することで解決します。詳細については、ベンダや ISC が 提供する情報を参照して下さい。 関連文書 (英語) Internet Systems Consortium Knowledge Base CVE-2012-3817: Heavy DNSSEC Validation Load Can Cause a "Bad Cache" Assertion Failure in BIND9 https://kb.isc.org/article/AA-00729 Internet Systems Consortium Knowledge Base CVE-2012-3868: High TCP Query Load Can Trigger a Memory Leak in BIND 9 https://kb.isc.org/article/AA-00730 【2】Microsoft Exchange Server および FAST Search Server に脆弱性 情報源 マイクロソフト セキュリティ アドバイザリ (2737111) Microsoft Exchange および FAST Search Server 2010 for SharePoint の解析の脆弱性により、リモートでコードが実行される http://technet.microsoft.com/ja-jp/security/advisory/2737111 概要 Microsoft Exchange Server および FAST Search Server 2010 for SharePointには脆弱性があります。結果として、遠隔の第三者が、任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Microsoft Exchange Server 2007 Service Pack 3 - Microsoft Exchange Server 2010 Service Pack 1 - Microsoft Exchange Server 2010 Service Pack 2 - Microsoft SharePoint Server 2010 Service Pack 1 - FAST Search Server 2010 for SharePoint 2012年7月31日現在、Microsoft から、この問題に対するセキュリティ更新プロ グラムは提供されていません。回避策については、Microsoft のセキュリティ アドバイザリを参照してください。 【3】Apple Safari に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#864819 Apple Safari における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU864819/index.html 概要 Apple Safari には複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。 対象となるバージョンは以下の通りです。 - Apple Safari 6 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple Safari をアッ プデートすることで解決します。詳細については、Apple が提供する情報を参 照して下さい。 関連文書 (英語) Apple About the security content of Safari 6 http://support.apple.com/kb/HT5400 【4】Symantec Web Gateway に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#108471 Symantec Web Gateway contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/108471 概要 Symantec Web Gateway には複数の脆弱性があります。結果として、遠隔の第三 者が SQL コマンドインジェクション攻撃を行ったり、任意のコマンドを実行す る可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Web Gateway 5.0.x.x この問題は、Symantec が提供する修正プログラムを適用することで解決します。 詳細は、Symantec が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#108471 Symantec Web Gateway に複数の脆弱性 https://jvn.jp/cert/JVNVU108471/index.html Symantec セキュリティ アドバイザリー - Symantec Web Gateway にセキュリティの問題 (SYM12-011) http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120720_00 【5】Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性 情報源 US-CERT Vulnerability Note VU#404051 Dell SonicWALL Scrutinizer SQL injection vulnerability http://www.kb.cert.org/vuls/id/404051 概要 Dell SonicWALL Scrutinizer には脆弱性があります。結果として、遠隔の第三 者が任意の SQL コマンドを実行して、機密情報にアクセスする可能性がありま す。 対象となるシステムは以下の通りです。 - Dell SonicWALL Scrutinizer 9.5.0 およびそれ以前のバージョン この問題は、Dell Computer が提供する修正済みのバージョンに Dell SonicWALL Scrutinizer を更新することで解決します。詳細は、Dell Computer が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#404051 Dell SonicWALL Scrutinizer に SQL インジェクションの脆弱性 https://jvn.jp/cert/JVNVU404051/index.html 関連文書 (英語) DELL SonicWALL Service Bulletin Dell SonicWALL Scrutinizer Service Bulletin for SQL injection vulnerability CVE-2012-2962 VU#404051 http://www.sonicwall.com/shared/download/Dell_SonicWALL_Scrutinizer_Service_Bulletin_for_SQL_injection_vulnerability_CVE.pdf 【6】Resin に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#309979 Caucho's Quercus on Resin contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/309979 概要 Resin には複数の脆弱性があります。結果として、遠隔の第三者が機密情報に アクセスしたり、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実 行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Resin 4.0.28 およびそれ以前のバージョン この問題は、ベンダが提供する修正済みのバージョンに Resin を更新すること で解決します。詳細については、ベンダが提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#309979 Resin に複数の脆弱性 https://jvn.jp/cert/JVNVU309979/index.html 【7】Sleipnir Mobile for Android における WebView クラスに関する脆弱性 情報源 Japan Vulnerability Notes JVN#88643450 Sleipnir Mobile for Android における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN88643450/index.html 概要 Sleipnir Mobile for Android には WebView クラスに関する脆弱性があります。 結果として、当該製品のデータ領域にある情報が漏えいする可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.1.0 より前のバージョン - Sleipnir Mobile for Android Black Edition 2.1.0 より前のバージョン この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile for Android を更新することで解決します。詳細については、フェンリルが提 供する情報を参照して下さい。 関連文書 (日本語) Google Play Sleipnir Mobile for Android https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir 【8】Java セキュアコーディングセミナー参加者ひきつづき募集中 情報源 JPCERT/CC Java セキュアコーディングセミナー @札幌 のご案内 https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html JPCERT/CC Java セキュアコーディング 連続セミナー @東京 のご案内 https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html 概要 JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」 を開催します。また、9月からは東京を会場として「Java セキュアコーディン グ 連続セミナー@東京」(全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス  Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回 関連文書 (日本語) JPCERT/CC Java セキュアコーディングセミナー @札幌 お申し込み https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html JPCERT/CC Java セキュアコーディング 連続セミナー @東京 お申し込み https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html JPCERT/CC Java セキュアコーディングスタンダード CERT/Oracle 版 https://www.jpcert.or.jp/java-rules/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Mac OS X のセキュリティアップデートの提供期間に注意 Apple Mac OS X のセキュリティアップデートは、多くの場合、最新およびひと つ前のバージョンを対象としています。例えば、今回の Weekly Report でご紹 介した Apple Safari のセキュリティアップデートは、ひとつ前のバージョン 10.7 に対してのみ言及しており、10.6 以前については記載されておりません。 現在のところ Apple 社からは、セキュリティアップデートの提供ポリシーに関 する情報は公開されていません。 Mac OS X のシステムを運用する場合には、使用しているソフトウエアのバージョ ンを確認し、セキュリティアップデートはすみやかに適用できるように、運用 体制を整えることをお勧めします。 参考文献 (日本語) Apple Mac OS X のバージョンおよびビルド情報を確認する http://support.apple.com/kb/HT1633?viewlocale=ja_JP 参考文献 (英語) Apple Apple Security Update http://support.apple.com/kb/HT1222?viewlocale=en_US ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQGIbjAAoJEDF9l6Rp7OBIx1EIAJw/5+cHwV2ECbQIGsVT7TTp t4wSH76gNzu7itNCc6Vaw3OtwJ7WAW5BzWcrfO8IsfNNExQwBjYBAeGspQyfnOGw I7rNP6iJDhVmsK33rvl1G5e0lo6ALq1zbYOvBd5AFwaR/2plnNZ/JLXvtMfg7MCq vsmDJQ3SL0j1/P0tGNSDyTmlgq7cBMqkLkRf4nVrgQkUDQUdRObBOTraG8oAiuQq CL3iJ7tfbI7YcsT70/Fr4JIZbtb/14sZFJVflWw/NMYzgKapr573QbzH7MBrYHhf v07AqhDF8TLQVfv5L+WZu4GOMsKtos0mieLZUwE7phl836vaFbHbkI6ZGvlhiZY= =Qp/K -----END PGP SIGNATURE-----