<<< JPCERT/CC WEEKLY REPORT 2012-08-08 >>>
■07/29(日)〜08/04(土) のセキュリティ関連情報
目 次
【1】ISC DHCP に複数の脆弱性
【2】Opera ブラウザに脆弱性
【3】Windows 用の Citrix Access Gateway プラグインに複数の脆弱性
【4】Solarwinds Network Performance Monitor に複数の脆弱性
【5】Java セキュアコーディングセミナー参加者ひきつづき募集中
【今週のひとくちメモ】1024ビット未満の暗号キーをブロックする Windows 更新プログラム
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123001.txt
https://www.jpcert.or.jp/wr/2012/wr123001.xml
【1】ISC DHCP に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-224
U-224: ISC DHCP Multiple Denial of Service Vulnerabilities
http://circ.jc3.doe.gov/bulletins/u-224.shtml
概要
ISC DHCP には、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - ISC DHCP 4.1-ESV-R6 より前のバージョン - ISC DHCP 4.2.4-P1 より前のバージョン この問題は、使用している OS のベンダや ISC が提供する修正済みのバージョ ンに ISC DHCP を更新することで解決します。詳細については、使用している OS のベンダや ISC が提供する情報を参照して下さい。
関連文書 (英語)
Internet Systems Consortium
BIND and DHCP Security Updates Released
http://www.isc.org/announcement/bind-and-dhcp-security-updates-released
【2】Opera ブラウザに脆弱性
情報源
Opera Desktop Team
Opera 12.01 security and stability release
http://my.opera.com/desktopteam/blog/2012/08/01/opera-12-01-security-and-stability-release
概要
Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し た Web ページを閲覧させることで任意のコードを実行したり、サービス運用妨 害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Opera 12.00 およびそれ以前 この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新 することで解決します。
関連文書 (英語)
Opera
Opera 12.01 for Windows changelog
http://www.opera.com/docs/changelogs/windows/1201/
【3】Windows 用の Citrix Access Gateway プラグインに複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-225
U-225: Citrix Access Gateway Plug-in for Windows nsepacom ActiveX Control Vulnerabilities
http://circ.jc3.doe.gov/bulletins/u-225.shtml
概要
Windows 用の Citrix Access Gateway プラグインには、複数の脆弱性がありま す。結果として、遠隔の第三者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Access Gateway Standard Edition 5.0.4 およびそれ以前の 5.0.x この問題は、Citrix が提供する修正済みのバージョンに Citrix Access Gateway プラグインを更新することで解決します。詳細については、Citrix が 提供する情報を参照して下さい。
関連文書 (英語)
Citrix Knowledge Center
Security Vulnerabilities in Citrix Access Gateway Standard Edition
http://support.citrix.com/article/CTX133648
【4】Solarwinds Network Performance Monitor に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#174119
Solarwinds Network Performance Monitor 10.2.2 contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/174119
概要
Solarwinds Network Performance Monitor には、複数の脆弱性があります。結 果として、遠隔の第三者が、機密情報を取得したり、サービス運用妨害 (DoS) 攻撃を行ったり、任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Network Performance Monitor 10.2.2 およびそれ以前 この問題は、Solarwinds が提供する修正済みのバージョンに Network Performance Monitor を更新することで解決します。詳細については、 Solarwinds が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#174119
Solarwinds Network Performance Monitor に脆弱性
https://jvn.jp/cert/JVNVU174119/index.html
関連文書 (英語)
solarwinds
Orion Network Performance Monitor Version 10.3.1 Release Notes
http://www.solarwinds.com/documentation/Orion/docs/ReleaseNotes/releaseNotes.htm
【5】Java セキュアコーディングセミナー参加者ひきつづき募集中
情報源
JPCERT/CC
Java セキュアコーディングセミナー @札幌 のご案内
https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 のご案内
https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html
概要
JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で 脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま す。 8月末には、札幌を会場として「Java セキュアコーディングセミナー @札幌」 を開催します。また、9月からは東京を会場として「Java セキュアコーディン グ 連続セミナー@東京」(全4回) を開催します。 これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー ディングについて、より実践的に学んでいただける内容となっています。 参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。 ■ Java セキュアコーディングセミナー @ 札幌 [日時] 2012年8月29日(水) 10:30 - 16:00 [会場] ACU 中研修室 1205 札幌市中央区北4西5 アスティ45 (MAP) http://www.acu-h.jp/koutsu_access/index.php [定員] 50名 [参加費用] 無料 [内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識 「オブジェクトの生成と消滅におけるセキュリティ」 「リソース消費攻撃とその対策」 Javaにおける脆弱なコーディングの事例の解説 クイズおよびハンズオン ■ Java セキュアコーディング 連続セミナー @ 東京 第1回「オブジェクトの生成と消滅におけるセキュリティ」 2012年 9月9日(日) 13:00 - 16:00 ( 受付開始12:30- ) アーバンネット神田カンファレンス Room 3A 東京都千代田区内神田3-6-2 アーバンネット神田ビル2階 http://kanda-c.jp/access.html 第2回「数値データの取扱いと入力値検査」 2012年10月14日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第3回「入出力(File, Stream)と例外時の動作」 2012年11月11日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 第4回「メソッドとセキュリティ」 2012年12月16日(日) 13:00 - 16:00 ( 受付開始12:30- ) ※会場未定 なお、スケジュール等は予告なく変更する場合があります。Web で最 新情報をご確認ください。 [定員] 45名/回
関連文書 (日本語)
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.htmlJPCERT/CC
Java セキュアコーディング 連続セミナー @東京 お申し込み
https://www.jpcert.or.jp/event/securecoding-TKO201209-application.htmlJPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
■今週のひとくちメモ
○1024ビット未満の暗号キーをブロックする Windows 更新プログラム
マイクロソフトは 2012年8月14日 (米国時間) に 1024 ビット未満の暗号キー をブロックする更新プログラムを公開すると発表しています。 これは、RSA アルゴリズムに対する強化策として、鍵長 1024 ビット未満の暗 号キーをブロックし使用できなくするものです。 この更新プログラムを適用すると、1024 ビット未満の暗号キーを使っている SSL サイトなどに接続できなくなります。当日までに 1024 ビット未満の暗号 キーを使用しているかどうかを確認し、使用している場合には、1024 ビット未 満のキーを使用しないように暗号化の設定を変更してください。
参考文献 (日本語)
Microsoft 日本のセキュリティチーム
1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開
http://blogs.technet.com/b/jpsecurity/archive/2012/07/30/3511493.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/