-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2012-3001
                                                                   JPCERT/CC
                                                                  2012-08-08

            <<< JPCERT/CC WEEKLY REPORT 2012-08-08 >>>

――――――――――――――――――――――――――――――――――――――
■07/29(日)〜08/04(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】ISC DHCP に複数の脆弱性
【2】Opera ブラウザに脆弱性
【3】Windows 用の Citrix Access Gateway プラグインに複数の脆弱性
【4】Solarwinds Network Performance Monitor に複数の脆弱性
【5】Java セキュアコーディングセミナー参加者ひきつづき募集中
【今週のひとくちメモ】1024ビット未満の暗号キーをブロックする Windows 更新プログラム

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr123001.html
        https://www.jpcert.or.jp/wr/2012/wr123001.xml
============================================================================


【1】ISC DHCP に複数の脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-224
      U-224: ISC DHCP Multiple Denial of Service Vulnerabilities
      http://circ.jc3.doe.gov/bulletins/u-224.shtml

    概要
      ISC DHCP には、複数の脆弱性があります。結果として、遠隔の第三者がサービ
      ス運用妨害 (DoS) 攻撃を行う可能性があります。

      対象となるバージョンは以下の通りです。

      - ISC DHCP 4.1-ESV-R6 より前のバージョン
      - ISC DHCP 4.2.4-P1 より前のバージョン

      この問題は、使用している OS のベンダや ISC が提供する修正済みのバージョ
      ンに ISC DHCP を更新することで解決します。詳細については、使用している
      OS のベンダや ISC が提供する情報を参照して下さい。

    関連文書 (英語)
      Internet Systems Consortium
      BIND and DHCP Security Updates Released
      http://www.isc.org/announcement/bind-and-dhcp-security-updates-released

【2】Opera ブラウザに脆弱性

    情報源
      Opera Desktop Team
      Opera 12.01 security and stability release
      http://my.opera.com/desktopteam/blog/2012/08/01/opera-12-01-security-and-stability-release

    概要
      Opera ブラウザには、脆弱性があります。結果として、遠隔の第三者が細工し
      た Web ページを閲覧させることで任意のコードを実行したり、サービス運用妨
      害 (DoS) 攻撃を行ったりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Opera 12.00 およびそれ以前

      この問題は、Opera が提供する修正済みのバージョンに Opera ブラウザを更新
      することで解決します。

    関連文書 (英語)
      Opera
      Opera 12.01 for Windows changelog
      http://www.opera.com/docs/changelogs/windows/1201/

【3】Windows 用の Citrix Access Gateway プラグインに複数の脆弱性

    情報源
      JC3-CIRC Technical Bulletin U-225
      U-225: Citrix Access Gateway Plug-in for Windows nsepacom ActiveX Control Vulnerabilities
      http://circ.jc3.doe.gov/bulletins/u-225.shtml

    概要
      Windows 用の Citrix Access Gateway プラグインには、複数の脆弱性がありま
      す。結果として、遠隔の第三者が任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Access Gateway Standard Edition 5.0.4 およびそれ以前の 5.0.x

      この問題は、Citrix が提供する修正済みのバージョンに Citrix Access
      Gateway プラグインを更新することで解決します。詳細については、Citrix が
      提供する情報を参照して下さい。

    関連文書 (英語)
      Citrix Knowledge Center
      Security Vulnerabilities in Citrix Access Gateway Standard Edition
      http://support.citrix.com/article/CTX133648

【4】Solarwinds Network Performance Monitor に複数の脆弱性

    情報源
      US-CERT Vulnerability Note VU#174119
      Solarwinds Network Performance Monitor 10.2.2 contains multiple vulnerabilities
      http://www.kb.cert.org/vuls/id/174119

    概要
      Solarwinds Network Performance Monitor には、複数の脆弱性があります。結
      果として、遠隔の第三者が、機密情報を取得したり、サービス運用妨害 (DoS)
      攻撃を行ったり、任意のスクリプトを実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Network Performance Monitor 10.2.2 およびそれ以前

      この問題は、Solarwinds が提供する修正済みのバージョンに Network
      Performance Monitor を更新することで解決します。詳細については、
      Solarwinds が提供する情報を参照して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#174119
      Solarwinds Network Performance Monitor に脆弱性
      https://jvn.jp/cert/JVNVU174119/index.html

    関連文書 (英語)
      solarwinds
      Orion Network Performance Monitor Version 10.3.1 Release Notes
      http://www.solarwinds.com/documentation/Orion/docs/ReleaseNotes/releaseNotes.htm

【5】Java セキュアコーディングセミナー参加者ひきつづき募集中

    情報源
      JPCERT/CC
      Java セキュアコーディングセミナー ＠札幌 のご案内
      https://www.jpcert.or.jp/event/securecoding-SAP201208-seminar.html

      JPCERT/CC
      Java セキュアコーディング 連続セミナー ＠東京 のご案内
      https://www.jpcert.or.jp/event/securecoding-TKO201209-seminar.html

    概要
      JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
      脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
      ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催しま
      す。

      8月末には、札幌を会場として「Java セキュアコーディングセミナー ＠札幌」
      を開催します。また、9月からは東京を会場として「Java セキュアコーディン
      グ 連続セミナー＠東京」(全4回) を開催します。

      これらのセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコー
      ディングについて、より実践的に学んでいただける内容となっています。

      参加者多数の場合はお申し込み先着順となります。ふるってご参加ください。

            ■ Java セキュアコーディングセミナー @ 札幌
              [日時] 2012年8月29日(水) 10:30 - 16:00
              [会場] ＡＣＵ　中研修室 1205
                     札幌市中央区北4西5　アスティ45
                     (MAP) http://www.acu-h.jp/koutsu_access/index.php
              [定員]　50名
              [参加費用]　無料

              [内容]　Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                      「オブジェクトの生成と消滅におけるセキュリティ」
                      「リソース消費攻撃とその対策」
                      Javaにおける脆弱なコーディングの事例の解説
                      クイズおよびハンズオン

            ■ Java セキュアコーディング 連続セミナー @ 東京

               第１回「オブジェクトの生成と消滅におけるセキュリティ」
               2012年 9月9日（日） 13:00 - 16:00 ( 受付開始12:30- )
               アーバンネット神田カンファレンス　　Room　3A
               東京都千代田区内神田3-6-2　アーバンネット神田ビル2階
               http://kanda-c.jp/access.html

               第２回「数値データの取扱いと入力値検査」
               2012年10月14日（日）　13:00 - 16:00 ( 受付開始12:30- )
               ※会場未定

               第３回「入出力(File, Stream)と例外時の動作」
               2012年11月11日（日）　13:00 - 16:00 ( 受付開始12:30- )
               ※会場未定

               第４回「メソッドとセキュリティ」
               2012年12月16日（日）　13:00 - 16:00 ( 受付開始12:30- )
               ※会場未定

               なお、スケジュール等は予告なく変更する場合があります。Web で最
               新情報をご確認ください。

              [定員]　45名/回

    関連文書 (日本語)
      JPCERT/CC
      Java セキュアコーディングセミナー ＠札幌　お申し込み
      https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html

      JPCERT/CC
      Java セキュアコーディング 連続セミナー ＠東京　お申し込み
      https://www.jpcert.or.jp/event/securecoding-TKO201209-application.html

      JPCERT/CC
      Java セキュアコーディングスタンダード CERT/Oracle 版
      https://www.jpcert.or.jp/java-rules/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○1024ビット未満の暗号キーをブロックする Windows 更新プログラム

      マイクロソフトは 2012年8月14日 (米国時間) に 1024 ビット未満の暗号キー
      をブロックする更新プログラムを公開すると発表しています。

      これは、RSA アルゴリズムに対する強化策として、鍵長 1024 ビット未満の暗
      号キーをブロックし使用できなくするものです。

      この更新プログラムを適用すると、1024 ビット未満の暗号キーを使っている
      SSL サイトなどに接続できなくなります。当日までに 1024 ビット未満の暗号
      キーを使用しているかどうかを確認し、使用している場合には、1024 ビット未
      満のキーを使用しないように暗号化の設定を変更してください。

    参考文献 (日本語)
      Microsoft 日本のセキュリティチーム
      1024 ビット未満の暗号キーをブロックする更新プログラム (KB2661254) を 8/14 に公開
      http://blogs.technet.com/b/jpsecurity/archive/2012/07/30/3511493.aspx


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJQIbwdAAoJEDF9l6Rp7OBIQpkH/A9BG/LEH33ylRVBfHEnAEdy
iQdTpIuX/LVoddQXtAlmVRGCD20KkgvYEo7jv1whFBBwzSt+TVJbRIkpqkQTk1zz
1n9g6F3rcQTev6pn+s/g8Znynqd05IOixLV+e51pPLmTRJEEdgQncGBOspWIbOeW
qrAhjQyurbB+kJ+dZH8BlEBpck5IpozFJNM7N59GBHeotWggGuM99pI47psCHHCC
kEmCbpF2HJl3Pl3JUQ18gJuUa6CN+Z7AewzK2/lQ3sKqxb4gGxz5YmxDNubHiIR0
FuTYZeFuLkzS3zyFkkoUB10cajJtANVGm6zpvn2eBfLT6c1KTQaCNKcYsQMEhuA=
=UIO/
-----END PGP SIGNATURE-----