JPCERT-WR-2012-3101
2012-08-15
2012-08-05
2012-08-11
HP の ArcSight Logger および ArcSight Connectors にクロスサイトスクリプティングの脆弱性
HP の ArcSight Logger および ArcSight Connectors には、クロスサイトスク
リプティングの脆弱性があります。結果として、遠隔の第三者が、細工したファ
イルをインポートさせ、ブラウザ上で任意のスクリプトを実行する可能性があ
ります。
対象となるバージョンは以下の通りです。
- HP Arcsight Logger v5.2.0.6288.0
- HP Arcsight Connectors v6.2.0.6244.0
その他のバージョンも影響を受ける可能性があります。
2012年8月14日現在、対策方法はありません。回避策としては、信頼できないファ
イルをインポートしないようにして下さい。
Japan Vulnerability Notes JVNVU#960468
HP ArcSight アプライアンス製品にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU960468/index.html
HP Network Node Manager i (NNMi) にクロスサイトスクリプティングの脆弱性
HP Network Node Manager i (NNMi) には、クロスサイトスクリプティングの脆
弱性があります。結果として、遠隔の第三者が、細工した URL をユーザにアク
セスさせることによって、ブラウザ上で任意のスクリプトを実行する可能性が
あります。
対象となるバージョンは以下の通りです。
- HP Network Node Manager i (NNMi) v8.x, v9.0x, v9.1x, v9.20
この問題は、HP が提供する修正済みのバージョンに Network Node Manager i
を更新することで解決します。詳細については、HP が提供する情報を参照して
下さい。
HP Support document
HPSBMU02798 SSRT100908 rev.1 - HP Network Node Manager i (NNMi) for HP-UX, Linux, Solaris, and Windows, Remote Cross Site Scripting (XSS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03405705
Cisco ASA 5500 シリーズに複数の脆弱性
Cisco ASA 5500 シリーズの SIP および WebVPN 機能には、脆弱性があります。
結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。
対象となるバージョンは以下の通りです。
- Cisco ASA 5500 シリーズのバージョン 8.2 から 8.4
この問題は、Cisco が提供する修正済みのバージョンに Cisco ASA 5500 シリー
ズを更新することで解決します。詳細については、Cisco が提供する情報を参
照して下さい。
Cisco
Release Notes for the Cisco ASA 5500 Series, 8.4(x)
http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/asarn84.html
Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性
Android 版 LINE には、暗黙的 Intent の扱いに関する脆弱性があります。結
果として、LINE で送信したメッセージ情報が、不正な Android アプリケーショ
ン経由で第三者に漏えいする可能性があります。
対象となるバージョンは以下の通りです。
- Android 版 LINE 2.5.4 およびそれ以前のバージョン
この問題は、NHN Japan によるアップデートを適用することで解決します。詳
細については、NHN Japan が提供する情報を参照して下さい。
LINE 公式ブログ
セキュリティ情報 Android版LINEの脆弱性と対応完了のお知らせ
http://lineblog.naver.jp/archives/12893561.html
Sleipnir Mobile for Android に複数の脆弱性
Sleipnir Mobile for Android には、複数の脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Sleipnir Mobile for Android 2.2.0 およびそれ以前
- Sleipnir Mobile for Android Black Edition 2.2.0 およびそれ以前
この問題は、フェンリル株式会社が提供する修正済みのバージョンに
Sleipnir Mobile を更新することで解決します。詳細については、フェンリル
株式会社が提供する情報を参照して下さい。
Google Play
Sleipnir Mobile
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir
Google Play
Sleipnir Mobile Black Edition
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black
Java セキュアコーディングセミナー @ 札幌、ひきつづき参加者募集中
JPCERT コーディネーションセンターは、Java 言語で脆弱性を含まない安全な
プログラムをコーディングする具体的なテクニックとノウハウを学んでいただ
く「Java セキュアコーディングセミナー」を開催します。
このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュアコーディ
ングについて、より実践的に学んでいただける内容となっています。
札幌を会場とした「Java セキュアコーディングセミナー @札幌」の開催まで、
あと 2週間となりました。ひきつづき、参加申し込みをお待ちしております。
■ Java セキュアコーディングセミナー @札幌
[日時] 2012年8月29日(水) 10:30 - 16:00
[会場] ACU 中研修室 1205
札幌市中央区北4西5 アスティ45
(MAP) http://www.acu-h.jp/koutsu_access/index.php
[定員] 50名
[参加費用] 無料
[内容] Java言語とセキュリティ、脆弱性を取り巻く現状の認識
「オブジェクトの生成と消滅におけるセキュリティ」
「リソース消費攻撃とその対策」
Javaにおける脆弱なコーディングの事例の解説
クイズおよびハンズオン
JPCERT/CC
Java セキュアコーディングセミナー @札幌 お申し込み
https://www.jpcert.or.jp/event/securecoding-SAP201208-application.html
JPCERT/CC
Java セキュアコーディングスタンダード CERT/Oracle 版
https://www.jpcert.or.jp/java-rules/index.html
Java 6 のサポート期限延長される
Java 6 は 2012年 11月で EOL とアナウンスされていましたが、Oracle は 8月
8日に、Java 6 のサポート期限を 4ヶ月延長すると発表しました。
これによると、Java 6 は 2013年 2月にリリースされる Update 37 をもってサ
ポートを終了する予定です。また、今後、Java 6 から Java 7 への自動更新も
予定されているようです。
2月を待たず、すみやかに Java 7 への対応を進めましょう。
Oracle
Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h
JPCERT/CC ひとくちメモ
Java 7 への対応
https://www.jpcert.or.jp/tips/2012/wr121801.html
内閣官房情報セキュリティセンター
JavaSE 6 のサポート有効期間の満了に係る対応について(注意喚起)
http://www.nisc.go.jp/active/general/pdf/javasupport_press_120717.pdf