<<< JPCERT/CC WEEKLY REPORT 2012-09-05 >>>
■08/26(日)〜09/01(土) のセキュリティ関連情報
目 次
【1】Oracle Java に脆弱性
【2】McAfee Email Gateway に複数の脆弱性
【3】Symantec Messaging Gateway に複数の脆弱性
【4】OTRS にクロスサイトスクリプティングの脆弱性
【5】サイボウズLive for Android に複数の脆弱性
【今週のひとくちメモ】Windows Defender Offline
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123401.txt
https://www.jpcert.or.jp/wr/2012/wr123401.xml
【1】Oracle Java に脆弱性
情報源
US-CERT Alert(TA12-240A)
Oracle Java 7 Security Manager Bypass Vulnerability
http://www.us-cert.gov/cas/techalerts/TA12-240A.html
概要
Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 6 およびそれ以前 - JDK/JRE 6 Update 34 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA12-240A
Oracle Java 7 に脆弱性
https://jvn.jp/cert/JVNTA12-240A/index.htmlJPCERT/CC Alert 2012-08-31 JPCERT-AT-2012-0028
2012年 8月 Java SE の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2012/at120028.html
関連文書 (英語)
US-CERT Vulnerability Note VU#636312
Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions
http://www.kb.cert.org/vuls/id/636312
【2】McAfee Email Gateway に複数の脆弱性
情報源
JC3 Bulletin
U-244: McAfee Email Gateway Lets Remote Users Bypass Authentication and Conduct Cross-Site Scripting and Directory Traversal Attacks
http://energy.gov/cio/articles/u-244-mcafee-email-gateway-lets-remote-users-bypass-authentication-and-conduct-cross
概要
McAfee Email Gateway には複数の脆弱性があります。結果として、遠隔の第三 者が認証を回避したり、クロスサイトスクリプティング攻撃を行ったり、シス テム上のファイルを閲覧したりする可能性があります。 対象となるバージョンは以下の通りです。 - McAfee Email Gateway (MEG) 7.0.0 及び 7.0.1 - McAfee Email and Web Security (EWS) 5.6 Patch 3 およびそれ以前 - McAfee Email and Web Security (EWS) 5.5 Patch 6 およびそれ以前 なお、MEG 6.7.x は影響をうけません。 この問題は、McAfee が提供するパッチを McAfee Email Gateway に適用するこ とで解決します。詳細については、McAfee が提供する情報を参照して下さい。
関連文書 (英語)
McAfee Security Bulletin
EWS 5.5, 5.6, and MEG 7.0.1 hotfixes resolve multiple issues
https://kc.mcafee.com/corporate/index?page=content&id=SB10026
【3】Symantec Messaging Gateway に複数の脆弱性
情報源
JC3 Bulletin
U-248: Symantec Messaging Gateway Multiple Flaws Let Remote Users Access and Modify the System
http://energy.gov/cio/articles/u-248-symantec-messaging-gateway-multiple-flaws-let-remote-users-access-and-modify
概要
Symantec Messaging Gateway には複数の脆弱性があります。結果として、遠隔 の第三者が機密情報を取得したり、設定を変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Messaging Gateway バージョン 9.5.x この問題は、Symantec が提供する修正済みのバージョンに Symantec Messaging Gateway を更新することで解決します。詳細については、Symantec が提供する情報を参照して下さい。
関連文書 (英語)
Security Advisories Relating to Symantec Products
Symantec Messaging Gateway Security Issues
http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120827_00
【4】OTRS にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Vulnerability Note VU#511404
Open Technology Real Services nested tags cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/511404
概要
OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - OTRS Help Desk 2.4.14 より前のバージョン - OTRS Help Desk 3.0.16 より前のバージョン - OTRS Help Desk 3.1.10 より前のバージョン この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで 解決します。詳細については、OTRS が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes VNVU#511404
Open Technology Real Services にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU511404/index.html
関連文書 (英語)
Open Technology Real Services (OTRS)
Security Advisory 2012-02
http://www.otrs.com/de/open-source/community-news/security-advisories/security-advisory-2012-02/
【5】サイボウズLive for Android に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#23009798
サイボウズLive for Android において任意の Java のメソッドが実行される脆弱性
https://jvn.jp/jp/JVN23009798/index.htmlJapan Vulnerability Notes JVN#77393797
サイボウズLive for Android における WebView クラスに関する脆弱性
https://jvn.jp/jp/JVN77393797/index.html
概要
サイボウズLive for Android には、複数の脆弱性があります。結果として、遠 隔の第三者が Android 端末の情報を取得したり、任意の OS コマンドを実行し たりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズLive for Android バージョン 1.0.4 およびそれ以前 この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ ズLive for Android を更新することで解決します。詳細については、サイボウ ズ株式会社が提供する情報を参照して下さい。
関連文書 (日本語)
サイボウズLive MAGAZINE
サイボウズLive for Android の不具合について(Ver.1.0.4以前のバージョン)
http://magazine.cybozulive.com/2012/08/291200.html
■今週のひとくちメモ
○Windows Defender Offline
Microsoft は Windows Defender Offline というセキュリティツールを公開し ています。 このツールは、最新の定義ファイルを含む形でブート可能な CD や USB フラッ シュドライブを作成できます。作成した CD や USB フラッシュドライブからブー トすることによって、感染の疑いのある OS の影響を受けずにウイルス感染を チェックし、不正なプログラムを除去することが可能です。
参考文献 (日本語)
Microsoft
Windows Defender Offline とは
http://windows.microsoft.com/ja-JP/windows/what-is-windows-defender-offline
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/