-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2012-3401 JPCERT/CC 2012-09-05 <<< JPCERT/CC WEEKLY REPORT 2012-09-05 >>> ―――――――――――――――――――――――――――――――――――――― ■08/26(日)〜09/01(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Oracle Java に脆弱性 【2】McAfee Email Gateway に複数の脆弱性 【3】Symantec Messaging Gateway に複数の脆弱性 【4】OTRS にクロスサイトスクリプティングの脆弱性 【5】サイボウズLive for Android に複数の脆弱性 【今週のひとくちメモ】Windows Defender Offline ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2012/wr123401.html https://www.jpcert.or.jp/wr/2012/wr123401.xml ============================================================================ 【1】Oracle Java に脆弱性 情報源 US-CERT Alert(TA12-240A) Oracle Java 7 Security Manager Bypass Vulnerability http://www.us-cert.gov/cas/techalerts/TA12-240A.html 概要 Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 6 およびそれ以前 - JDK/JRE 6 Update 34 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNTA12-240A Oracle Java 7 に脆弱性 https://jvn.jp/cert/JVNTA12-240A/index.html JPCERT/CC Alert 2012-08-31 JPCERT-AT-2012-0028 2012年 8月 Java SE の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2012/at120028.html 関連文書 (英語) US-CERT Vulnerability Note VU#636312 Oracle Java JRE 1.7 allows untrusted code to set arbitrary Security Manager permissions http://www.kb.cert.org/vuls/id/636312 【2】McAfee Email Gateway に複数の脆弱性 情報源 JC3 Bulletin U-244: McAfee Email Gateway Lets Remote Users Bypass Authentication and Conduct Cross-Site Scripting and Directory Traversal Attacks http://energy.gov/cio/articles/u-244-mcafee-email-gateway-lets-remote-users-bypass-authentication-and-conduct-cross 概要 McAfee Email Gateway には複数の脆弱性があります。結果として、遠隔の第三 者が認証を回避したり、クロスサイトスクリプティング攻撃を行ったり、シス テム上のファイルを閲覧したりする可能性があります。 対象となるバージョンは以下の通りです。 - McAfee Email Gateway (MEG) 7.0.0 及び 7.0.1 - McAfee Email and Web Security (EWS) 5.6 Patch 3 およびそれ以前 - McAfee Email and Web Security (EWS) 5.5 Patch 6 およびそれ以前 なお、MEG 6.7.x は影響をうけません。 この問題は、McAfee が提供するパッチを McAfee Email Gateway に適用するこ とで解決します。詳細については、McAfee が提供する情報を参照して下さい。 関連文書 (英語) McAfee Security Bulletin EWS 5.5, 5.6, and MEG 7.0.1 hotfixes resolve multiple issues https://kc.mcafee.com/corporate/index?page=content&id=SB10026 【3】Symantec Messaging Gateway に複数の脆弱性 情報源 JC3 Bulletin U-248: Symantec Messaging Gateway Multiple Flaws Let Remote Users Access and Modify the System http://energy.gov/cio/articles/u-248-symantec-messaging-gateway-multiple-flaws-let-remote-users-access-and-modify 概要 Symantec Messaging Gateway には複数の脆弱性があります。結果として、遠隔 の第三者が機密情報を取得したり、設定を変更したりする可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Messaging Gateway バージョン 9.5.x この問題は、Symantec が提供する修正済みのバージョンに Symantec Messaging Gateway を更新することで解決します。詳細については、Symantec が提供する情報を参照して下さい。 関連文書 (英語) Security Advisories Relating to Symantec Products Symantec Messaging Gateway Security Issues http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120827_00 【4】OTRS にクロスサイトスクリプティングの脆弱性 情報源 US-CERT Vulnerability Note VU#511404 Open Technology Real Services nested tags cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/511404 概要 OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - OTRS Help Desk 2.4.14 より前のバージョン - OTRS Help Desk 3.0.16 より前のバージョン - OTRS Help Desk 3.1.10 より前のバージョン この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで 解決します。詳細については、OTRS が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes VNVU#511404 Open Technology Real Services にクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU511404/index.html 関連文書 (英語) Open Technology Real Services (OTRS) Security Advisory 2012-02 http://www.otrs.com/de/open-source/community-news/security-advisories/security-advisory-2012-02/ 【5】サイボウズLive for Android に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#23009798 サイボウズLive for Android において任意の Java のメソッドが実行される脆弱性 https://jvn.jp/jp/JVN23009798/index.html Japan Vulnerability Notes JVN#77393797 サイボウズLive for Android における WebView クラスに関する脆弱性 https://jvn.jp/jp/JVN77393797/index.html 概要 サイボウズLive for Android には、複数の脆弱性があります。結果として、遠 隔の第三者が Android 端末の情報を取得したり、任意の OS コマンドを実行し たりする可能性があります。 対象となるバージョンは以下の通りです。 - サイボウズLive for Android バージョン 1.0.4 およびそれ以前 この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ ズLive for Android を更新することで解決します。詳細については、サイボウ ズ株式会社が提供する情報を参照して下さい。 関連文書 (日本語) サイボウズLive MAGAZINE サイボウズLive for Android の不具合について(Ver.1.0.4以前のバージョン) http://magazine.cybozulive.com/2012/08/291200.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Windows Defender Offline Microsoft は Windows Defender Offline というセキュリティツールを公開し ています。 このツールは、最新の定義ファイルを含む形でブート可能な CD や USB フラッ シュドライブを作成できます。作成した CD や USB フラッシュドライブからブー トすることによって、感染の疑いのある OS の影響を受けずにウイルス感染を チェックし、不正なプログラムを除去することが可能です。 参考文献 (日本語) Microsoft Windows Defender Offline とは http://windows.microsoft.com/ja-JP/windows/what-is-windows-defender-offline ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2012 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJQRq3aAAoJEDF9l6Rp7OBIWtAH/RPf6XX20Z/3XQRS+FSkmKRx l2t9X5fgXOcBdz13UwdxiOGg3wF8w3+2Wk8WVD/yVs6jjlvRy74WwISaMKoZdl2M C2c8Ppv+vS2oapwqPv+uMYSMZqgtx9qwWjsKHJNdpUS7moJ3Z7+00zs2JXbD0o12 4HzHg9drKgII4s1eD+X0fMSV2xwAaiY8U3/3LN+ydMqGprDFM7//FKVlgfDXXQAo WiAHSgvAdeah/7cIz4wT9V0ZQ6WvR1TjiJEdUeAI0dr8gkYdOS+X7EAxMc40K8a+ Hm0ZOlNqRYi72Fj7v3eaR1WNZ8xQu5Bf5dwnepXa/FqT7FH9hvySczC6AJ9mB9U= =r04N -----END PGP SIGNATURE-----