-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2012-3501
                                                                   JPCERT/CC
                                                                  2012-09-12

            <<< JPCERT/CC WEEKLY REPORT 2012-09-12 >>>

――――――――――――――――――――――――――――――――――――――
■09/02(日)〜09/08(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Citrix XenServer に複数の脆弱性
【2】Webmin の入力値検証に脆弱性
【3】WhatsUp Gold に複数の脆弱性
【4】サイボウズ KUNAI for Android に複数の脆弱性
【今週のひとくちメモ】はじめての暗号化メール (Thunderbird 編) 公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr123501.html
        https://www.jpcert.or.jp/wr/2012/wr123501.xml
============================================================================


【1】Citrix XenServer に複数の脆弱性

    情報源
      JC3 Bulletin
      U-253: Citrix XenServer Denial of Service and Privilege Escalation Vulnerabilities
      http://energy.gov/node/387685

    概要
      Citrix XenServer には、複数の脆弱性があります。結果として、遠隔の第三者
      がサービス運用妨害 (DoS) 攻撃を行ったり、ゲスト OS 上からホスト OS を操
      作したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Citrix XenServer 5.0、5.5、5.6 および 6.0

      この問題は、Citrix が提供する修正済みのバージョンに XenServer を更新す
      ることで解決します。詳細については、Citrix が提供する情報を参照して下さ
      い。

    関連文書 (英語)
      Citrix
      Citrix XenServer Multiple Security Updates
      http://support.citrix.com/article/CTX134708

【2】Webmin の入力値検証に脆弱性

    情報源
      US-CERT Vulnerability Note VU#788478
      Webmin contains input validation vulnerabilities
      http://www.kb.cert.org/vuls/id/788478

    概要
      Webmin の入力値検証には脆弱性があります。結果として、ユーザが任意のコマ
      ンドを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Webmin 1.580

      その他のバージョンも影響を受ける可能性があります。

      2012年9月11日現在、本脆弱性への対策版はリリースされていません。回避策と
      して、信頼されるホストやネットワークからのアクセスに制限するなどの方法
      があります。詳細については Webmin が提供する情報を参照してください。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#788478
      Webmin の入力値検証に脆弱性
      https://jvn.jp/cert/JVNVU788478/index.html

【3】WhatsUp Gold に複数の脆弱性

    情報源
      US-CERT Vulnerability Note VU#777007
      Ipswitch WhatsUp Gold 15.02 contains SQL injection and XSS vulnerabilities
      http://www.kb.cert.org/vuls/id/777007

    概要
      Ipswitch の提供する WhatsUp Gold には、複数の脆弱性があります。結果とし
      て、遠隔の第三者が、任意の SQL コマンドを実行したり、ユーザのブラウザ上
      で任意のスクリプトを実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - バージョン 15.02 およびそれ以前

      この問題は、Ipswitch が提供する修正済みのバージョンに WhatsUp Gold を更
      新することで解決します。詳細については、Ipswitch が提供する情報を参照し
      て下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#777007
      WhatsUp Gold に脆弱性
      https://jvn.jp/cert/JVNVU777007/index.html

【4】サイボウズ KUNAI for Android に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#23568423
      サイボウズ KUNAI for Android において任意の Java のメソッドが実行される脆弱性
      https://jvn.jp/jp/JVN23568423/index.html

      Japan Vulnerability Notes JVN#59652356
      サイボウズ KUNAI for Android における WebView クラスに関する脆弱性
      https://jvn.jp/jp/JVN59652356/index.html

    概要
      サイボウズ KUNAI for Android には、複数の脆弱性があります。結果として、
      Android 端末の情報が窃取されたり、任意の OS コマンドが実行されたりする
      可能性があります。

      対象となるバージョンは以下の通りです。

      - サイボウズ KUNAI for Android バージョン 2.0.5 およびそれ以前

      この問題は、サイボウズ株式会社が提供する修正済みのバージョンにサイボウ
      ズ KUNAI for Android を更新することで解決します。詳細については、サイボ
      ウズ株式会社が提供する情報を参照して下さい。

    関連文書 (日本語)
      サイボウズ株式会社
      addJavascriptInterface を悪用される脆弱性【CY12-09-001】
      http://cs.cybozu.co.jp/information/20120910up01.php

      サイボウズ株式会社
      file:// プロトコルを悪用される脆弱性【CY12-09-002】
      http://cs.cybozu.co.jp/information/20120910up02.php


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○はじめての暗号化メール (Thunderbird 編) 公開

      2012年8月30日、JPCERT/CC は「はじめての暗号化メール (Thunderbird 編)」
      を公開しました。本書は、初めて PGP を使用する方々のための、PGP のインス
      トールから PGP を使ったメッセージ交換までをカバーするガイドブックです。

      Windows の Thunderbird ユーザで、PGP の使用に興味がある方は、本ガイドブッ
      クを活用いただければ幸いです。

    参考文献 (日本語)
      JPCERT/CC
      はじめての暗号化メール (Thunderbird編)
      https://www.jpcert.or.jp/magazine/security/pgpquick.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJQT+UoAAoJEDF9l6Rp7OBIhIgH/12bMc+bpkuPwC1CFW6eyjVU
8XADy1PcIFTZHnCS5KNtNr6AyaDPmoSFUTSICy+EiteLN8GHiTVzmBVmEgLqYuYY
P00NvnaVjav0Lc4CYPYGoKPbwRmwrI1EylOgpsmmzRY4470QZnsYqQJMjI6dVOCC
lZcLjD4VUAipRFUivPOcPusvdrBK2IqaYKvQ3rryKDgmh+QZuU3/YtNKxaq4VEA3
Dpx2F6i3Ol+pKxUiSH+cAs/2oJcH08/9b41eH4U1InoNhg+KpZ0xCrEUlBvdnc6j
r+i1X1mu2LKy0A4o3qe7ecTm6Vb42l3BmLBV8taDdx71G7Tv56iA6tjfTo8nHXM=
=QipI
-----END PGP SIGNATURE-----