<<< JPCERT/CC WEEKLY REPORT 2012-10-24 >>>
■10/14(日)〜10/20(土) のセキュリティ関連情報
目 次
【1】Oracle Java に脆弱性
【2】2012年10月 Oracle Critical Patch Update について
【3】CA ARCserve Backup に複数の脆弱性
【4】OTRS にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr124101.txt
https://www.jpcert.or.jp/wr/2012/wr124101.xml
【1】Oracle Java に脆弱性
情報源
Oracle Technology Network
Oracle Java SE Critical Patch Update Advisory - October 2012
http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html
概要
Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 7 およびそれ以前 - JDK/JRE 6 Update 35 およびそれ以前 - JDK/JRE 5.0 Update 36 およびそれ以前 - SDK/JRE 1.4.2_38 およびそれ以前 - JavaFX 2.2 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。 なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はす でにサポートが終了しています。最新の Java SE またはサポートのある製品へ の移行をお勧めします。
関連文書 (日本語)
独立行政法人情報処理推進機構 (IPA)
Oracle Java の脆弱性対策について(CVE-2012-5083等)
https://www.ipa.go.jp/security/ciadr/vul/20121017-jre.html
関連文書 (英語)
Apple Support
About the security content of Java for OS X 2012-006 and Java for Mac OS X 10.6 Update 11
http://support.apple.com/kb/HT5549
【2】2012年10月 Oracle Critical Patch Update について
情報源
Oracle Technology Network
Oracle Critical Patch Update Advisory - October 2012
http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html
概要
Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 詳細については、Oracle が提供する情報を参照して下さい。
【3】CA ARCserve Backup に複数の脆弱性
情報源
JC3 Bulletin
V-006: CA ARCserve Backup Flaws Let Remote Users Execute Arbitrary Code and Deny Service
http://energy.gov/cio/articles/v-006-ca-arcserve-backup-flaws-let-remote-users-execute-arbitrary-code-and-deny-service
概要
CA ARCserve Backup には複数の脆弱性があります。結果として、遠隔の第三者 が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可 能性があります。 対象となるバージョンは以下の通りです。 - Windows 用 CA ARCserve Backup r12.5 - Windows 用 CA ARCserve Backup r15 - Windows 用 CA ARCserve Backup r16 この問題は、CA Technologies が提供する更新プログラムを該当する製品に適 用することで解決します。詳細については、CA Technologies が提供する情報 を参照して下さい。
関連文書 (英語)
CA Technologies Support
CA20121018-01: Security Notice for CA ARCserve Backup
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={F9EEA31E-8089-423E-B746-41B5C9DD2AC1}
【4】OTRS にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Vulnerability Note VU#603276
OTRS contains a cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/603276
概要
OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があ ります。 対象となるバージョンは以下の通りです。 - OTRS Help Desk 2.4.14 およびそれ以前 - OTRS Help Desk 3.0.16 およびそれ以前 - OTRS Help Desk 3.1.10 およびそれ以前 この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで 解決します。詳細については、OTRS が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#603276
OTRS にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU603276/index.html
関連文書 (英語)
Open Technology Real Services Security Advisory 2012-03
Oktober 16, 2012 -- Please read carefully and check if the version of your OTRS system is affected by this vulnerability.
http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-03/
■今週のひとくちメモ
○地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)
財団法人 地方自治情報センターは、「地方公共団体における情報システムセキュ リティ要求仕様モデルプラン(Webアプリケーション)」を公開しました。Web アプリケーション調達の際のセキュリティ要求仕様の雛型として活用されるこ とを想定し、要求仕様の各項目に対する解説や、調達プロセスにおける注意事 項の解説などが提供されています。 この文書は、地方公共団体に限らず、一般的な Web アプリケーションの開発で も活用可能な内容になっています。Web アプリケーションの仕様検討や、開発 業者との要求仕様打合せなどで参考にしてみてください。
参考文献 (日本語)
財団法人 地方自治情報センター(LASDEC)
地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)
https://www.lasdec.or.jp/cms/12,28369,84.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/