Oracle Java に脆弱性

JPCERT-WR-2012-4101 2012-10-24 2012-10-14 2012-10-20

Oracle Java に脆弱性 Oracle Technology Network Oracle Java SE Critical Patch Update Advisory - October 2012 http://www.oracle.com/technetwork/topics/security/javacpuoct2012-1515924.html

Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - JDK/JRE 7 Update 7 およびそれ以前 - JDK/JRE 6 Update 35 およびそれ以前 - JDK/JRE 5.0 Update 36 およびそれ以前 - SDK/JRE 1.4.2_38 およびそれ以前 - JavaFX 2.2 およびそれ以前この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに、該当する製品を更新することで解決します。詳細については、Oracle が提供する情報を参照して下さい。なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列および SDK/JRE 1.3.1 系列はすでにサポートが終了しています。最新の Java SE またはサポートのある製品への移行をお勧めします。

独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2012-5083等) https://www.ipa.go.jp/security/ciadr/vul/20121017-jre.html Apple Support About the security content of Java for OS X 2012-006 and Java for Mac OS X 10.6 Update 11 http://support.apple.com/kb/HT5549

2012年10月 Oracle Critical Patch Update について Oracle Technology Network Oracle Critical Patch Update Advisory - October 2012 http://www.oracle.com/technetwork/topics/security/cpuoct2012-1515893.html

Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。詳細については、Oracle が提供する情報を参照して下さい。

CA ARCserve Backup に複数の脆弱性 JC3 Bulletin V-006: CA ARCserve Backup Flaws Let Remote Users Execute Arbitrary Code and Deny Service http://energy.gov/cio/articles/v-006-ca-arcserve-backup-flaws-let-remote-users-execute-arbitrary-code-and-deny-service

CA ARCserve Backup には複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Windows 用 CA ARCserve Backup r12.5 - Windows 用 CA ARCserve Backup r15 - Windows 用 CA ARCserve Backup r16 この問題は、CA Technologies が提供する更新プログラムを該当する製品に適用することで解決します。詳細については、CA Technologies が提供する情報を参照して下さい。

CA Technologies Support CA20121018-01: Security Notice for CA ARCserve Backup https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={F9EEA31E-8089-423E-B746-41B5C9DD2AC1}

OTRS にクロスサイトスクリプティングの脆弱性 US-CERT Vulnerability Note VU#603276 OTRS contains a cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/603276

OTRS にはクロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - OTRS Help Desk 2.4.14 およびそれ以前 - OTRS Help Desk 3.0.16 およびそれ以前 - OTRS Help Desk 3.1.10 およびそれ以前この問題は、OTRS が提供する修正済みのバージョンに OTRS を更新することで解決します。詳細については、OTRS が提供する情報を参照して下さい。

Japan Vulnerability Notes JVNVU#603276 OTRS にクロスサイトスクリプティングの脆弱性 https://jvn.jp/cert/JVNVU603276/index.html Open Technology Real Services Security Advisory 2012-03 Oktober 16, 2012 -- Please read carefully and check if the version of your OTRS system is affected by this vulnerability. http://www.otrs.com/en/open-source/community-news/security-advisories/security-advisory-2012-03/

地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）財団法人地方自治情報センターは、「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」を公開しました。Web アプリケーション調達の際のセキュリティ要求仕様の雛型として活用されることを想定し、要求仕様の各項目に対する解説や、調達プロセスにおける注意事項の解説などが提供されています。この文書は、地方公共団体に限らず、一般的な Web アプリケーションの開発でも活用可能な内容になっています。Web アプリケーションの仕様検討や、開発業者との要求仕様打合せなどで参考にしてみてください。財団法人地方自治情報センター(LASDEC) 地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション） https://www.lasdec.or.jp/cms/12,28369,84.html