-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2012-4501
                                                                   JPCERT/CC
                                                                  2012-11-21

            <<< JPCERT/CC WEEKLY REPORT 2012-11-21 >>>

――――――――――――――――――――――――――――――――――――――
■11/11(日)〜11/17(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Microsoft の複数の製品に脆弱性
【2】複数の Android 製品に脆弱性
【3】Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性
【4】RSA Data Protection Manager Appliance に複数の脆弱性
【5】フィッシング対策セミナー2012 開催のお知らせ
【6】Java セキュアコーディングセミナー＠福岡 ひきつづき参加者募集中
【今週のひとくちメモ】JNSAが「SNS の安全な歩き方」を公開

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2012/wr124501.html
        https://www.jpcert.or.jp/wr/2012/wr124501.xml
============================================================================


【1】Microsoft の複数の製品に脆弱性

    情報源
      US-CERT Alert (TA12-318A)
      Microsoft Updates for Multiple Vulnerabilities
      http://www.us-cert.gov/cas/techalerts/TA12-318A.html

    概要
      Microsoft の複数の製品には脆弱性があります。結果として、遠隔の第三者が
      任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
      性があります。

      対象となる製品は以下の通りです。

      - Microsoft Windows
      - Microsoft Office
      - Microsoft .NET Framework
      - Internet Explorer

      この問題は、Microsoft Update 等を用いて、セキュリティ更新プログラムを適
      用することで解決します。詳細については、Microsoft が提供する情報を参照
      して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNTA12-318A
      Microsoft 製品における複数の脆弱性に対するアップデート
      https://jvn.jp/cert/JVNTA12-318A/index.html

      マイクロソフト株式会社
      2012 年 11 月のセキュリティ情報
      http://technet.microsoft.com/ja-jp/security/bulletin/ms12-nov

      JPCERT/CC
      2012年11月 Microsoft セキュリティ情報 (緊急 4件含) に関する注意喚起
      https://www.jpcert.or.jp/at/2012/at120035.html

      警察庁 ＠Police
      マイクロソフト社のセキュリティ修正プログラムについて(MS12-071,072,073,074,075,076)
      http://www.npa.go.jp/cyberpolice/topics/?seq=10363

【2】複数の Android 製品に脆弱性

    情報源
      Japan Vulnerability Notes JVN#74829345
      Android OS を搭載した複数の端末におけるサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/jp/JVN74829345/index.html

    概要
      複数の Android 製品に、サービス運用妨害 (DoS) の脆弱性があります。結果
      として、特定のファイルへのアクセスによって、当該製品が強制終了させられ
      る可能性があります。

      この問題は、ベンダや携帯電話事業者が提供する修正済みのバージョンに該当
      する製品を更新することで解決します。詳細については、ベンダや携帯電話事
      業者が提供する情報を参照して下さい。

【3】Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性

    情報源
      US-CERT Vulnerability Note VU#558132
      Dell OpenManage Server Administrator contains a cross-site scripting vulnerability
      http://www.kb.cert.org/vuls/id/558132

    概要
      Dell OpenManage Server Administrator には、クロスサイトスクリプティング
      の脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
      のスクリプトを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Dell OpenManage Server Administrator バージョン 7.1.0.1 より前のバージョン
      - Dell OpenManage Server Administrator バージョン 7.0.0.1 より前のバージョン
      - Dell OpenManage Server Administrator バージョン 6.5.0.1 より前のバージョン

      この問題は、Dell が提供する更新プログラムを Dell OpenManage Server
      Administrator に適用することで解決します。詳細については、Dell が提供す
      る情報を参照して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#558132
      Dell OpenManage Server Administrator にクロスサイトスクリプティングの脆弱性
      https://jvn.jp/cert/JVNVU558132/index.html

    関連文書 (英語)
      Dell
      DELL OpenManage Server Administrator Managed Node Patch for OM7.1
      http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=5JDN0&osCode=WNET&fileId=3082293694

      Dell
      DELL OpenManage Server Administrator Managed Node Patch for OM7.0
      http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=PCXMR&osCode=WNET&fileId=3082295344

      Dell
      DELL OpenManage Server Administrator Managed Node Patch for OM6.5
      http://www.dell.com/support/drivers/us/en/19/DriverDetails/Product/poweredge-r710?driverId=JJMWP&osCode=WNET&fileId=3082295338

【4】RSA Data Protection Manager Appliance に複数の脆弱性

    情報源
      JC3 Bulletin
      V-026: RSA Data Protection Manager Bugs Permit Cross-Site Scripting Attacks and Let Local Users Bypass Security Restrictions
      http://energy.gov/cio/articles/v-026-rsa-data-protection-manager-bugs-permit-cross-site-scripting-attacks-and-let

    概要
      RSA Data Protection Manager Appliance には、複数の脆弱性があります。結
      果として、遠隔の第三者が、クロスサイトスクリプティング攻撃を行ったり、
      セキュリティ制限を回避したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - RSA Data Protection Manager Appliance バージョン 2.7.x および 3.x

      この問題は、EMC が提供する修正済みのバージョンに RSA Data Protection
      Manager Appliance を更新することで解決します。詳細については、EMC が提
      供する情報を参照して下さい。

【5】フィッシング対策セミナー2012 開催のお知らせ

    情報源
      フィッシング対策協議会
      フィッシング対策セミナー2012
      https://www.antiphishing.jp/news/event/antiphishing_seminar2012.html

    概要
      フィッシング対策協議会では日本国内におけるフィッシング詐欺被害の抑制を
      目的として、「フィッシング対策セミナー2012」を開催します。今回は、みず
      ほ銀行や警察庁の方がそれぞれの組織におけるフィッシング対策や対応につい
      て講演されます。

      参加費は無料です。(ただし、事前に参加申込みが必要となります。) 受付は
      2012年12月10日(月) までですが、満席になり次第受付終了となりますので、ご
      了承ください。

      日時および場所：
          2012年12月14日（金）13:00-17:00 (開場12:30)
          楽天株式会社 品川シーサイド楽天タワー4F 朝会会場
          〒140-0002 東京都品川区東品川4-12-3
          http://corp.rakuten.co.jp/company/map/shinagawa.html

    関連文書 (日本語)
      フィッシング対策協議会
      https://www.antiphishing.jp/

【6】Java セキュアコーディングセミナー＠福岡 ひきつづき参加者募集中

    情報源
      JPCERT/CC
      Java セキュアコーディングセミナー＠福岡のご案内
      https://www.jpcert.or.jp/event/securecoding-FUK201212-seminar.html

    概要
      JPCERT コーディネーションセンターは、学生等の若年層向けに、Java 言語で
      脆弱性を含まない安全なプログラムをコーディングする具体的なテクニックと
      ノウハウを学んでいただく「Java セキュアコーディングセミナー」を開催して
      います。このセミナーは、講義とハンズオン演習を組み合わせ、Java セキュア
      コーディングについて、より実践的に学んでいただける内容となっています。

      現在、福岡を会場として開催する「Java セキュアコーディングセミナー＠福岡」
      の参加者を募集しています。ふるってご参加ください。
      なお、参加者多数の場合はお申し込み先着順となります。

              [日時] 2012年12月9日(日) 10:30 - 16:00
              [会場] リファレンス駅東ビル　会議室Ｄ
                     福岡市博多区博多駅東1丁目16-14
                     (MAP) http://www.re-rental.com/map.html
              [定員]　40名
              [参加費用]　無料

              [内容]　Java言語とセキュリティ、脆弱性を取り巻く現状の認識
                      「オブジェクトの生成とセキュリティ」
                      「リソース消費攻撃とその対策」
                      Javaにおける脆弱なコーディングの事例の解説
                      クイズおよびハンズオン

    関連文書 (日本語)
      JPCERT/CC
      Java セキュアコーディングセミナー＠福岡 お申し込み
      https://www.jpcert.or.jp/event/securecoding-FUK201212-application.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○JNSAが「SNS の安全な歩き方」を公開

      JNSA の SNS セキュリティワーキンググループから「SNS の安全な歩き方」が
      公開されました。SNS に関わる様々なセキュリティとプライバシー問題につい
      てまとめられています。SNS 使用に関するポリシーを検討する際の参考にして
      はいかがでしょうか。

    参考文献 (日本語)
      NPO 日本ネットワークセキュリティ協会
      SNSの安全な歩き方〜セキュリティとプライバシーの課題と対策〜
      http://www.jnsa.org/result/2012/sns.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2012 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJQrCnXAAoJEDF9l6Rp7OBIwrkH/Rq5f0Nm3ddA9t/XS3MXZLjo
zOnHKVghvLrEFGvaCFTjH1tRm4UsnxuggHYria4J60rqzpiExsR/cXo2l2LG+OMY
69XXEgchHXtQKvWW+EjyVuv8T7A8kUzLuvMcazxNm+PsmhUOiGW+MPRTzrp/kSht
7m/WHewGTFKUYIwwI639PKbz3DantXu6nnWlcK0Dki/bW5FNBYBL6ichLXE/aqNC
J7OLpdJPdlFgu19Jyrd706yxRF0m6exb0vPc36QgNnoQCDx5UlJGcQGLalK2LGZv
Dzm4PHweNhM4O3SSTu1BOknTgKZRABhkD/imUZ/cJC3KNP7qTuBdQmI92JE70us=
=LA2/
-----END PGP SIGNATURE-----