-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-0501 JPCERT/CC 2013-02-06 <<< JPCERT/CC WEEKLY REPORT 2013-02-06 >>> ―――――――――――――――――――――――――――――――――――――― ■01/27(日)〜02/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Oracle Java に複数の脆弱性 【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性 【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性 【4】Apple iOS に複数の脆弱性 【5】ISC BIND に脆弱性 【6】WordPress に複数の脆弱性 【7】Wireshark に複数の脆弱性 【今週のひとくちメモ】情報セキュリティ月間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr130501.html https://www.jpcert.or.jp/wr/2013/wr130501.xml ============================================================================ 【1】Oracle Java に複数の脆弱性 情報源 Oracle Technology Network Oracle Java SE Critical Patch Update Advisory - February 2013 http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html 概要 Oracle Java SE には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - JDK/JRE 7 Update 11 およびそれ以前 - JDK/JRE 6 Update 38 およびそれ以前 - JDK/JRE 5.0 Update 38 およびそれ以前 - SDK/JRE 1.4.2_40 およびそれ以前 - JavaFX 2.2.4 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに、該当する製品を更新することで解決します。詳細については、Oracle が 提供する情報を参照して下さい。 なお、JDK/JRE 5.0 系列、SDK/JRE 1.4.2 系列はすでにサポートが終了してい ます。JDK/JRE 6 系列は、2013年2月に終了します。最新の Java SE またはサ ポートのある製品への移行をお勧めします。 関連文書 (日本語) Japan Vulnerability Notes JVNTA13-032A Oracle Java 7 に複数の脆弱性 https://jvn.jp/cert/JVNTA13-032A/index.html 警察庁 @Police Oracle社の Java のセキュリティ修正プログラムについて http://www.npa.go.jp/cyberpolice/topics/?seq=10717 独立行政法人情報処理推進機構 (IPA) Oracle Java の脆弱性対策について(CVE-2013-0437等) http://www.ipa.go.jp/security/ciadr/vul/20130204-jre.html JPCERT/CC Alert 2013-02-04 JPCERT-AT-2013-0007 2013年2月 Oracle Java SE のクリティカルパッチアップデートに関する注意喚起 https://www.jpcert.or.jp/at/2013/at130007.html 関連文書 (英語) Oracle Oracle Java SE Critical Patch Update Advisory - February 2013 http://www.oracle.com/technetwork/topics/security/javacpufeb2013-1841061.html Oracle Text Form of Oracle Java SE Critical Patch Update - February 2013 Risk Matrices http://www.oracle.com/technetwork/topics/security/javacpufeb2013verbose-1841196.html 【2】UPnP デバイス用ポータブル SDK (libupnp ライブラリ) にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#922681 Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP http://www.kb.cert.org/vuls/id/922681 概要 UPnP デバイス用ポータブル SDK (libupnp ライブラリ) には、バッファオーバー フローの脆弱性があります。結果として、遠隔の第三者が、任意のコードを実 行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - UPnP SDK 1.2 (Intel SDK) - UPnP SDK 1.6.17 およびそれ以前のバージョン (Portable SDK) この問題は、libupnp ライブラリを使用している製品のベンダが提供する修正 済みのバージョンに該当する製品を更新することで解決します。詳細について は、各ベンダが提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90348117 Portable SDK for UPnP にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU90348117/index.html JPCERT/CC Alert 2013-01-31 JPCERT-AT-2013-0006 Portable SDK for UPnP の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130006.html 【3】Ruby on Rails 3.0 および 2.3 の JSON 解析に脆弱性 情報源 US-CERT Vulnerability Note VU#628463 Ruby on Rails 3.0 and 2.3 JSON Parser vulnerability http://www.kb.cert.org/vuls/id/628463 概要 Ruby on Rails 3.0 および 2.3 の JSON 解析には、脆弱性があります。結果と して、遠隔の第三者が、任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Ruby on Rails バージョン 3.0.20 より前のバージョン - Ruby on Rails バージョン 2.3.16 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Ruby on Rails を更新することで解決します。詳細については、配布元が 提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90935667 Ruby on Rails の JSON 解析処理に脆弱性 https://jvn.jp/cert/JVNVU90935667/index.html 関連文書 (英語) Ruby on Rails [SEC][ANN] Rails 3.0.20, and 2.3.16 have been released! http://weblog.rubyonrails.org/2013/1/28/Rails-3-0-20-and-2-3-16-have-been-released/ 【4】Apple iOS に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#95364469 Apple iOS における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU95364469/index.html 概要 Apple iOS には、複数の脆弱性があります。結果として、遠隔の第三者が、機 密情報を取得したり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Apple iOS 6.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Apple iOS を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (日本語) Apple iOS 6.1 ソフトウェア・アップデートのセキュリティコンテンツについて http://support.apple.com/kb/HT5642?viewlocale=ja_JP&locale=ja_JP 【5】ISC BIND に脆弱性 情報源 Knowledge Base CVE-2012-5689: BIND 9 with DNS64 enabled can unexpectedly terminate when resolving domains in RPZ https://kb.isc.org/article/AA-00855 概要 ISC BIND には脆弱性があります。結果として、DNS64 と RPZ を有効に設定し ている場合、遠隔の第三者が、サービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - ISC BIND 9.8.0 から 9.8.4-P1 のバージョン - ISC BIND 9.9.0 から 9.9.2-P1 のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに BIND を更新することで解決します。詳細については、ISC が提供する情 報を参照して下さい。 関連文書 (日本語) 株式会社日本レジストリサービス (JPRS) BIND 9.8.x/9.9.xにおけるDNS64/RPZの実装上のバグによる namedのサービス停止について(2013年1月25日公開) http://jprs.jp/tech/security/2013-01-25-bind98-vuln-dns64-rpz.html 社団法人日本ネットワークインフォメーションセンター(JPNIC) ISC BIND 9に関する脆弱性について(2013年1月) http://www.nic.ad.jp/ja/topics/2013/20130125-01.html 【6】WordPress に複数の脆弱性 情報源 JC3 Bulletin V-078: WordPress Bugs Permit Cross-Site Scripting and Port Scanning Attacks http://energy.gov/cio/articles/v-078-wordpress-bugs-permit-cross-site-scripting-and-port-scanning-attacks 概要 WordPress には、複数の脆弱性があります。結果として、遠隔の第三者が、機密 情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - WordPress 3.5.1 より前のバージョン この問題は、WordPress が提供する修正済みのバージョンに WordPress を更新 することで解決します。詳細については、WordPress が提供する情報を参照し て下さい。 関連文書 (英語) WordPress News WordPress 3.5.1 Maintenance and Security Release http://wordpress.org/news/2013/01/wordpress-3-5-1/ 【7】Wireshark に複数の脆弱性 情報源 JC3 Bulletin V-081: Wireshark Multiple Vulnerabilities http://energy.gov/cio/articles/v-081-wireshark-multiple-vulnerabilities 概要 Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者が、サー ビス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark 1.8.5 より前のバージョン - Wireshark 1.6.13 より前のバージョン この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新 することで解決します。詳細については、Wireshark が提供する情報を参照し て下さい。 関連文書 (英語) Wireshark Wireshark 1.8.5 Release Notes http://www.wireshark.org/docs/relnotes/wireshark-1.8.5.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○情報セキュリティ月間 2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のため の様々な活動が企画されています。また、「国民を守る情報セキュリティサイ ト」では様々な資料や関連サイトへのリンクも紹介しています。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。 参考文献 (日本語) 内閣官房情報セキュリティセンター 情報セキュリティ月間[国民を守る情報セキュリティサイト] http://www.nisc.go.jp/security-site/month/index.html 独立行政法人情報処理推進機構 (IPA) 情報セキュリティ:2013年2月の呼びかけ http://www.ipa.go.jp/security/txt/2013/02outline.html JPCERT/CC WEEKLY REPORT ひとくちメモ 2012-02-01 情報セキュリティ月間 https://www.jpcert.or.jp/tips/2012/wr120401.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJREaq7AAoJEDF9l6Rp7OBI5b8H/2DjfIbsLwIEMYcjKg6+U2rp DVKWYfsiPwFDUv+bzrWJ9vKmOXIIO3gUFtxBHZHxUXpyn9E+osXi4Sgpg4tsNRH8 v1moLokhF8O0P7JYbYkSS6IASL3Wmza8oCI86AjdoD2Qf7NaEeIOEyObBGYubI/Z Bj92vb7xEg71FSoyEE0tDHn+Ct9TRToXDb+KU2xR2J6smlVh2oZC6wxpArA4qhij 7WgUMB/nHZwvht9aACCFi66gc7HpMZ75QeuXviqHutiLCY4S3sFE57Kf29IiuI/i PT5cjWaXBLcePBpE40ws4037edLnTCygoi/1f8vnSxEXQMSBOUdWThH0OXnNXTk= =0xuH -----END PGP SIGNATURE-----