<<< JPCERT/CC WEEKLY REPORT 2013-10-02 >>>
■09/22(日)〜09/28(土) のセキュリティ関連情報
目 次
【1】HP System Management Homepage にスタックバッファオーバーフローの脆弱性
【2】Dell iDRAC にクロスサイトスクリプティングの脆弱性
【3】TCG 日本支部 (JRF) セキュリティーワークショップ開催
【今週のひとくちメモ】Microsoft Message Analyzer 正式リリース
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr133901.txt
https://www.jpcert.or.jp/wr/2013/wr133901.xml
【1】HP System Management Homepage にスタックバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#895524
HP System Management Homepage vulnerable to a denial-of-service condition
http://www.kb.cert.org/vuls/id/895524
概要
HP System Management Homepage には、スタックバッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を 行う可能性があります。 対象となるバージョンは以下の通りです。 - HP System Management Homepage 7.2.0.14 およびそれ以前 この問題は、HP が提供する修正済みのバージョンに System Management Homepage を更新することで解決します。詳細については、HP が提供する情報 を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99680484
HP System Management Homepage にスタックバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU99680484/index.html
【2】Dell iDRAC にクロスサイトスクリプティングの脆弱性
情報源
US-CERT Vulnerability Note VU#920038
Dell iDRAC 6 is vulnerable to a cross-site scripting (XSS) attack
http://www.kb.cert.org/vuls/id/920038
概要
Dell が提供する iDRAC には、クロスサイトスクリプティングの脆弱性があり ます。結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプト を実行する可能性があります。 対象となるバージョンは以下の通りです。 - iDRAC6 バージョン 1.41 およびそれ以前 - iDRAC7 バージョン 1.40.40 およびそれ以前 2013年10月1日現在、対策方法はありません。Dell は、ファームウェアのアッ プデートリリースを次の通り予定しています。 - iDRAC6 "monolithic" (rack and towers) バージョン 1.96 - 2013年9月から12月までの期間 - iDRAC7 バージョン 1.46.45 - 2013年9月中旬から下旬 詳細については、Dell の提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96078234
iDRAC にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU96078234/index.html
【3】TCG 日本支部 (JRF) セキュリティーワークショップ開催
情報源
TCG日本支部 (JRF)
第5回公開ワークショップ
http://www.trustedcomputinggroup.org/jp/jrfworkshop/workshop5
概要
Trusted Computing Group 日本支部 (JRF) は、2013年10月25日(金)に「第五回 公開セキュリティーワークショップ」を開催します。「TCGの技術がどのように 実際の環境において利用が可能となっているのか」をテーマに、本年公開され る TCG の規定するセキュリティチップ TPM2.0 の仕様を含め紹介されます。 JPCERT コーディネーションセンターは、このワークショップの開催に協力して おり、最新のサイバーセキュリティの脅威の紹介なども行う予定です。 日 時:2013年10月25日(金)13:30-17:30 主 催:TCG日本支部 協 力:JPCERT/CC 後 援:独立行政法人 情報処理推進機構 場 所:富士通エフサス みなとみらい Innovation & Future Center Camping Studio http://jp.fujitsu.com/group/fsas/facilities/future-center/ 参 加 費:無料 参加対象:セキュリティにご興味をお持ちの会員・非会員の皆様(セキュリ ティ関連製品開発/販売業者、エンドユーザー、研究機関、政府 等) 定 員:75名
■今週のひとくちメモ
○Microsoft Message Analyzer 正式リリース
Microsoft は 9月25日、ネットワーク解析ツール「Microsoft Message Analyzer」の英語版を正式リリースしました。 「Microsoft Message Analyzer」は「Microsoft Network Monitor」の後継とな るツールで、Windows 7 以降に対応しています。 各種ネットワークトラフィックの分析や視覚化のための機能が向上しており、 ネットワークトラブルの調査以外にも、ネットワークトラフィックの監視や開 発中のソフトウエアのデバッグにも活用できます。
参考文献 (英語)
Microsoft
Microsoft Message Analyzer Operating Guide
http://technet.microsoft.com/en-us/library/jj649776.aspx
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/