-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-4201 JPCERT/CC 2013-10-23 <<< JPCERT/CC WEEKLY REPORT 2013-10-23 >>> ―――――――――――――――――――――――――――――――――――――― ■10/13(日)〜10/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】2013年10月 Oracle Critical Patch Update について 【2】複数の D-Link 製ルータに認証回避の脆弱性 【3】株式会社アイ・オー・データ機器の NAS 製品に脆弱性 【4】SAP Sybase Adaptive Server Enterprise (ASE) に XML インジェクションの脆弱性 【5】Watchguard Extensible Threat Management (XTM) アプライアンスにバッファオーバーフローの脆弱性 【6】SecurityDay 2013 開催 【今週のひとくちメモ】OWASP Top 10 2013 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr134201.html https://www.jpcert.or.jp/wr/2013/wr134201.xml ============================================================================ 【1】2013年10月 Oracle Critical Patch Update について 情報源 Oracle Technology Network Oracle Critical Patch Update Advisory - October 2013 http://www.oracle.com/technetwork/topics/security/cpuoct2013-1899837.html 概要 Oracle から複数の製品およびコンポーネントに含まれる脆弱性に対応した Oracle Critical Patch Update Advisory が公開されました。 2013年10月の Critical Patch Update より、Java SE のセキュリティ問題の修 正も同時に提供されています。 詳細については、Oracle が提供する情報を参照して下さい。 関連文書 (日本語) Oracle Technology Network Critical Patch UpdatesとSecurity Alerts http://www.oracle.com/technetwork/jp/topics/alerts-082677-ja.html Japan Vulnerability Notes JVNVU#92570654 Oracle Outside In にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU92570654/index.html Japan Vulnerability Notes JVNVU#98285660 Oracle Outside In にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU98285660/index.html Japan Vulnerability Notes JVNVU#95955023 JavaServer Faces に複数の脆弱性 https://jvn.jp/cert/JVNVU95955023/index.html JPCERT/CC 2013年10月 Oracle Java SE のクリティカルパッチアップデート (定例) に関する注意喚起 https://www.jpcert.or.jp/at/2013/at130043.html 【2】複数の D-Link 製ルータに認証回避の脆弱性 情報源 CERT/CC Vulnerability Note VU#248083 D-Link routers authenticate administrative access using specific User-Agent string http://www.kb.cert.org/vuls/id/248083 概要 複数の D-Link 製ルータ製品には、認証回避の脆弱性があります。結果として、 遠隔の第三者が、管理者権限で当該製品のウェブ管理画面にアクセスして、任 意の操作を実行する可能性があります。 対象となる製品は以下の通りです。 - DIR-100 - DIR-120 - DI-624S - DI-524UP - DI-604S - DI-604UP - DI-604+ - TM-G5240 また、本脆弱性の発見者によると、次の Planex 製品も影響を受ける可能性が あるとのことです。 - BRL-04R - BRL-04UR - BRL-04CW この問題は、D-Link が提供する修正済みのバージョンに、該当する製品のファ ームウェアを更新することで解決します。詳細については、D-Link が提供する 情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#90204379 複数の D-Link 製ルータに認証回避の脆弱性 https://jvn.jp/cert/JVNVU90204379/index.html 【3】株式会社アイ・オー・データ機器の NAS 製品に脆弱性 情報源 Japan Vulnerability Notes JVN#52509236 HDL-A および HDL2-A シリーズにおけるセッション管理に関する脆弱性 https://jvn.jp/jp/JVN52509236/index.html 概要 株式会社アイ・オー・データ機器の NAS 製品 HDL-A と HDL2-A シリーズには、 セッション管理に関する脆弱性があります。結果として、遠隔の第三者がユー ザになりすまして、情報を取得したり、改ざんしたりする可能性があります。 対象となるバージョンは以下の通りです。 - HDL-A シリーズ (HDL-AS、HDL-AH、HDL-A/E シリーズを含む) ファームウェアバージョン 1.07 およびそれ以前 - HDL2-A シリーズ (HDL2-AH、HDL2-A/E シリーズを含む) ファームウェアバージョン 1.07 およびそれ以前 この問題は、株式会社アイ・オー・データ機器が提供する修正済みのバージョ ンにファームウェアを更新することで解決します。詳細については、株式会社 アイ・オー・データ機器が提供する情報を参照して下さい。 【4】SAP Sybase Adaptive Server Enterprise (ASE) に XML インジェクションの脆弱性 情報源 CERT/CC Vulnerability Note VU#303900 SAP Sybase Adaptive Server Enterprise vulnerable to XML injection http://www.kb.cert.org/vuls/id/303900 概要 SAP Sybase Adaptive Server Enterprise (ASE) には、XML インジェクション の脆弱性があります。結果として、当該製品のユーザが管理者権限でシステム にアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - SAP Sybase Adaptive Server Enterprise Version 15.7 ESD 2 およびそれ以前 この問題は、SAP が提供する修正済みのバージョンに Sybase Adaptive Server Enterprise (ASE) を更新することで解決します。詳細については、 SAP が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97158970 SAP Sybase Adaptive Server Enterprise に XML インジェクションの脆弱性 https://jvn.jp/cert/JVNVU97158970/index.html 【5】Watchguard Extensible Threat Management (XTM) アプライアンスにバッファオーバーフローの脆弱性 情報源 CERT/CC Vulnerability Note VU#233990 Watchguard Extensible Threat Management (XTM) appliance version 11.7.4 contains a buffer overflow vulnerability http://www.kb.cert.org/vuls/id/233990 概要 Watchguard Extensible Threat Management (XTM) アプライアンスには、バッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が、任意 のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 11.7.4 およびそれ以前のバージョン この問題は、Watchguard Technologies が提供する修正済みのバージョンに Extensible Threat Management を更新することで解決します。詳細については、 Watchguard Technologies が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97653535 Watchguard Extensible Threat Management (XTM) にバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU97653535/index.html 【6】SecurityDay 2013 開催 情報源 SecurityDay2013 http://www.securityday.jp/ 概要 2013年12月9日に SecurityDay 2013 を開催いたします。 SecurityDay は、情報セキュリティに関わる方々が集い、情報を交換、議論し、 理解と協力関係を深めていただく場を目指しています。ご意見をお持ちの多く の方々にご参加いただき、熱い議論をしたい!と思います。みなさまのご参加 をお待ちしております。 日  時:2013年12月9日(月) 10時00分より(9時30分開場) 主  催:SecurityDay運営委員会 JPCERTコーディネーションセンター(JPCERT/CC) 日本インターネットプロバイダー協会 (JAIPA) 日本データ通信協会 (Telecom-ISAC Japan) 日本ネットワークセキュリティ協会 (JNSA) 後  援:日本クラウドセキュリティアライアンス(CSAJC) (以下、申請中) 日本ネットワークインフォメーションセンター(JPNIC) 日本シーサート協議会 フィッシング対策協議会 場  所:山王健保会館 東京都港区赤坂2-5-6 トスラブ山王健保会館 会議室 参 加 費:無料 参加対象:情報セキュリティに関わる方 定  員:100名 そ の 他:本イベントはCPEクレジット付与対象です 申込方法:ATNDによる参加受付 http://atnd.org/event/securityday2013 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○OWASP Top 10 2013 OWASP (The Open Web Application Security Project) が、Top 10 2013 (Web アプリの 10 大セキュリティリスク) を公開しています。 日本語版も公開されていますので、Web アプリケーションの開発を行っている 皆さんはぜひご一読ください。 参考文献 (英語) The Open Web Application Security Project (OWASP) Top 10 2013 https://www.owasp.org/index.php/Top_10_2013 OWASP Category:OWASP Top Ten Project https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2011 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSZyBVAAoJEDF9l6Rp7OBIL3QH/0vPJPMjhruCF6OuM5AetCDv rKy1HuXN37v0ZvI+l1qHurLsonzDl9SniMNkCbxK5hVD2NCTfVgBxAMwAPJeb8YC Niguc654+6XPpO2k38WaDENw6lpA9tSA0SNmUwebvucxxkd+lnG1K7TG9kqT8+av fV2EyDl4vFfqhM9r62hhEyHZZrcn4EbbWSH5FlRrqbTT6JiSfoOZF4nJJRUXOD2D KRIBe8vH4NMJOV0fzg+Wk9g3jMK9P652Y24L7/Fe/WlP6TFaeNNLMv/MmEzAJ8PB RHz0P2hmL7Pnt0IgvffddRe9SfAxNYzqbGE+SPX0s9QOCM4Hxtn5ju1o1Yq/Jx4= =TR40 -----END PGP SIGNATURE-----