新着情報/業界情報

業務内容のご案内 これまでの制作実績 HOPeNETについて ▲

新着情報　/　業界情報

2012年08月の掲載情報

Java SE の脆弱性

2012年 8月 31日(金曜日)

JPCERT-AT-2012-0028
JPCERT/CC
2012-08-31


<<< JPCERT/CC Alert 2012-08-31 >>>

2012年 8月 Java SE の脆弱性に関する注意喚起

https://www.jpcert.or.jp/at/2012/at120028.html


I. 概要

Oracle 社の Java SE JDK 及び JRE には、複数の脆弱性があります。これらの脆弱性を使用された場合、結果として遠隔の第三者によって任意のコードを実行される可能性があります。脆弱性の詳細については、Oracle 社の情報を確認してください。

　Oracle
　Oracle Security Alert for CVE-2012-4681
　http://www.oracle.com/technetwork/topics/security/alert-cve-2012-4681-1835715.html

すでに CVE-2012-4681 の脆弱性を使用する実証コードが公開され、本脆弱性を使用した攻撃機能が一部の Exploit Kit に組み込まれていることを確認しています。JPCERT/CC にて実証コードを検証した結果、任意のコードが実行されることを確認しました。

また、本脆弱性を使用した攻撃サイトに関するインシデント報告を受けています。

今後、本脆弱性を対象とした攻撃活動が拡大する可能性が考えられますので、速やかに Oracle 社が提供する対策済みソフトウエアへアップデートすることをお勧めします。


II. 対象

対象となる製品とバージョンは以下の通りです。

　JDK および JRE 7 Update 6 およびそれ以前
　JDK および JRE 6 Update 34 およびそれ以前

　※ JDK および JRE 6 は、攻撃に使用されている脆弱性 (CVE-2012-4681) の
影響を受けません。


III. JPCERT/CC による検証結果

JPCERT/CC では、本脆弱性 (CVE-2012-4681/JDK およびJRE 7 を対象) を使用する実証コードについて検証を行いました。

　[検証環境]
　OS: Windows 7 SP1 (2012年8月のセキュリティ更新プログラム適用済み)
　ブラウザ: Internet Explorer 9

- JRE 7 Update 6 での検証結果
上記検証環境に JRE 7 Update 6 をインストールした構成にて、実証コー
ドを実行した結果、任意のコードが実行されることを確認

また、修正済みソフトウエアの JRE 7 Update 7 では、本脆弱性の影響を受けないことを確認しています。


IV. 対策

Oracle 社から修正済みソフトウエアが公開されています。修正済みソフトウエアへアップデートしてください。

- Java SE JDK および JRE 7 Update 7
- Java SE JDK および JRE 6 Update 35

全オペレーティングシステムの Java のダウンロード一覧
http://java.com/ja/download/manual.jsp?locale=ja

※ Java SE 6 は 2013年2月にサポートが終了となることがアナウンスされ
ていますので、使用しているアプリケーションの対応状況をふまえた上
で、Java SE 7 への移行をご検討ください。

Java 6 End of Public Updates extended to February 2013
https://blogs.oracle.com/henrik/entry/java_6_eol_h_h

Java 6 Auto-Update to Java 7
http://www.oracle.com/technetwork/java/javase/documentation/autoupdate-1667051.html

最新の記事へ | バックナンバー | Page Top ▲

セキュリティ関連情報

2012年 8月 29日(水曜日)

JPCERT-WR-2012-3301
JPCERT/CC
2012-08-29

<<< JPCERT/CC WEEKLY REPORT 2012-08-29 >>>

―――――――――――――――――――――――
■08/19(日)〜08/25(土) のセキュリティ関連情報
―――――――――――――――――――――――

== 目 次 =============================

【1】Adobe Flash Player に複数の脆弱性
【2】MS-CHAP v2 の認証情報漏えいの問題
【3】Apple Remote Desktop に脆弱性
【4】Java セキュアコーディング 連続セミナー ＠東京 参加者ひきつづき募集中
【今週のひとくちメモ】JPCERT/CC Web コメントフォーム追加のお知らせ

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123301.html
https://www.jpcert.or.jp/wr/2012/wr123301.xml
====================================

最新の記事へ | バックナンバー | Page Top ▲

MS-CHAP v2 の認証情報漏えいの問題

2012年 8月 23日(木曜日)

JPCERT-AT-2012-0027
JPCERT/CC
2012-08-23


<<< JPCERT/CC Alert 2012-08-23 >>>

MS-CHAP v2 の認証情報漏えいの問題に関する注意喚起

https://www.jpcert.or.jp/at/2012/at120027.html


I. 概要

Point-to-Point トンネリング プロトコル (PPTP) ベースの VPN 接続をする場合の認証メソッドとして広く使用されている Microsoft チャレンジ ハンドシェイク認証プロトコル version 2 (MS-CHAP v2) には、認証情報を第三者に窃取されるという問題があります。また、MS-CHAP v2 は、有線 LAN 、無線LAN の認証プロトコルとして使用される場合があります。

攻撃者は、中間者攻撃や無線通信の盗聴によって窃取したユーザの認証トラフィックから、MS-CHAP v2 のプロトコル上の脆さを使用して認証情報を取得する可能性があります。結果として、攻撃者は暗号化された通信を復号したり、取得した認証情報を使用してシステムに不正にアクセスしたりする可能性があります。

マイクロソフト セキュリティ アドバイザリ (2743314)
カプセル化されていない MS-CHAP v2 認証により、情報漏えいが起こる
https://technet.microsoft.com/ja-jp/security/advisory/2743314

日本マイクロソフト社によると、本問題を悪用する詳細な悪用コードが公開されているとのことです。外出先から社内システムへのアクセスなどに PPTP を使用した VPN 接続を使用している場合は、将来的に本問題を使用した攻撃が発生する可能性を踏まえ、「III. 対策」について検討することをお勧めいたします。


II. 対象

・MS-CHAP v2 を単体で利用して PPTP ベースの VPN 接続を行っているシステム
※ MS-CHAP v2 の認証トラフィックを別の手段で暗号化している場合は、影響を受けません。

日本マイクロソフト社によると、Windows クライアントにおいて有線・無線LAN の認証プロトコルとして MS-CHAP v2 を使用する場合、PEAP と共に利用するオプションのみを提供しているため影響を受けないとのことです。また、その他の機器でも、多くの実装では PEAP/TLS 等が併用されることが一般的なため影響を受けないと思われますが、個々の製品への影響についてはそれぞれのベンダーの情報を参照してください。


III. 対策

新規にシステムを構築する場合やシステム更新を行う場合は、MS-CHAP v2 を単体で使用せず、PEAP などの拡張プロトコルを併用するか、PPTP を使用しない構成 (IKEv2/IPSec や L2TP/IPSec など) にすることを検討してください。

現在運用中のシステム構成で、PEAP などの拡張プロトコルの併用や、PPTP 以外の VPN 接続の使用が可能な場合は、これらの使用を検討してください。
また、既存の構成で対応できない場合は、次年度の予算を確保するなど、将来的なシステムの更新について検討する事をお勧めいたします。

移行までの期間、MS-CHAP v2 単体での使用を継続する場合は、運用中のネットワーク機器やサーバの認証ログを定期的に確認するなど、不正なアクセスが行われていないことを確認してください。

最新の記事へ | バックナンバー | Page Top ▲

Adobe Flash Player の脆弱性

2012年 8月 22日(水曜日)

JPCERT-AT-2012-0026
JPCERT/CC
2012-08-22

<<< JPCERT/CC Alert 2012-08-22 >>>

Adobe Flash Player の脆弱性 (APSB12-19) に関する注意喚起

https://www.jpcert.or.jp/at/2012/at120026.html


I. 概要

Adobe Flash Player には複数の脆弱性があります。結果として遠隔の第三者は、細工したコンテンツをユーザに開かせることで、Adobe Flash Player　を不正終了させたり、任意のコードを実行させたりする可能性があります。
Adobe Systems 社が提供する対策済みソフトウエアへアップデートすることをお勧めします。

※ 本脆弱性は、8月15日にお知らせした「Adobe Flash Player の脆弱性 (APSB12-18) に関する注意喚起」と異なります。

Adobe Security Bulletins APSB12-19 (英語)
Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb12-19.html


II. 対象

対象となる製品とバージョンは以下の通りです。

- Adobe Flash Player 11.3.300.271 及びそれ以前

詳細は、Adobe Systems 社の情報をご確認ください。


III. 対策

Adobe Flash Player を以下の最新のバージョンに更新してください。詳細に関しては、Adobe Systems 社の情報を参照してください。

- Adobe Flash Player 11.4.402.265

Adobe Flash Player ダウンロードセンター
http://get.adobe.com/jp/flashplayer/

お使いの Adobe Flash Player のバージョンは、以下のページで確認可能です。

Adobe Flash Player:Version Information
http://www.adobe.com/jp/software/flash/about/

※ Internet Explorer 以外のブラウザを使用している場合でも、Microsoft Office のように、Internet Explorer 用にインストールされている Adobe Flash Player を使用するソフトウエアがありますので、Internet Explorer 用の Adobe Flash Player も更新してください。

最新の記事へ | バックナンバー | Page Top ▲

セキュリティ関連情報

2012年 8月 15日(水曜日)

JPCERT-WR-2012-3101
JPCERT/CC
2012-08-15

<<< JPCERT/CC WEEKLY REPORT 2012-08-15 >>>

―――――――――――――――――――――――
■08/05(日)〜08/11(土) のセキュリティ関連情報
―――――――――――――――――――――――

== 目 次 =============================

【1】HP の ArcSight Logger および ArcSight Connectors にクロスサイトスクリプティングの脆弱性
【2】HP Network Node Manager i (NNMi) にクロスサイトスクリプティングの脆弱性
【3】Cisco ASA 5500 シリーズに複数の脆弱性
【4】Android 版 LINE における暗黙的 Intent の扱いに関する脆弱性
【5】Sleipnir Mobile for Android に複数の脆弱性
【6】Java セキュアコーディングセミナー @ 札幌、ひきつづき参加者募集中
【今週のひとくちメモ】Java 6 のサポート期限延長される

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123101.html
https://www.jpcert.or.jp/wr/2012/wr123101.xml
====================================

最新の記事へ | バックナンバー | Page Top ▲

セキュリティ関連情報

2012年 8月 8日(水曜日)

JPCERT-WR-2012-3001
JPCERT/CC
2012-08-08

<<< JPCERT/CC WEEKLY REPORT 2012-08-08 >>>

―――――――――――――――――――――――
■07/29(日)〜08/04(土) のセキュリティ関連情報
―――――――――――――――――――――――

== 目 次 =============================

【1】ISC DHCP に複数の脆弱性
【2】Opera ブラウザに脆弱性
【3】Windows 用の Citrix Access Gateway プラグインに複数の脆弱性
【4】Solarwinds Network Performance Monitor に複数の脆弱性
【5】Java セキュアコーディングセミナー参加者ひきつづき募集中
【今週のひとくちメモ】1024ビット未満の暗号キーをブロックする Windows 更新プログラム

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※HTML 版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr123001.html
https://www.jpcert.or.jp/wr/2012/wr123001.xml
====================================

最新の記事へ | バックナンバー | Page Top ▲