JPCERT コーディネーションセンター

Weekly Report 2007-05-30号

JPCERT-WR-2007-2001
JPCERT/CC
2007-05-30

<<< JPCERT/CC WEEKLY REPORT 2007-05-30 >>>

■05/20(日)〜05/26(土) のセキュリティ関連情報

目 次

【1】RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性

【2】OPeNDAP BES に複数の脆弱性

【3】Microsoft Office Isolated Conversion Environment (MOICE) について

【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その2

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr072001.txt
https://www.jpcert.or.jp/wr/2007/wr072001.xml

【1】RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性

情報源

US-CERT Vulnerability Note VU#754281
RSA BSAFE libraries denial of service vulnerability
http://www.kb.cert.org/vuls/id/754281

CIAC Bulletin R-245
Vulnerability in Crypto Library
http://www.ciac.org/ciac/bulletins/r-245.shtml

概要

RSA BSAFE Cert-C および Crypto-C のライブラリには脆弱性がありま
す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う
可能性があります。

対象となる製品およびバージョンは以下の通りです。

- RSA BSAFE Cert-C 2.8 より前のバージョン
- RSA BSAFE Crypto-C 6.3.1 より前のバージョン

この問題は、RSA が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。

Cisco からは、この問題に対する修正済みのバージョンおよび回避策が
公開されております。その他、RSA BSAFE を使用するさまざまなベンダ
の製品も影響を受ける可能性があります。詳細については、使用してい
る OS のベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU%23754281/index.html

JPCERT/CC Alert 2007-05-24
複数の Cisco 製品における DoS の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070013.txt

RSAセキュリティ
RSA BSAFE Cert-C
http://www.rsa.com/japan/products/bsafe/cert-c.html

RSAセキュリティ
RSA BSAFE Crypto-C
http://www.rsa.com/japan/products/bsafe/crypto-c.html

関連文書 (英語)

Cisco Security Advisory: cisco-sa-20070522-crypto.shtml
Vulnerability In Crypto Library
http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c5d.shtml

Cisco Applied Intelligence Response
Identifying and Mitigating Exploitation of the Vulnerability In Crypto Library
http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c96.html

Cisco Security Advisory: cisco-sa-20070522-SSL
Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets
http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c49.shtml

Cisco Applied Intelligence Response
Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets
http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c7e.html

【2】OPeNDAP BES に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#659148
OPeNDAP arbitrary command execution vulnerability
http://www.kb.cert.org/vuls/id/659148

US-CERT Vulnerability Note VU#671028
OPeNDAP filesystem enumeration vulnerability
http://www.kb.cert.org/vuls/id/671028

CIAC Bulletin R-244
OPeNDAP Vulnerability
http://www.ciac.org/ciac/bulletins/r-244.shtml

概要

OPeNDAP 4 Data Server (別名 Hyrax) に含まれる BES には、複数の脆
弱性があります。結果として、遠隔の第三者が任意のコマンドを実行す
るなどの可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Hyrax 1.2.1 より前のバージョンに含まれる BES
- BES 3.5.0 より前のバージョン

この問題は、配布元が提供する修正済みのバージョンに該当する製品を
更新することで解決します。

関連文書 (英語)

OPeNDAP Data Server Security Information
Security Messages 14 May 2007
http://www.opendap.org/security.html

OPeNDAP Server4 Software
OPeNDAP 4 Data Server (also known as Hyrax)
http://www.opendap.org/download/hyrax.html

OPeNDAP BES Software
BES Software
http://www.opendap.org/download/BES.html

【3】Microsoft Office Isolated Conversion Environment (MOICE) について

情報源

CIAC Technical Bulletin CIACTech07-001
MOICE - Microsoft Office Isolated Conversion Environment
http://www.ciac.org/ciac/techbull/CIACTech07-001.shtml

概要

Microsoft は、第三者が任意のコードを埋め込んだ Microsoft Office
(Word、Excel、PowerPoint) 文書をユーザに開かせる攻撃手法への対策
として、Microsoft Office Isolated Conversion Environment (MOICE) 
を公開しました。

このツールを導入すると、Microsoft Office (Word、Excel、
PowerPoint) 文書を開こうとしたとき、Office 文書がより安全な 
Office 2007 の Open XML 形式に変換され、新しいファイルとして一時
フォルダに格納され、適切な Office アプリケーションを使用して開か
れます。

詳細については、下記関連文書を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ アドバイザリ (937696)
Microsoft Office Isolated Conversion Environment (MOICE) および Microsoft Office 向けファイル ブロック機能の公開
http://www.microsoft.com/japan/technet/security/advisory/937696.mspx

マイクロソフト サポート技術情報 (935865)
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について
http://support.microsoft.com/kb/935865

■今週のひとくちメモ

○生体認証 (バイオメトリクス認証) その2

生体認証で利用する生体情報の種類には、指紋、虹彩、静脈、声紋、筆
跡のように多くの種類があります。また、これらを利用する生体認証デ
バイスも数多く市場に普及しています。

生体認証デバイスの精度/性能は、以下のような数値で評価できます。

- 正しい利用者本人を拒否する確率: 本人拒否率 (FRR: False Reject Rate)
- 他人を本人と認識してしまう確率: 他人受入率 (FAR: False Accept Rate)

これらの精度評価は、国際的な標準化も進められていますが、現時点で
は各メーカが独自に発表しています。生体認証デバイスを採用する際に
は、実際に使用して評価検討することが重要です。また、採用するデバ
イスで認証できない利用者に対する代替手段の検討も行っておくことを
おすすめします。

参考文献 (日本語)

社団法人日本自動認識システム協会
BIOMETRICS
http://www.jaisa.or.jp/action/group/bio/shoukai.html

JPCERT/CC REPORT 2007-05-23
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1
http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter