<<< JPCERT/CC WEEKLY REPORT 2008-08-06 >>>

■07/27(日)〜08/02(土) のセキュリティ関連情報

目　次

【1】RealNetworks RealPlayer に複数の脆弱性

【2】Oracle Weblogic Apache Connector プラグインにバッファオーバーフローの脆弱性

【3】Ruby に複数の脆弱性

【4】複数のパナソニック コミュニケーションズ製ネットワークカメラにクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】インターネットセキュリティの歴史 第19回 「個人情報保護法」(下)

【1】RealNetworks RealPlayer に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#461187
RealPlayer file deletion overflow vulnerability
http://www.kb.cert.org/vuls/id/461187

US-CERT Vulnerability Note VU#298651
RealNetworks RealPlayer Shockwave Flash (SWF) file vulnerability
http://www.kb.cert.org/vuls/id/298651

概要

RealNetworks RealPlayer には、複数の脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意
のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Windows 用 RealPlayer 11 (11.0.0 - 11.0.2 ビルド 6.0.14.738 - 
  6.0.14.802)
- Windows 用 RealPlayer 10.5 (6.0.12.1040-6.0.12.1663、
  6.0.12.1698、6.0.12.1741)
- Windows 用 RealPlayer Enterprise
- Windows 用 RealPlayer 10
- Mac 用 RealPlayer 10.1 (10.0.0.396 - 10.0.0.503)
- Mac 用 RealPlayer 10 (10.0.0.305 - 352)
- Linux 用 RealPlayer 10

この問題は、RealNetworks が提供する修正済みのバージョンに、該当
する製品を更新することで解決します。なお、Windows 用の 
RealPlayer については、JPCERT/CC REPORT 2008-03-19 号【4】で紹介
した問題に対する修正も含まれます。

関連文書 (日本語)

RealNetworks
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/07252008_player/ja/

Japan Vulnerability Notes JVNVU#461187
Realnetworks RealPlayer の rjbdll.dll にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU461187/index.html

Japan Vulnerability Notes JVNVU#298651
RealNetworks RealPlayer の Shockwave Flash (SWF) ファイルの処理にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU298651/index.html

JPCERT/CC REPORT 2008-03-19
【4】RealPlayer の複数の ActiveX コントロールに脆弱性
http://www.jpcert.or.jp/wr/2008/wr081101.html#4

【2】Oracle Weblogic Apache Connector プラグインにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#716387
Oracle Weblogic Apache connector vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/716387

概要

Oracle Weblogic (旧 BEA Weblogic) Server および Weblogic Express 
で使用される Apache Connector プラグインには、バッファオーバーフ
ローの脆弱性があります。結果として、遠隔の第三者が細工した POST 
リクエストを処理させることで任意のコードを実行する可能性がありま
す。なお、本脆弱性に関する検証コードが公開されています。

対象となる製品およびバージョンは以下のとおりです。

- WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前
- WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前
- WebLogic Server 9.1
- WebLogic Server 9.0
- WebLogic Server 8.1 Service Pack 6 およびそれ以前
- WebLogic Server 7.0 Service Pack 7 およびそれ以前
- WebLogic Server 6.1 Service Pack 7 およびそれ以前

2008年8月5日現在、この問題に対する修正パッチが Oracle から提供さ
れています。また、回避策としては、Apache の設定を変更する方法や、
mod_security モジュールを導入する方法などがあります。詳細につい
ては、Oracle が提供する情報を参照してください。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#716387
Oracle Weblogic Apache connector プラグインにバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU716387/index.html

関連文書 (英語)

Oracle SECURITY ADVISORY (CVE-2008-3257)
Security vulnerability in WebLogic plug-in for Apache
https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html

【3】Ruby に複数の脆弱性

情報源

CIAC Bulletin S-344
Ruby Security Update
http://www.ciac.org/ciac/bulletins/s-344.shtml

概要

Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が細
工した Ruby プログラムを実行させることで、任意のコードを実行した
り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- Ruby 1.8 系の以下のバージョン
  - Ruby 1.8.4 およびそれ以前のバージョン
  - Ruby 1.8.5-p230 およびそれ以前のバージョン
  - Ruby 1.8.6-p229 およびそれ以前のバージョン
  - Ruby 1.8.7-p21 およびそれ以前のバージョン
- Ruby 1.9 系の以下のバージョン
  - Ruby 1.9.0-1 およびそれ以前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

オブジェクト指向スクリプト言語 Ruby
任意のコードが実行される脆弱性について
http://www.ruby-lang.org/ja/news/2008/06/20/arbitrary-code-execution-vulnerabilities/

Debian セキュリティ勧告 DSA-1612-1
ruby1.8 -- 複数の脆弱性
http://www.debian.org/security/2008/dsa-1612.ja.html

Debian セキュリティ勧告 DSA-1618-1
ruby1.9 -- 複数の脆弱性
http://www.debian.org/security/2008/dsa-1618.ja.html

関連文書 (英語)

Red Hat Security Advisory RHSA-2008:0561-7
Moderate: ruby security update
https://rhn.redhat.com/errata/RHSA-2008-0561.html

【4】複数のパナソニック コミュニケーションズ製ネットワークカメラにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#33706820
複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN33706820/index.html

概要

複数のパナソニック コミュニケーションズ製ネットワークカメラには、
クロスサイトスクリプティングの脆弱性があります。結果として、遠隔
の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が
あります。

対象となる製品およびバージョンは以下の通りです。

- BL-C111 Ver.3.14R02 およびそれ以前
- BL-C131 Ver.3.14R03 およびそれ以前
- BB-HCM511 Ver.3.20R01 およびそれ以前
- BB-HCM531 Ver.3.20R01 およびそれ以前
- BB-HCM580 Ver.3.21R00 およびそれ以前
- BB-HCM581 Ver.3.21R00 およびそれ以前
- BB-HCM527 Ver.3.30R00 およびそれ以前
- BB-HCM515 Ver.3.20R01 およびそれ以前

この問題は、パナソニック コミュニケーションズが提供する修正済み
のバージョンに、該当する製品のファームウェアを更新することで解決
します。詳細については、パナソニック コミュニケーションズが提供
する情報を参照してください。

関連文書 (日本語)

パナソニック コミュニケーションズ
ネットワークカメラ関連商品 サポート情報
http://panasonic.biz/netsys/netwkcam/support/info_xxs_s.html

パナソニック コミュニケーションズ
ホームネットワーク関連商品 サポート情報
http://panasonic.co.jp/pcc/products/hnetwk/support/info_xxs_c.html

■今週のひとくちメモ

○インターネットセキュリティの歴史 第19回 「個人情報保護法」(下)

日本では 1999年頃から、以下のような状況を背景に、本格的な個人情
報保護法制度の検討がはじまりました。

- インターネット社会の進展
- 住民基本台帳ネットワークの構築
- EU 個人情報保護指令 (1995年採択) への対応
- 個人情報漏洩事件の多発

2001年に提出された個人情報保護法案は、メディア規制法案であるとの
反対意見が次々と公表されたことなどもあって廃案となりました。2003 
年に再度提出された法案は、「表現の自由に配慮する」旨の修正が加え
られた上で、行政機関の保有する個人情報の保護に関する法律の改正法
を含む関連 4法と合わせて同年 5月に成立、2年の準備期間を経て 2005
年4月に施行されました。

この 2年の準備期間中の 2004年には、「個人情報の保護に関する基本
方針」が閣議決定され、この指針に基づいて各分野におけるガイドライ
ンや指針が制定されています。

法施行直後に発生した JR 福知山線脱線事故では死傷者情報が個人情報
であることを理由としてメディアに提供されなかったり、個人情報保護
法のために学校の緊急連絡網が作れなくなったりという、いわゆる過剰
反応に関する問題も報道されました。

しかし、個人情報保護法制が整備されることで、様々な分野における個
人情報の取り扱いに関するガイドラインがこの法制にもとづいて定めら
れ、国際間での情報のやり取りを含めて個人情報の取り扱いが統一的な
理念のもとに行われるようになっています。

参考文献 (日本語)

内閣府
個人情報保護トップページ
http://www5.cao.go.jp/seikatsu/kojin/index.html

■JPCERT/CC からのお願い