-----BEGIN PGP SIGNED MESSAGE-----

                                                  JPCERT-WR-2001-2101
                                                            JPCERT/CC
                                                           2001-10-17

                  <<< JPCERT/CC REPORT 2001-10-17 >>>

これは JPCERT/CC が 10/8(月) から 10/12(金) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CERT Advisory CA-2001-28
    Automatic Execution of Macros
    http://www.cert.org/advisories/CA-2001-28.html

    CIAC Bulletin M-004
    Excel and PowerPoint Macro Vulnerability
    http://www.ciac.org/ciac/bulletins/m-004.shtml

Microsoft Excel と PowerPoint には、ある特別な形式のマクロを、警告メッ
セージを表示することなく自動的に実行してしまう問題があります。この問題
はセキュリティレベルの設定に依存しません。対象となるのは以下の製品です。

  Windows 版
     Microsoft Excel 2000, 2002
     Microsoft PowerPoint 2000, 2002

  Macintosh 版
     Microsoft Excel 98, 2001
     Microsoft PowerPoint 98, 2001

この問題を修正するパッチの日本語版はベンダにて現在準備中です。したがっ
てパッチが公開されるまでの一時的な対応策として、不審な Excel や
PowerPoint の文書を開かないことが推奨されています。

  関連文書 (日本語)
    不正な Excel または PowerPoint の文書が
                           マクロのセキュリティを無視する (MS01-050)
    http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-050


[2] CERT/CC Vulnerability Note VU#327281
    Solaris rpc.yppasswdd does not adequately check input
                            allowing users to execute arbitrary code
    http://www.kb.cert.org/vuls/id/327281

Solaris 2.6, 7, 8 の rpc.yppasswdd には、遠隔から攻撃可能なバッファオー
バーフローの脆弱性があります。結果として第三者が遠隔から root 権限を取
得できる可能性があります。この問題はベンダの提供するパッチを適用するこ
とで解決します。

  関連文書 (英語)
    Sun(sm) Alert Notification
    Buffer Overflow in "rpc.yppasswdd" Process
                              Might Lead to Unauthorized Root Access
    http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=salert%2F27486&zone_32=yppasswd%2A%20%202748%2A%20



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用下さい。

     http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

     http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbJG4x1ay4slNTtAQGpHQP/WTltR1V3BGK4EKMvHILfZidQLmIAN2Ir
j+lSzoh/xn2GfNP0Z+ydzE0zAia+DOCM4VL5F6WkT1XcGXxopTJHF9SUEs+qyLdj
zmyAb+mbzH5I0/HieDzj0jk5Y+pXraDq9JPulHAoZEwrpwmE9feQM7RnlVmymwjz
dwq5Dvxiw7s=
=wivW
-----END PGP SIGNATURE-----