-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-1201
                                                               JPCERT/CC
                                                              2002-04-03

                  <<< JPCERT/CC REPORT 2002-04-03 >>>

これは JPCERT/CC が 3/18(月) から 3/29(金) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin M-060
    Sun Bytecode Verifier Vulnerability
    http://www.ciac.org/ciac/bulletins/m-060.shtml

Java Runtime Environment Bytecode Verifier には、遠隔から攻撃可能な脆
弱性があります。結果として、第三者がアプレットを経由して管理者権限など
を取得する可能性があります。対象となるのは以下の製品に含まれている
Java Runtime Environment (JRE) や Virtual Machine (VM) です。

    Netscape 6.2.1 およびそれ以前
    Netscape Communicator 4.79 およびそれ以前
    Microsoft VM build 3802 およびそれ以前

また、この他にも Sun の SDK および JDK のソースをベースにした、他のベ
ンダによる Java の実装にも同様の問題がある可能性があります。詳細につい
ては、それらのベンダの提供する情報をご確認ください。

この問題は、Java の実行環境や開発環境 (SDK, JDK, JRE, VM) をベンダの提
供する最新のバージョンに更新することで解決します。

  関連文書 (英語)
    Sun Security Bulletins Article 218
    Bytecode Verifier
    http://www.sunsolve.sun.com/pub-cgi/retrieve.pl?doctype=coll&doc=secbull/218&type=0&nav=sec.sba

    Netscape Security News
    Sun JRE (Java Runtime Environment) Issue
    http://home.netscape.com/security/

    CIAC Bulletin M-052
    Java Applet Can Redirect Browser Traffic
    http://www.ciac.org/ciac/bulletins/m-052.shtml

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    2002 年 3 月 4 日 VM 用の累積的な修正プログラム (MS02-013)
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-013.asp


[2] CIAC Bulletin M-059
    Red Hat "groff" Vulnerability
    http://www.ciac.org/ciac/bulletins/m-059.shtml

Red Hat Linux の groff にはバッファオーバーフローの脆弱性があります。
結果として、遠隔から第三者が lp ユーザの権限を取得する可能性があります。
対象となるのは以下のバージョンです。

    Red Hat Linux 7.0 - alpha, i386
    Red Hat Linux 7.1 - alpha, i386, ia64
    Red Hat Linux 7.2 - i386, ia64, s390

この問題は、groff を Red Hat が提供する最新版のパッケージに更新するこ
とで解決します。

  関連文書 (日本語)
    Red Hat Linux セキュリティアドバイス RHSA-2002:004-11
    groffパッケージのアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-004J.html


[3] CIAC Bulletin M-061
    HP VVOS Web proxy Vulnerability
    http://www.ciac.org/ciac/bulletins/m-061.shtml

HP-UX 11.04 (VVOS) の HP Praesidium Webproxy A.01.00 には、ある特定の
HTTP リクエストを受け取ると、それを内部ネットワーク上の他のシステムに、
管理者の意図しない形で転送してしまう問題があります。結果として、遠隔か
ら第三者が認証なしに内部のネットワークにアクセスする可能性があります。
この問題はベンダの提供するパッチを適用することで解決します。


[4] CIAC Bulletin M-058
    Apache Vulnerabilities on IRIX
    http://www.ciac.org/ciac/bulletins/m-058.shtml

IRIX 6.5.12、6.5.13 および 6.5.14 に含まれる、1.3.22 より前のバージョ
ンの Apache には、ログを分割して保存する機能と、ディレクトリインデック
スで使われる Multiviews 機能に脆弱性があります。結果として、遠隔から第
三者が root 権限を取得する可能性があります。この問題は、ベンダの提供す
るパッチを適用することで解決します。

  関連文書 (英語)
    SGI Security Advisory 20020301-01-P
    Apache vulnerabilities on IRIX
    ftp://patches.sgi.com/support/free/security/advisories/20020301-01-P


[5] CIAC Bulletin M-062
    Double Free Bug in zlib Compression Library
    http://www.ciac.org/ciac/bulletins/m-062.shtml

JPCERT/CC REPORT 2002-03-20号で紹介した、zlib ライブラリの脆弱性に関す
る情報です。また以下の情報も公開されています。

    Vine Linux 2.x/{i386,ppc,sparc,alpha} の更新/障害情報
    zlib にセキュリティホール
    http://vinelinux.org/errata/2x/20020321-2.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2002-03-20号
    http://www.jpcert.or.jp/wr/2002/wr021101.txt

  関連文書 (英語)
    CERT Advisory CA-2002-07
    Double Free Bug in zlib Compression Library
    http://www.cert.org/advisories/CA-2002-07.html


[6] CERT Incident Note IN-2002-03
    Social Engineering Attacks via IRC and Instant Messaging
    http://www.cert.org/incident_notes/IN-2002-03.html

Internet Relay Chat (IRC) や Instant Messaging (IM) の利用者が虚偽の情
報に従って意図しないソフトウェアを実行してしまい、結果として、第三者が
その利用者のシステムを DDoS (分散型サービス運用妨害) 攻撃の攻撃元とし
て使用する可能性があります。この文書は、既にそのような被害を受けたシス
テムが数万に及ぶと指摘しています。


[7] Using PGP to Verify Digital Signatures
    http://www.cert.org/archive/pdf/PGPsigs_paper2.pdf

デジタル署名の検証に PGP を用いる方法などについてまとめられた文書です。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用下さい。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCUAwUBPvbLPYx1ay4slNTtAQGIFQP0Dy+flciNIbtwgjG+/QEaIf/VkYRIIIyq
CzXcnMtaK3eOLSiT1nqUeuuB/LQBVsXAWT1sXlY+tp8V/IKkicecexqYpRU7tzxn
lCfeXcj44xdkAkC2j/eiKz53TWIiO/7m4sIKWTa08dI/tqOQqiUQbHBH//2aebRp
Ea0FXzSgBA==
=c5u1
-----END PGP SIGNATURE-----