-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-1601 JPCERT/CC 2002-05-02 <<< JPCERT/CC REPORT 2002-05-02 >>> これは JPCERT/CC が 4/22(月) から 4/26(金) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin M-070 Apache HTTP Server on Win32 Vulnerability http://www.ciac.org/ciac/bulletins/m-070.shtml Win32 システム (Windows 9x/Me, Windows NT/2000/XP) 用の Apache HTTP サー バには、コマンドシェル (command.com や cmd.exe) で動作する CGI プログ ラムに渡す引数を安全に制御しない脆弱性があります。結果として、遠隔から 第三者が Apache のプロセスの権限 (Windows NT/2000/XP の場合、標準では SYSTEM ユーザ権限) で任意のコマンドを実行する可能性があります。この問 題は、Apache をバージョン 1.3.24 (もしくはそれ以降) または 2.0.34-beta (もしくはそれ以降) に更新することで解決します。 関連文書 (英語) CERT/CC Vulnerability Note VU#124003 Apache HTTP Server on Win32 systems does not securely handle input passed to CGI programs http://www.kb.cert.org/vuls/id/124003 Apache HTTP Server Project Apache 1.3.24 Released http://www.apache.org/dist/httpd/Announcement.html [2] CIAC Bulletin M-073 Microsoft Outlook E-mail Editor Vulnerability http://www.ciac.org/ciac/bulletins/m-073.shtml Microsoft Outlook 2000 および 2002 には、電子メールのエディタに Microsoft Word を使用するように設定されている場合に、HTML 形式の電子メー ルに含まれたスクリプトを、HTML 形式の電子メールに関するセキュリティの 設定 (Internet Explorer のセキュリティゾーンの設定) によらずに実行して しまう脆弱性があります。結果として、ユーザがスクリプトを含んだ HTML 形 式の電子メールに対して返事を書く、もしくはその電子メールを転送する際に、 エディタとして Word を起動すると、Word がその電子メールに含まれたスク リプトを実行する可能性があります。この問題は Microsoft が提供する修正 プログラムを Word に適用することで解決します。 関連文書 (日本語) マイクロソフト セキュリティ情報 電子メール エディタの問題により、返信または転送でスクリプトが実行される (Q321804) (MS02-021) http://www.microsoft.com/japan/technet/security/bulletin/MS02-021.asp [3] マイクロソフト セキュリティ情報 Internet Explorer for Mac および Office for Mac の 未チェックのバッファによってコードが実行される (Q321309) (MS02-019) http://www.microsoft.com/japan/technet/security/bulletin/MS02-019.asp JPCERT/CC REPORT 2002-04-24号で紹介した、Macintosh 版の Microsoft Internet Explorer および Microsoft Office の脆弱性に対して、2002年5月1 日時点で Microsoft Power Point 98 for Macintosh Edition を除き、日本語 版の修正プログラムが公開されています。 関連文書 (日本語) JPCERT/CC REPORT 2002-04-24号 http://www.jpcert.or.jp/wr/2002/wr021501.txt [JPCERT/CC からのお知らせ] 次号の発行は 5月 9日(木)の予定です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用下さい。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPYx1ay4slNTtAQHp/wQAwi7KubUHRQFm7jAGJsvmKF4S7lZjCSm4 AxMMidDbreawh+wwl48OBsLCli2/4WmkBEDetjHnpzngzbcK1RQEfbkpN85ReshW SjLSUTdXLCxFd4h4xbGDbodfCK1/wePgKol2T0Nv+iDN4XN3YGVVN8ak4xfTrLwJ 4Xcd5NGF32A= =EniT -----END PGP SIGNATURE-----