-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-3301 JPCERT/CC 2002-08-28 <<< JPCERT/CC REPORT 2002-08-28 >>> これは JPCERT/CC が 8/19(月) から 8/23(金) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin M-114 Apache 2.0 Path Disclosure Vulnerability http://www.ciac.org/ciac/bulletins/m-114.shtml Apache HTTP サーバ 2.0 には、ディレクトリの内容を表示してしまう脆弱性 があります。結果として、システム上の機密情報が漏洩したり、遠隔から第三 者がシステム上の任意のプログラムを実行する可能性があります。対象となる のは、Windows、OS2 および Netware 版のバージョン 2.0.39 およびそれ以前 です。UNIX 版および 1.x 系列の Apache HTTP サーバには、この問題が存在 しないことが報告されています。この問題は、バージョン 2.0.40 に更新する ことで解決します。 関連文書 (英語) Apache 2.0 vulnerability affects non-Unix platforms http://httpd.apache.org/info/security_bulletin_20020809a.txt [2] CIAC Bulletin M-115 Novell NetWare 6.0 RConsoleJ Authentication Bypass Vulnerability http://www.ciac.org/ciac/bulletins/m-115.shtml Novell NetWare 6.0 SP2 には、RConsoleJ クライアントを使って SSL 経由で サーバへアクセスする際に、認証の処理に脆弱性があります。結果として、遠 隔から第三者がパスワードなしにサーバにアクセスする可能性があります。こ の問題は、Novell が提供するパッチを適用することで解決します。 関連文書 (英語) Novell Technical Information Document 2963349 RCONAG6.NLM for servers running NW6SP2 http://support.novell.com/servlet/tidfinder/2963349 [3] CIAC Bulletin M-116 Microsoft Cumulative Patch for Internet Explorer http://www.ciac.org/ciac/bulletins/m-116.shtml Microsoft Internet Explorer には、バッファオーバーフローなどの複数の脆 弱性があります。結果として、遠隔から第三者がユーザの権限を取得する可能 性があります。対象となるのは以下のバージョンです。 - Microsoft Internet Explorer 5.01 - Microsoft Internet Explorer 5.5 - Microsoft Internet Explorer 6.0 この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 Internet Explorer 用の累積的な修正プログラム (Q323759) (MS02-047) http://www.microsoft.com/japan/technet/security/bulletin/MS02-047.asp [4] CIAC Bulletin M-117 Microsoft Office Web Components Vulnerabilities http://www.ciac.org/ciac/bulletins/m-117.shtml Microsoft 社の多くの製品に含まれる、Microsoft Office Web Components 2000 および 2002 には、複数の脆弱性があります。結果として、遠隔から第 三者が、Web サイトや HTML 形式の電子メールを経由して、ユーザの権限を取 得する可能性があります。対象となるのは以下の製品です。 - Microsoft BackOffice Server 2000 - Microsoft BizTalk Server 2000 - Microsoft BizTalk Server 2002 - Microsoft Commerce Server 2000 - Microsoft Commerce Server 2002 - Microsoft Internet Security and Acceleration Server 2000 - Microsoft Money 2002 - Microsoft Money 2003 - Microsoft Office 2000 - Microsoft Office XP - Microsoft Project 2002 - Microsoft Project Server 2002 - Microsoft Small Business Server 2000 この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 Office Web Components に安全でない機能が含まれる (Q328130) (MS02-044) http://www.microsoft.com/japan/technet/security/bulletin/MS02-044.asp [5] xdr_array() 関数の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-08-07号でも紹介した、Sun RPC の実装に用いられて いる xdr_array() 関数の脆弱性に関する追加情報です。 Turbolinux Japan Security Center glibc buffer overflowの問題 http://www.turbolinux.co.jp/security/glibc-2.2.4-11.html HP社セキュリティ報告: HPSBTL0208-062 glibc XDRデコーダにおけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0208-062.html HP社セキュリティ報告: HPSBTL0208-063 kdr5におけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0208-063.html 関連文書 (日本語) JPCERT/CC REPORT 2002-08-07号 http://www.jpcert.or.jp/wr/2002/wr023001.txt [6] OpenSSL の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-08-07号および 2002-08-14号でも紹介した、OpenSSL の脆弱性に関する追加情報です。 Turbolinux Japan Security Center OpenSSL 0.9.6e バグフィックス http://www.turbolinux.co.jp/security/openssl-0.9.6g-2.html AppleCare Document: 120141 Security Update 2002-08-20 : Information and Download http://docs.info.apple.com/article.html?artnum=120141 関連文書 (日本語) JPCERT/CC REPORT 2002-08-07号 http://www.jpcert.or.jp/wr/2002/wr023001.txt JPCERT/CC REPORT 2002-08-14号 http://www.jpcert.or.jp/wr/2002/wr023101.txt [7] @IT 連載: 管理者のためのセキュリティ推進室〜インシデントレスポンス入門〜 第3回「インシデントを発見する方法 (2)」 http://www.atmarkit.co.jp/fsecurity/ JPCERT/CC の連載記事 (第3回) が公開されました。 [8] Internet Week 2002 http://internetweek.jp/ 来たる 12/16(月) から 12/20(金) にわたって、パシフィコ横浜会議センター において Internet Week 2002 が開催されます。今年も JPCERT/CC は 「JPCERT/CC Seminar 2002」と題したプログラムを行ないます。プログラムの 詳細は 9月の中旬に公開する予定です。また参加受付の開始は 10/1(火) を予 定しています。お問い合わせは iw2002@nic.ad.jp までお願い致します。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用ください。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPox1ay4slNTtAQH7lwP+Os/AuNcAPIk8W5rid+ZiK/sOxXntpkOC kmMN64Dd/MynKvGD1FOUZO6QSxI/Qfg1EMCVzcxvsQDgKKawas91NlHFs2ujMrhG K6G+6cJV2U2i4+OW6NQiKF+8N340V/g6rKAqqP6/97Qf0sbaw2CXaKJBul6dmYqb zBozGl3xcVk= =HQLy -----END PGP SIGNATURE-----