-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-3501
                                                               JPCERT/CC
                                                              2002-09-11

                  <<< JPCERT/CC REPORT 2002-09-11 >>>

これは JPCERT/CC が 9/2(月) から 9/6(金) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin M-118
    HP Tru64 Unix Multiple Vulnerabilities
    http://www.ciac.org/ciac/bulletins/m-118.shtml

HP (Compaq) Tru64 Unix V4.0f、V4.0g、V5.0a、V5.1 および V5.1a には、複
数のバッファオーバーフローの脆弱性があります。結果として、DoS (サービ
ス運用妨害) 攻撃を受けたり、遠隔から第三者が root 権限を取得する可能性
があります。この問題は、HP が提供するパッチを適用することで解決します。

  関連文書 (英語)
    Compaq.com - Security Bulletin: SRB0039W
    SSRT2275 - HP Tru64 UNIX - Potential Buffer Overflows
    & SSRT2229 Potential Denial of Service
    http://wwss1pro.compaq.com/support/reference_library/viewdocument.asp?source=SRB0039W.xml&dt=11

    CERT Advisory CA-2002-19
    Buffer Overflows in Multiple DNS Resolver Libraries
    http://www.cert.org/advisories/CA-2002-19.html

    CERT Advisory CA-2002-20
    Multiple Vulnerabilities in CDE ToolTalk
    http://www.cert.org/advisories/CA-2002-20.html

    CERT Advisory CA-2002-23
    Multiple Vulnerabilities In OpenSSL
    http://www.cert.org/advisories/CA-2002-23.html

    CERT Advisory CA-2002-25
    Integer Overflow In XDR Library
    http://www.cert.org/advisories/CA-2002-25.html


[2] CIAC Bulletin M-121
    Microsoft Certificate Validation Vulnerability
    http://www.ciac.org/ciac/bulletins/m-121.shtml

Microsoft Windows および MacOS 版の Microsoft 製品のいくつかには、デジ
タル証明書の扱いに脆弱性があります。結果として、偽造された Web サイト
にアクセスしたり、署名の偽造された電子メールやプログラムを受け取る可能
性があります。またデジタル証明書を基にした認証システムを用いている場合
には、遠隔から第三者が管理者の権限を取得する可能性があります。対象とな
るのは以下の製品です。

  - Microsoft Windows 98
  - Microsoft Windows 98 Second Edition
  - Microsoft Windows Me
  - Microsoft Windows NT 4.0
  - Microsoft Windows NT 4.0, Terminal Server Edition
  - Microsoft Windows 2000
  - Microsoft Windows XP
  - Microsoft Office v.X for Mac
  - Microsoft Office 2001 for Mac
  - Microsoft Office 98 for Macintosh Edition
  - Microsoft Internet Explorer for Mac
  - Microsoft Outlook Express for Mac

この問題は、Microsoft が提供する修正プログラムを適用することで解決しま
す。ただし、2002年9月11日時点で日本語版修正プログラムが公開されている
のは以下の製品です。

  - Microsoft Windows 98
  - Microsoft Windows 98 Second Edition
  - Microsoft Windows Me
  - Microsoft Windows NT 4.0
  - Microsoft Windows NT 4.0, Terminal Server Edition
  - Microsoft Windows 2000
  - Microsoft Windows XP

なお、以下の製品の修正プログラムについては開発中です。詳細については
Microsoft の提供する情報をご参照ください。

  - Microsoft Windows XP 64 bit Edition
  - Microsoft Office v.X for Mac
  - Microsoft Office 2001 for Mac
  - Microsoft Office 98 for Macintosh Edition
  - Microsoft Internet Explorer for Mac (OS 8.1 から 9.x 用)
  - Microsoft Internet Explorer for Mac (OS X 用)
  - Microsoft Outlook Express for Mac

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    証明書確認の問題により、ID が偽装される (Q328145) (MS02-050)
    http://www.microsoft.com/japan/technet/security/bulletin/MS02-050.asp


[3] CIAC Bulletin M-119
    Cisco VPN 3000 Concentrator Multiple Vulnerabilities
    http://www.ciac.org/ciac/bulletins/m-119.shtml

Cisco VPN 3000 シリーズのコンセントレータと Cisco VPN 3002 ハードウェ
アクライアントには複数の脆弱性があります。結果として、情報漏洩や DoS
(サービス運用妨害) 攻撃などの様々な影響を受ける可能性があります。対象
となるのは、以下の製品です。

  - Cisco VPN 3000 シリーズコンセントレータ
       モデル: 3005, 3015, 3030, 3060, 3080

  - Cisco VPN 3002 ハードウェアクライアント

この問題は、ソフトウェアをバージョン 3.5.5 もしくは 3.6.1 に更新するこ
とで解決します。

  関連文書 (英語)
    Cisco Security Advisory
    Cisco VPN 3000 Concentrator Multiple Vulnerabilities
    http://www.cisco.com/warp/public/707/vpn3k-multiple-vuln-pub.shtml


[4] xdr_array() 関数の脆弱性に関する追加情報

JPCERT/CC REPORT 2002-08-07号でも紹介した、Sun RPC の実装に用いられて
いる xdr_array() 関数の脆弱性に関する追加情報です。

    HP社セキュリティ報告: HPSBUX0209-215
    XDRライブラリにおけるセキュリティ脆弱性
    http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0209-215.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2002-08-07号
    http://www.jpcert.or.jp/wr/2002/wr023001.txt



[JPCERT/CC からのお知らせ]

次号の発行は 9月 19日(木)の予定です。


[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用ください。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPox1ay4slNTtAQG+7wP/aHm7sV8SoP57tJ9N1lIvFwE0E0IgpGqJ
ElComwz8Gq+lEntxW1+Ayf9HLWKQ6nTIIPZNIvNPIDYT0G8uGoRgIZMlo9M0+Hbs
NkGD/UmPUS9yf/zEq6ljwpFC0lv/3iyOcqHxYX/8zpy9L9eTnHXWFMTnnk7yqxhQ
Gfzbu3AQB+0=
=QVBx
-----END PGP SIGNATURE-----