-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-4701
                                                               JPCERT/CC
                                                              2002-12-04

                  <<< JPCERT/CC REPORT 2002-12-04 >>>

これは JPCERT/CC が 11/25(月) から 11/29(金) の間に得たセキュリティ関
連情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CERT Advisory CA-2002-34
    Buffer Overflow in Solaris X Window Font Service
    http://www.cert.org/advisories/CA-2002-34.html

Sun Solaris の X Window Font Service (XFS) のサーバプログラム fs.auto には、
バッファオーバーフローの脆弱性があります。結果として、遠隔から第三者が
fs.auto の実行ユーザ (一般的に nobody) の権限を取得する可能性があります。
対象となる OS のバージョンとして以下のものが報告されています。

  - Sun Microsystems Solaris 2.5.1 (Sparc/Intel)
  - Sun Microsystems Solaris 2.6 (Sparc/Intel)
  - Sun Microsystems Solaris 7 (Sparc/Intel)
  - Sun Microsystems Solaris 8 (Sparc/Intel)
  - Sun Microsystems Solaris 9 (Sparc)

 ※ fs.auto は Sun Solaris において標準で有効になっています。

この問題を解決するためのパッチが Sun Microsystems から公開されるまでの
一時的な回避策としては以下のような方法があります。

  - /etc/inetd.conf から fs.auto の行をコメントアウトし、inetd に HUP
    シグナルを送ることで fs.auto を無効にする。また fs.auto のプロセス
    が既に稼動中の場合は、それらを全て停止する。

  - ルータなどのパケットフィルタリング機能を用いて、外部のネットワーク
    から 7100/tcp へのアクセスを制限する。ただし、アクセスを許可したホ
    ストやネットワークに対しては無防備であることに注意。

  関連文書 (日本語)
    Internet Security Systems セキュリティ アドバイザリ
    Solaris fs.auto におけるリモートからのセキュリティ侵害の脆弱性
    http://www.isskk.co.jp/support/techinfo/general/SolarisXFS_xforce.html

  関連文書 (英語)
    Free Sun Alert Notifications Article 48879
    X Font Server Can Allow Denial of Service
    http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/48879


[2] CIAC Bulletin N-019
    Samba Encrypted Password Buffer Overrun Vulnerability
    http://www.ciac.org/ciac/bulletins/n-019.shtml

JPCERT/CC REPORT 2002-11-27号でも紹介した、Samba の脆弱性に関する追加
情報です。

  関連文書 (日本語)
    JPCERT/CC REPORT 2002-11-27号
    http://www.jpcert.or.jp/wr/2002/wr024601.txt


[3] Canna Security Advisory Canna-2002-1
    multiple vulnerabilities in canna server
    http://canna.sourceforge.jp/sec/Canna-2002-01.txt

Canna バージョン 3.6 およびそれ以前の canna サーバには、バッファオーバー
フローなどの複数の脆弱性があります。結果として、遠隔から第三者が canna
サーバの実行ユーザの権限を取得したり、サービス運用妨害 (DoS) 攻撃を受
けるなどの様々な影響を受ける可能性があります。

この問題は、Canna をバージョン 3.6p1 (もしくはそれ以降) に更新する、ま
たはベンダや配布元の提供するパッチを適用するなどの方法で解決します。

  関連文書 (日本語)
    Turbolinux Japan Security Center
    複数のcanna サーバーの脆弱性
    http://www.turbolinux.co.jp/security/Canna-3.6-1.html

    Vine Linux errata
    Cannaにセキュリティホール
    http://vinelinux.org/errata/25x/20021202-1.html


[4] Internet Week 2002
    http://internetweek.jp/

12/16(月) から 12/20(金) にパシフィコ横浜会議センターで開催される
Internet Week 2002 のプログラムのうち、セキュリティ関連のものを紹介し
ます。

    JNSAセキュリティセミナー in IW2002
    http://internetweek.jp/program/shosai.asp?progid=M4

      日時: 12月17日(火) 10:00-17:00
      主催: 特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA)

    家庭内ネットワークセキュリティ入門～常時接続時代を迎えて～
    http://internetweek.jp/program/shosai.asp?progid=B5

      日時: 12月18日(水) 9:30-12:30
      主催: Internet Week 2002実行委員会

    PKI～技術概要と利用の実際～
    http://internetweek.jp/program/shosai.asp?progid=T9

      日時: 12月18日(水) 9:30-12:30
      主催: Internet Week 2002実行委員会

    ファイアウォール～安全性の意味と代償～
    http://internetweek.jp/program/shosai.asp?progid=T11

      日時: 12月18日(水) 14:00-17:00
      主催: Internet Week 2002実行委員会

    abuse～インターネット上の迷惑行為～
    http://internetweek.jp/program/shosai.asp?progid=T15

      日時: 12月19日(木) 9:30-12:30
      主催: Internet Week 2002実行委員会

    IAjapanエグゼクティブフォーラム -どうなる日本のIT！-～今そこにある危機～
    http://internetweek.jp/program/shosai.asp?progid=M10

      日時: 12月19日(木) 10:00-17:00
      主催: 財団法人インターネット協会 (IAjapan)

    JPCERT/CC Seminar 2002
    http://internetweek.jp/program/shosai.asp?progid=M11

      日時: 12月19日(木) 14:00-17:00
      主催: コンピュータ緊急対応センター (JPCERT/CC)

    IAjapanエグゼクティブフォーラム -どうなる日本のIT！-～検証：e-JAPAN～
    http://internetweek.jp/program/shosai.asp?progid=M13

      日時: 12月20日(金) 10:00-17:00
      主催: 財団法人インターネット協会 (IAjapan)

事前申込の締切が 12/4(水) 20:00 に迫っています。申込方法については、
Internet Week 2002 の Web サイト http://internetweek.jp/ を参照してく
ださい。お問い合わせは iw2002@nic.ad.jp までお願いします。


[5] CERT Summary CS-2002-04
    http://www.cert.org/summaries/CS-2002-04.html

CERT/CC の最近の活動をまとめたものです。


[6] CSIRT Services
    http://www.cert.org/csirts/services.html

CSIRT (Computer Security Incident Response Team) のサービス内容につい
てまとめた文書です。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用ください。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPox1ay4slNTtAQGFZgP9GzUjmoXgSE0PqivPFotWzpOZNx7FcI1I
pMqP2CjjneRyNKHw6Ybj22HtyQMPxGQPWpv83s5kI9nuPxJM3Yv0fHn9M/od+v33
DlkStx9Y/k55uttAeiPFCWHjlx2g5ct3RUJnJQtNSvg5ZQP1mwoGmpxwzJ31Y/2Q
0jJD6RUgcRk=
=5YAc
-----END PGP SIGNATURE-----