-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2003-2801 JPCERT/CC 2003-07-16 <<< JPCERT/CC REPORT 2003-07-16 >>> これは JPCERT/CC が 7/6(日) から 7/12(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin N-114 Buffer Overrun in Microsoft HTML Converter Could Allow Code Execution http://www.ciac.org/ciac/bulletins/n-114.shtml CERT/CC Vulnerability Note VU#823260 Microsoft Windows HTML conversion library vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/823260 Microsoft Windows の HTML 変換機能には、バッファオーバーフローの脆弱性 があります。結果として、遠隔から第三者が Web ページや HTML 形式の電子 メールなどを経由して、ユーザの権限を取得する可能性があります。対象とな るのは以下のバージョンの Microsoft Windows です。 - Microsoft Windows 98 - Microsoft Windows 98 Second Edition - Microsoft Windows Me - Microsoft Windows NT Server 4.0 - Microsoft Windows NT Server 4.0, Terminal Server Edition - Microsoft Windows 2000 - Microsoft Windows XP - Microsoft Windows Server 2003 この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 HTML コンバータのバッファ オーバーランにより、コードが実行される (823559) (MS03-023) http://www.microsoft.com/japan/technet/security/bulletin/MS03-023.asp 関連文書 (英語) CERT Advisory CA-2003-14 Buffer Overflow in Microsoft Windows HTML Conversion Library http://www.cert.org/advisories/CA-2003-14.html [2] CIAC Bulletin N-115 Buffer Overrun in Microsoft Windows Could Lead to Data Corruption http://www.ciac.org/ciac/bulletins/n-115.shtml Microsoft Windows の SMB (Server Message Block) パケットの処理には、バッ ファオーバーフローの脆弱性があります。結果として、ローカルユーザが管理 者権限を取得する可能性があります。対象となるのは以下のバージョンの Microsoft Windows です。 - Microsoft Windows NT Server 4.0 - Microsoft Windows NT Server 4.0, Terminal Server Edition - Microsoft Windows 2000 - Microsoft Windows XP Professional この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 Windows のバッファ オーバーランによりデータが破損する (817606) (MS03-024) http://www.microsoft.com/japan/technet/security/bulletin/MS03-024.asp [3] CIAC Bulletin N-116 Flaw in Microsoft Windows Message Handling through Utility Manager Could Enable Privilege Elevation http://www.ciac.org/ciac/bulletins/n-116.shtml Microsoft Windows 2000 のユーティリティマネージャには、Windows メッセー ジの処理に脆弱性があります。結果として、ローカルユーザが管理者権限を取 得する可能性があります。この問題は、Microsoft が提供する修正プログラム を適用することで解決します。 関連文書 (日本語) マイクロソフト セキュリティ情報 ユーティリティ マネージャによる Windows メッセージ処理の問題により、権限が昇格する (822679) (MS03-025) http://www.microsoft.com/japan/technet/security/bulletin/MS03-025.asp [4] unzip の脆弱性に関する追加情報 JPCERT/CC REPORT 2003-07-09号でも紹介した、unzip の脆弱性に関する追加 情報です。 Turbolinux Security Advisory TLSA-2003-43 ファイルの上書き http://www.turbolinux.co.jp/security/TLSA-2003-42j.txt Debian Security Advisory DSA-344-1 unzip -- directory traversal http://www.debian.org/security/2003/dsa-344 関連文書 (日本語) JPCERT/CC REPORT 2003-07-09号 http://www.jpcert.or.jp/wr/2003/wr032701.txt [JPCERT/CC からのお知らせ] 次号の発行は 7月 24日(木)の予定です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2003 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPxSuGox1ay4slNTtAQG4uQP+NXA95fNm07iCT2YouPIAuW64cQkebZEP bbeJk+a3EBjZ/kqjCAz8wi9NL1lF1QhRiED/PXjGlL7OWnAZAXHaijYS0kvEPcEf JynxnaKLIZFi1lE4kaxtZTRtmDBw+UG/bUxz6/UG9/ly/AHXfQ64t5H34/dTuzEg SMUWvAzS5zU= =7zP2 -----END PGP SIGNATURE-----