-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2003-4701 JPCERT/CC 2003-11-27 <<< JPCERT/CC REPORT 2003-11-27 >>> これは JPCERT/CC が 11/16(日) から 11/22(土) の間に得たセキュリティ関 連情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin O-027 Red Hat Updated XFree86 Packages Provide Security and Bug Fixes http://www.ciac.org/ciac/bulletins/o-027.shtml XFree86 のフォントライブラリには、バッファオーバーフローの脆弱性があり ます。また XFree86 の xdm には、Pluggable Authentication Modules (PAM) の処理やセッションクッキーの生成処理に脆弱性があります。結果として、ロー カルユーザが root 権限を取得するなどの影響を受ける可能性があります。 この問題は、使用している OS のベンダや配布元などが提供する修正済みのパッ ケージに更新することで解決します。 関連文書 (日本語) Red Hat Linux セキュリティアドバイス RHSA-2003:288-05 XFree86パッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-288J.html Red Hat Linux セキュリティアドバイス RHSA-2003:289-07 セキュリティとバグを修正したXFree86のアップデート パッケージ http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-289J.html 関連文書 (英語) Red Hat Security Advisory RHSA-2003:287-05 Updated XFree86 packages provide security and bug fixes https://rhn.redhat.com/errata/RHSA-2003-287.html Debian Security Advisory DSA-380-1 xfree86 -- buffer overflows, denial of service http://www.debian.org/security/2003/dsa-380.en.html [2] CIAC Bulletin O-029 Sun Security Vulnerability on Sun Systems with a PGX32 Frame Buffer http://www.ciac.org/ciac/bulletins/o-029.shtml Sun Solaris には、PGX32 フレームバッファに関連したライブラリに脆弱性が あります。結果として、ローカルユーザが root 権限を取得する可能性があり ます。対象となるのは、以下の Sun Solaris です。 - Sun Solaris 2.5.1 (SPARC 版) - Sun Solaris 2.6 (SPARC 版) - Sun Solaris 7 (SPARC 版) - Sun Solaris 8 (SPARC 版) - Sun Solaris 9 (SPARC 版) ※ x86 版にはこの脆弱性が存在しないことが報告されています。 この問題は、Sun が提供するパッチを適用することで解決します。 関連文書 (日本語) # 57360, Security Sun Alert 日本語版 Security Vulnerability on Sun Systems With a PGX32 Frame Buffer http://jp.sunsolve.sun.com/pub-cgi/retrieve.pl?doc=jsecalert/57360 [3] CIAC Bulletin O-028 Hewlett Packard dtmailpr http://www.ciac.org/ciac/bulletins/o-028.shtml HP-UX の dtmailpr には、バッファオーバーフローの脆弱性があります。結果 として、ローカルユーザが root 権限を取得する可能性があります。対象とな るのは以下のリリースの HP-UX です。 - HP-UX リリース B.11.00 - HP-UX リリース B.11.11 - HP-UX リリース B.11.22 - HP-UX リリース B.11.23 この問題は、HP が提供するパッチを適用することで解決します。 関連文書 (日本語) HEWLETT-PACKARD COMPANY セキュリティ報告: HPSBUX0311-300 SSRT3667 dtmailpr http://www3.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0311-300.html [4] Internet Week 2003 http://internetweek.jp/ 12/2(火) から 12/5(金) にパシフィコ横浜会議センターで開催される Internet Week 2003 の事前参加申込が締め切られました。事前参加申込をさ れていない方で参加をご希望の場合は当日受付をご利用ください。詳細につき ましては Internet Week 2003 の Web サイト http://internetweek.jp/ をご 参照ください。お問い合わせは iw2003-info@nic.ad.jp までお願いします。 この Internet Week 2003 のメインプログラムとして、JPCERT/CC が JNSA (特定非営利活動法人日本ネットワークセキュリティ協会) との共催で行なう 「Security Day 〜技術だけでは守れない〜」の内容は以下のとおりです。 10:00-10:10 開催挨拶 10:10-11:10 基調講演1「セキュリティ管理と高信頼性組織の構築」 奈良先端科学技術大学院大学 山口英教授 11:10-11:50 JNSA 全体活動報告 11:50-12:30 JPCERT/CC 全体活動報告 12:30-14:00 昼休み 14:00-15:00 基調講演2「法律から見たITセキュリティ」 牧野二郎弁護士 15:00-15:40 JPCERT/CC 定点観測事業報告 15:40-16:00 休憩 16:00-17:30 JNSA WG 報告 (ハニーポット、セキュリティ被害調査) 17:30-18:00 休憩 18:00-20:00 BOF「眠れない夏、オペレータの戦い」 今夏の CISCO IOS の脆弱性や Blaster/Nachi ワームの蔓延 などを踏まえ、「オペレータにとっての脆弱性情報の流通」 をテーマに会場の皆様を交えたディスカッションを行なう。 モデレータ: 水越 一郎 (JPCERT/CC) 登壇者(順不同): 三ツ木絹子 氏 (MEX) 白橋 明弘 氏 (ネットワンシステムズ) 佐藤 慶浩 氏 (日本 HP) 寺田 真敏 氏 (日立/慶應) その他、詳細は以下の URL で示される Web ページをご参照ください。 Security Day 〜技術だけでは守れない〜 http://internetweek.jp/01/program/shosai.asp?progid=M7 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2003 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBP8VWDox1ay4slNTtAQFw1QP/T9Yo9D5cqnD/B1JwomSvaSu52uuHndQF XRy5955I50VlwV9xwSTavlK3WiLc5oi1trkcD1W28dcp5mZCThOecrrD3ezdHVgc ac9JjE+cjtTgmkenRT8gw9fzCfiirQR8ZLBy80LWzG05WbwrqlPBdH8F7HWruokq e6gRAOBHauk= =CHqP -----END PGP SIGNATURE-----