-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2003-5001
                                                               JPCERT/CC
                                                              2003-12-17

                 <<< JPCERT/CC REPORT 2003-12-17 >>>

これは JPCERT/CC が 12/7(日) から 12/13(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin O-036
    CISCO Authentication Library in ACNS Vulnerability
    http://www.ciac.org/ciac/bulletins/o-036.shtml

Cisco ACNS (Application and Content Networking System) の認証モジュー
ルには、バッファオーバーフローの脆弱性があります。結果として、遠隔から
第三者が管理者権限を取得する可能性があります。対象となるのは、以下のバー
ジョンの ACNS です。

  - バージョン 4.2.11 より前
  - バージョン 5.0.5  より前

  ※ バージョン 5.1 にはこの問題が存在しないことが報告されています。

この問題は、ACNS をバージョン 4.2.11 (またはそれ以降) もしくは 5.0.5
(またはそれ以降) に更新することで解決します。

  関連文書 (英語)
    Cisco Security Advisory
    Vulnerability in Authentication Library for ACNS
    http://www.cisco.com/warp/public/707/cisco-sa-20031210-ACNS-auth.shtml


[2] CIAC Bulletin O-037
    Red Hat GnuPG Packages ElGamal Keys Vulnerability
    http://www.ciac.org/ciac/bulletins/o-037.shtml

GnuPG には、暗号化と署名兼用の ElGamal 鍵の生成および使用の方法に脆弱
性があります。結果として、秘密鍵が漏洩する可能性があります。

暗号化と署名兼用の ElGamal 鍵を使用している場合は、ElGamal 鍵を無効化
することを強くお勧めします。また、該当する鍵で署名あるいは暗号化したデー
タについても、新たに作成した鍵での再署名あるいは再暗号化を強くお勧めし
ます。

更に、ElGamal 鍵を使用していない場合にも、ElGamal 鍵を生成したり、使用
したりすることができない GnuPG パッケージに更新することをお勧めします。

  関連文書 (日本語)
    Red Hat Linux セキュリティアドバイス RHSA-2003:395-13
    ElGamal鍵を無効にしたgnupgのアップデート パッケージ
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-395J.html

    Red Hat Linux セキュリティアドバイス RHSA-2003:390-18
    gnupgパッケージのアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2003-390J.html

    Vine Linux errata
    gnupg にセキュリティホール
    http://vinelinux.org/errata/25x/20031205-1.html

  関連文書 (英語)
    GnuPG's ElGamal signing keys compromised
    http://lists.gnupg.org/pipermail/gnupg-announce/2003q4/000276.html


[3] CIAC Bulletin O-038
    CISCO Unity Vulnerabilities on IBM-based Servers
    http://www.ciac.org/ciac/bulletins/o-038.shtml

IBM ベースの Cisco Unity サーバの工場出荷時設定には、遠隔からログイン
可能なユーザが登録されたままになっているなどの脆弱性があります。結果と
して、遠隔から第三者が、そのユーザアカウントでログインする可能性があり
ます。対象となるのは IBM ベースのサーバのみであり、IBM 以外のプラット
フォームでは、この問題が存在しないことが報告されています。

この問題は、Cisco が公開している文書にしたがって不要なユーザアカウント
を削除するなどの方法で解決します。

  関連文書 (英語)
    Cisco Security Advisory
    Unity Vulnerabilities on IBM-based Servers
    http://www.cisco.com/warp/public/707/cisco-sa-20031210-unity.shtml


[4] CIAC Bulletin O-035
    Sun 'dtprintinfo(1)' CDE Print Viewer Vulnerability
    http://www.ciac.org/ciac/bulletins/o-035.shtml

Sun Solaris の dtprintinfo(1) には脆弱性があります。結果として、ローカ
ルユーザが root 権限を取得する可能性があります。対象となるのは以下のバー
ジョンの Solaris です。

  - Sun Solaris 2.6
  - Sun Solaris 7
  - Sun Solaris 8
  - Sun Solaris 9

この問題は、Sun が提供するパッチを適用することで解決します。

  関連文書 (日本語)
    # 57441, Security Sun Alert 日本語版
    Security Vulnerability in dtprintinfo(1)
    http://jp.sunsolve.sun.com/pub-cgi/retrieve.pl?doc=jsecalert/57441


[5] CERT/CC Vulnerability Note VU#325603
    Integer overflow vulnerability in rsync
    http://www.kb.cert.org/vuls/id/325603

JPCERT/CC REPORT 2003-12-10号でも紹介した、rsync に含まれる脆弱性に関
する追加情報です。

    SGI Security Advisory 20031202-01-U
    SGI Advanced Linux Environment security update #6
    ftp://patches.sgi.com/support/free/security/advisories/20031202-01-U.asc

  関連文書 (日本語)
    JPCERT/CC REPORT 2003-12-10号
    http://www.jpcert.or.jp/wr/2003/wr034901.txt


[6] SSL/TLS の実装に含まれる脆弱性に関する追加情報

JPCERT/CC REPORT 2003-10-08号でも紹介した、SSL/TLS の実装に含まれる脆
弱性に関する追加情報です。

    Oracle Technology Network セキュリティ・アラート
    CERT CA-2003-26 及び以前の SSL問題に対する SSLの更新
    http://otn.oracle.co.jp/security/

  関連文書 (日本語)
    JPCERT/CC REPORT 2003-10-08号
    http://www.jpcert.or.jp/wr/2003/wr034001.txt

    JPCERT/CC Vendor Status Note JVNCA-2003-26
    SSL/TLS の実装に複数の脆弱性
    http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-26.html


[7] JPCERT/CC インターネット定点観測システム
    2003/12/10-12/16 の概況
    http://www.jpcert.or.jp/isdas/

12/10(水) から公開している、インターネット定点観測システム (ISDAS) の
データが更新されました。今回は 12/10(水) から 12/16(火) の観測データを
紹介しています。



[JPCERT/CC からのお知らせ]

次号の発行は 12月 25日(木)の予定です。


[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2003 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBP9+x7Yx1ay4slNTtAQEXlAQAhaMbzrYu76aEJesaxM4U3Y895D5BW2uy
8x2kR29P6zPD1l64ybUoq9NEt4SR6sKJ6T11ULRramM8uUluzpu8a5os9sg5DJy4
Isabqs6tFBegiTDFTloS1x0P1vWmk4/EgU4j0ZIAXnNWp/aXBaqsxwia+8kxNUCm
TPfNVTg8dSo=
=Dle8
-----END PGP SIGNATURE-----