-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-3501 JPCERT/CC 2004-09-08 <<< JPCERT/CC REPORT 2004-09-08 >>> これは JPCERT/CC が 8/29(日) から 9/4(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Oracle 製品に含まれる複数の脆弱性 US-CERT Technical Cyber Security Alert TA04-245A Multiple Vulnerabilities in Oracle Products http://www.us-cert.gov/cas/techalerts/TA04-245A.html US-CERT Vulnerability Note VU#170830 Oracle Enterprise Manager contains several vulnerabilities http://www.kb.cert.org/vuls/id/170830 US-CERT Vulnerability Note VU#316206 Oracle Database Server contains several vulnerabilities http://www.kb.cert.org/vuls/id/316206 US-CERT Vulnerability Note VU#435974 Oracle Application Server contains several vulnerabilities http://www.kb.cert.org/vuls/id/435974 CIAC Bulletin O-209 Oracle Database Server Vulnerabilities http://www.ciac.org/ciac/bulletins/o-209.shtml Oracle のサーバ製品には、バッファオーバーフローなどの複数の脆弱性があ ります。結果として、データベースの情報が漏洩したり、サーバプログラムを 実行しているユーザの権限を遠隔から第三者が取得したりするなどの影響を受 ける可能性があります。対象となる製品の詳細については、以下の関連文書を 参照してください。 この問題は、Oracle が提供するパッチを適用することで解決します。今回 Oracle から公開されている情報には、複数製品に対する複数の脆弱性に対す る対応策が紹介されています。 関連文書 (日本語) JP Vendor Status Note JVNTA04-245A オラクル製品に複数の脆弱性 http://jvn.jp/cert/JVNTA04-245A.html Oracle Technology Network セキュリティ・アラート Oracle Server製品に関するセキュリティの脆弱性 http://support.oracle.co.jp/open/owa/external_krown2.show_text?c_document_id=88842&c_criterion= [2] Kerberos krb5 に含まれる複数の脆弱性 US-CERT Technical Cyber Security Alert TA04-247A Vulnerabilities in MIT Kerberos 5 http://www.us-cert.gov/cas/techalerts/TA04-247A.html US-CERT Vulnerability Note VU#795632 MIT Kerberos 5 ASN.1 decoding functions insecurely deallocate memory (double-free) http://www.kb.cert.org/vuls/id/795632 US-CERT Vulnerability Note VU#866472 MIT Kerberos 5 ASN.1 decoding function krb5_rd_cred() insecurely deallocates memory (double-free) http://www.kb.cert.org/vuls/id/866472 US-CERT Vulnerability Note VU#350792 MIT Kerberos krb524d insecurely deallocates memory (double-free) http://www.kb.cert.org/vuls/id/350792 US-CERT Vulnerability Note VU#550464 MIT Kerberos 5 ASN.1 decoding function asn1buf_skiptail() does not properly terminate loop http://www.kb.cert.org/vuls/id/550464 CIAC Bulletin O-208 Kerberos krb5 Vulnerabilities http://www.ciac.org/ciac/bulletins/o-208.shtml MIT Kerberos krb5 ライブラリおよび Key Distribution Center (KDC) プロ グラムには、メモリを二重に解放してしまったり、ASN.1 のデコード処理に無 限ループを発生させてしまったりする脆弱性があります。結果として、遠隔か ら第三者が root 権限を取得する可能性があります。 この問題は、対象となるプログラムおよびライブラリを krb5-1.3.5 (または それ以降) に更新することで解決します。また、使用している OS のベンダや 配布元が提供する修正済みのパッケージに更新することでも解決します。 更に、対象となるライブラリを静的にリンクしているプログラムについては、 ライブラリを更新後にプログラムを再構築する必要があります。 関連文書 (日本語) JP Vendor Status Note JVNTA04-247A MIT Kerberos 5 に複数の脆弱性 http://jvn.jp/cert/JVNTA04-247A.html Red Hat セキュリティアドバイス RHSA-2004:350-12 Updated krb5 packages fix security issues http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-350J.html Debian セキュリティ警告 DSA-543-1 krb5 -- 複数の欠陥 http://www.debian.org/security/2004/dsa-543.ja.html 関連文書 (英語) MIT krb5 Security Advisory 2004-002 double-free vulnerabilities in KDC and libraries http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-002-dblfree.txt MIT krb5 Security Advisory 2004-003 ASN.1 decoder denial of service http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2004-003-asn1.txt Sun Alert Notification 57631 Security Vulnerabilities in the Kerberos Key Distribution Center (KDC) Daemon and Kerberos V5 Libraries http://sunsolve.sun.com/search/document.do?assetkey=1-26-57631-1&searchclause=security Cisco Security Advisory Vulnerabilities in Kerberos 5 Implementation http://www.cisco.com/en/US/products/products_security_advisory09186a00802b3cf9.shtml Red Hat Security Advisory RHSA-2004:448-13 Updated krb5 packages fix security vulnerabilities https://rhn.redhat.com/errata/RHSA-2004-448.html [3] LHA にバッファオーバーフローの脆弱性 CIAC Bulletin O-210 LHA Packages Buffer Overflow Vulnerability http://www.ciac.org/ciac/bulletins/o-210.shtml LHA バージョン 1.14 およびそれ以前にはバッファオーバーフローなどの脆弱 性があります。結果として、遠隔から第三者が LHA アーカイブを経由して、 LHA を実行しているユーザの権限を取得する可能性があります。この問題は、 使用している OS のベンダや配布元が提供する修正済みのパッケージに更新す ることで解決します。 関連文書 (日本語) Red Hat セキュリティアドバイス RHSA-2004:323-09 An updated lha package fixes security vulnerability http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-323J.html Miracle Linux アップデート情報 lha セキュリティ 2004年9月6日 lha に複数のバッファ・オーバーフローの脆弱性 http://www.miraclelinux.com/support/update/data/lha.html [今週の一口メモ] * スパイウェア その2 スパイウェアをインストールされていないかどうかを調べる方法として、ウィ ルス検知ソフトウェアを使う方法があります。しかしながら、一般的にウィル ス検知ソフトウェアではスパイウェアのインストール自体を未然に防ぐことは 困難です。スパイウェアの存在の有無を調べるために、ウィルス検知ソフトウェ アによるコンピュータ内の全スキャンを、定期的に行なうように設定すること をお勧めします。 スパイウェアがインストールされている場合は、意図しない通信が行なわれて いる可能性があります。このような場合、Microsoft Windows では、以下の参 考文献で紹介している Port Reporter ツールを使って通信の状態を確認する ことができます。 参考文献 (英語) US-CERT Cyber Security Tip ST04-016 Recognizing and Avoiding Spyware http://www.us-cert.gov/cas/tips/ST04-016.html 参考文献 (日本語) JPCERT/CC REPORT 2004-09-01号の「一口メモ」 http://www.jpcert.or.jp/wr/2004/wr043401.txt マイクロソフト サポート技術情報 - 837243 Port Reporter ツールの概要と入手方法 http://support.microsoft.com/default.aspx?scid=kb;ja;837243&sd=tech [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQT5gvIx1ay4slNTtAQGsSgP8DplAMrRN/YBcEkmm7ONT8dGzdPGw40Kk QJMee/7YOOGJEGuGXiaDaQOqhbVdUo+aaxYo3upGnsOr2ir1dCQs5d0zmaiN8d6T +ayEOZD4VXC4qYiVcYj0yQLok48I7ytk5n2I1ZZZ034jYJqI/gajDIaR03RHTWG2 TTMIcfFCCBo= =YOIp -----END PGP SIGNATURE-----