-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-3601 JPCERT/CC 2004-09-15 <<< JPCERT/CC REPORT 2004-09-15 >>> これは JPCERT/CC が 9/5(日) から 9/11(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] WinZip にバッファオーバーフローの脆弱性 CIAC Bulletin O-211 Potential Buffer Overflows in WinZip http://www.ciac.org/ciac/bulletins/o-211.shtml WinZip 9.0 およびそれ以前には、コマンドラインからの入力処理にバッファ オーバーフローの脆弱性があります。結果として、ユーザが意図しないコード を実行してしまう可能性があります。この問題は、WinZip 9.0 SR-1 (もしく はそれ以降) に更新することで解決します。 関連文書 (英語) WinZip 9.0 Service Release 1 (SR-1) http://www.winzip.com/wz90sr1.htm [2] MacOS X に複数の脆弱性 CIAC Bulletin O-212 Apple Security Update http://www.ciac.org/ciac/bulletins/o-212.shtml Apple MacOS X には、バッファオーバーフローをはじめとする複数の脆弱性が あります。結果として、サービス運用妨害 (DoS) 攻撃、遠隔からの第三者に よるユーザ権限取得、ローカルユーザによる root 権限取得などの影響を受け る可能性があります。対象となるのは以下のバージョンです。 - Mac OS X 10.3.4 - Mac OS X 10.3.5 - Mac OS X Server 10.3.4 - Mac OS X Server 10.3.5 - Mac OS X 10.2.8 - Mac OS X Server 10.2.8 この問題は、Apple が提供するセキュリティアップデートをインストールする ことで解決します。 関連文書 (日本語) Apple Security Updates http://www.info.apple.com/kbnum/n61798-ja [3] LHA の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-09-08号の [3] でも紹介した、LHA の脆弱性に関する 追加情報です。 Vine Linux errata lhaにセキュリティホール http://vinelinux.org/errata/3x/20040911-1.html 関連文書 (日本語) JPCERT/CC REPORT 2004-09-08号 [3] http://www.jpcert.or.jp/wr/2004/wr043501.txt [4] Internet Week 2004 プログラム公開のお知らせ Internet Week 2004 〜ネットワーク技術者集結!〜 http://internetweek.jp/ 来たる 11/30(火) から 12/3(金) にわたって、パシフィコ横浜会議センター において Internet Week 2004 が開催されます。プログラムの詳細が上記 Web に掲載されました。参加受付の開始は 10/4(月) を予定しています。お問い合 わせは iw2004-info@nic.ad.jp までお願い致します。 今回 JPCERT/CC は、特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA) とインシデント情報共有・分析センター (Telecom-ISAC Japan) と共 催でカンファレンス「Security Day」を 12/1(水) に行ないます。カンファレ ンスの詳細については、以下の関連文書をご参照ください。 関連文書 (日本語) Security Day 〜右手に技術、左手にポリシー、心に愛〜 http://internetweek.jp/program/shosai.asp?progid=C3 [今週の一口メモ] * ノートパソコンや PDA を守るために 出張等の際にオフィス外で使用するノートパソコンや PDA が盗難され、その 結果として、そこに保存された情報が漏洩するなどの問題が発生しています。 このような被害を防ぐ、または被害を最低限に抑える、もしくは迅速な対応を 促すために、以下の点に注意することが推奨されます。 - ログオン (ログイン) パスワードを設定する - 常に肌身離さず携帯する - 所持していることを (必要以上に) 公に見せない (知らしめない) - 鞄に盗難防止の鍵やアラームなどを付ける - 盗難されたデータが何であるか後で確認できるように保存データを (定期 的に) バックアップしておく - 機密情報を必要以上に保存しておかない また機器をなくしたり、盗難されたりした場合には、警察やホテルの従業員ま たは会議スタッフなどに届け出るとともに、機密情報が含まれている場合には、 自組織の適切な部署に速やかに報告することが重要です。 参考文献 (英語) US-CERT Cyber Security Tip ST04-017 Protecting Portable Devices: Physical Security http://www.us-cert.gov/cas/tips/ST04-017.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQUebPYx1ay4slNTtAQERTAQA2yZRbBDDf26uOH4T7ya6F8XzNwgdDeCW RO//R91SnI/gnlFG9WZZwG1aRdfzw+rdqNXX6myqhZ4EFxY5UVpq/O8+zkuUT6EY 7mno339OK015UXRvcFki0P19O7Les/nOAFhmOoq2e8j1pmn55/L8gCs6YP9t9791 LIaKcahrUFc= =EDAZ -----END PGP SIGNATURE-----