-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-3801
                                                               JPCERT/CC
                                                              2004-09-29

                 <<< JPCERT/CC REPORT 2004-09-29 >>>

これは JPCERT/CC が 9/19(日) から 9/25(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] sudo に情報漏えいの脆弱性

    CIAC Bulletin O-219
    Sudo - "Sudoedit" Vulnerabilities
    http://www.ciac.org/ciac/bulletins/o-219.shtml

sudo バージョン 1.6.8 には -e オプションの処理に情報漏えいの脆弱性があ
ります。結果として、ローカルユーザが root 権限を取得する可能性がありま
す。この問題は、sudo バージョン 1.6.8p1 に更新することで解決します。

バージョン 1.6.8 以外には、この問題が存在しないことが報告されています。

  関連文書 (英語)
    Sudoedit can expose file contents
    http://www.sudo.ws/sudo/alerts/sudoedit.html


[2] JPCERT/CC PGP 鍵への UserID 追加のお知らせ

    JPCERT/CC PGP 公開鍵
    http://www.jpcert.or.jp/jpcert.asc

JPCERT/CC の PGP 鍵の UserID として、これまでの info@jpcert.or.jp に加
えて office@jpcert.or.jp を追加しました。UserID が追加された以外、鍵の
属性に変更はありません。

    Key ID: 0x2C94D4ED
    Key Type: RSA
    Expires: never
    Key Size: 1024
    Key fingerprint: BA F4 D9 FA B8 FB F0 73  57 EE 3C 2B 13 F0 48 B8

鍵を認証するには、JPCERT/CC のパンフレットや JPCERT/CC スタッフの名刺
に記載された fingerprint を使うなどの方法があります。

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-06-30号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr042501.txt


[3] CERT/CC PGP 鍵更新のお知らせ

    New CERT Coordination Center (CERT/CC) PGP Key
    http://www.cert.org/pgp/newpgp2004.html

米国 CERT/CC の PGP 鍵が更新されました。新しい鍵は 2005年10月1日(土) 
まで有効です。



[今週の一口メモ]

* 電子署名

電子署名の技術として広く使われている PGP などでは、秘密鍵と公開鍵の対
を用います。

  - 秘密鍵/個人鍵 (Secret Key/Private Key)
      ユーザ本人が実際に署名をしたり、暗号化された情報を復号したりする
      際に用います。使用する際にはパスフレーズ (パスワード) が必要です。
      また決して他人に渡してはいけません。

  - 公開鍵 (Public Key)
      本人以外のユーザが、電子署名を検証したり、情報を暗号化したりする
      際に用います。公開鍵サーバなどに登録するなどして一般に公開するこ
      とができます。

  参考文献 (日本語)
    JPCERT/CC REPORT 2004-06-16号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr042301.txt

    JPCERT/CC REPORT 2004-06-30号の「一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr042501.txt

  参考文献 (英語)
    US-CERT Cyber Security Tip ST04-018
    Understanding Digital Signatures
    http://www.us-cert.gov/cas/tips/ST04-018.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQVoQMIx1ay4slNTtAQEp2QP8DRS4zvvRFZQRbyTxhFuWwlDWuRf1LN6f
BlVriCdq3c5ZyWqNb0QiN/HXSnO9NpEzMcLGH+8WbLEvQpvwtfrf28lLRg/0BWva
gRf2cuPFGeW/2Z8xfrlfJlZuzAEdLtD65Ohz/7bkrsBklCU7sjEc7EWX6tbjGFT6
0sdSPzD5WEg=
=Jw/v
-----END PGP SIGNATURE-----