-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-3901 JPCERT/CC 2004-10-06 <<< JPCERT/CC REPORT 2004-10-06 >>> これは JPCERT/CC が 9/26(日) から 10/2(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] SSL-VPN 製品における Cookie の脆弱性 JP Vendor Status Notes - JP - JVN#67B82FA3 SSL-VPN製品におけるCookieの脆弱性 http://jvn.jp/jp/JVN%2367B82FA3.html SSL-VPN 製品のいくつかには、Cookie の扱いに脆弱性があります。結果とし て、SSL のクライアント認証を使用せずに、ユーザ名とパスワードのみで認証 するモードを使用している場合に、Cookie に格納された情報が盗聴され、ロ グインセッションを乗っ取られる可能性があります。 この問題を解決する方法の詳細については、上記文書から参照している製品ベ ンダの情報などをご参照ください。 [2] Apache HTTP Server 2.0.51 の脆弱性 CIAC Bulletin O-221 Apache HTTP Server 2.0.52 Released http://www.ciac.org/ciac/bulletins/o-221.shtml Apache HTTP Server バージョン 2.0.51 には、Satisfy ディレクティブの処 理に脆弱性があります。結果として、遠隔から第三者がアクセス認証を回避し て、制限されたリソースにアクセスする可能性があります。 この問題は Apache HTTP Server をバージョン 2.0.52 (またはそれ以降) に 更新することで解決します。 関連文書 (日本語) Apache HTTP Server Project Apache HTTP Server 2.0.52 リリース http://www.apache.org/dist/httpd/Announcement2.html.ja [3] RealPlayer に複数の脆弱性 RealPlayer、RealOne Player および Helix Player には複数の脆弱性があり ます。結果として、遠隔から第三者が Web ページや RM ファイルを経由して、 任意のコードを実行する可能性があります。対象となるバージョンの詳細につ いては下記関連文書をご参照ください。 この問題は、RealNetworks が提供するアップデートをインストールすること で解決します。 関連文書 (日本語) カスタマー サポート - RealOne セキュリティ アップデート RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://www.service.real.com/help/faq/security/040928_player/JA/ 関連文書 (英語) CIAC Bulletin O-223 RealNetworks, Inc. Releases Update to Address Security Vulnerabilities http://www.ciac.org/ciac/bulletins/o-223.shtml [4] Internet Week 2004 http://internetweek.jp/ 11/30(火) から 12/3(金) に渡って、パシフィコ横浜会議センターで開催され る Internet Week 2004 の参加申込の受付が始まりました。締切は 11/19(金) 18:00 です。 Internet Week 2004 事務局は、登録事務局および登録受付業務を、プロアク ティブ・コンベンション株式会社に委託しています。プロアクティブ・コンベ ンション株式会社は、Internet Week 2004 の参加申込手続きを、同社の管理 するサーバ www.conference.jp 上で行っています。 参加申込についてのお問合せは iw2004@pac.ne.jp までお願いします。また、 Internet Week 2004 の運営全般についてのお問い合わせは iw2004-info@nic.ad.jp までお願いします。 関連文書 (日本語) Security Day 〜右手に技術、左手にポリシー、心に愛〜 http://internetweek.jp/program/shosai.asp?progid=C3 [今週の一口メモ] * JVN (JP Vendor Status Notes) JVN とは、経済産業省告示「ソフトウェア等脆弱性関連情報取扱基準」を受け て、日本国内の製品開発者の脆弱性対応状況を公開するサイトです。JVN は、 JPCERT/CC と独立行政法人 情報処理推進機構 (IPA) により、本年 7月から共 同で運営されています。 IPA に報告された脆弱性情報のうち、2004年10月5日 (日本時間) 現在、3件が 国内外のベンダなどとの調整の後に公開され、JVN に掲載されています。 参考文献 (日本語) JPCERT/CC 脆弱性情報コーディネーション概要 http://www.jpcert.or.jp/vh/ 経済産業省 「情報セキュリティ早期警戒パートナーシップ」の運用開始について http://www.meti.go.jp/policy/it_policy/press/0005399/ [JPCERT/CC からのお知らせ] 次号の発行は 10月 14日(木)の予定です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQWNK4Yx1ay4slNTtAQHN0AP7BBIrg//5SlRcA0Z7IVPwIJWtBLJuADVK dq3xFV5dabFCte/al8s6s4BNw4e9TsJWjvEpoLCagUZkjcpShFQa+qlwUqYL6HWa G6Dhn7es48ktnSgMD4YDy4nE8a0pkjazPR2d5It0hn/9IbyXEWhPi99JgjhyCvEy 1KSpkBJDX6w= =+Z3l -----END PGP SIGNATURE-----