-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-4001
                                                               JPCERT/CC
                                                              2004-10-14

                 <<< JPCERT/CC REPORT 2004-10-14 >>>

これは JPCERT/CC が 10/3(日) から 10/9(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Cyrus の SASL の実装に含まれる脆弱性

    CIAC Bulletin P-003
    Updated Cyrus-SASL Packages Fix Security Flaw
    http://www.ciac.org/ciac/bulletins/p-003.shtml

Cyrus の SASL (Simple Authentication and Security Layer) の実装には、
脆弱性があります。結果として、s-bit が設定されたアプリケーションを経由
して、ローカルユーザが root 権限など、他のユーザの権限を取得する可能性
があります。

この問題は、使用している OS のベンダや配布元が提供する、修正済みのパッ
ケージに更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2004:546-18
    Updated cyrus-sasl packages fix security flaw
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-546J.html

  関連文書 (英語)
    Debian Security Advisory DSA-563-1
    cyrus-sasl -- unsanitised input
    http://www.debian.org/security/2004/dsa-563.en.html


[2] 17th Annual FIRST Conference 開催と論文募集のお知らせ

    17th Annual FIRST Conference: About the conference
    http://www.first.org/conference/2005/

CSIRT (Computer Security Incident Response Team) の国際フォーラム 
FIRST (Forum of Incident Response and Security Teams) の年次総会が 
2005年6月26日(日) から 7月1日(金) にかけて、シンガポールのシャングリラ
ホテルで開催されます。

「セキュリティ」に関連する論文発表の申込受付を開始しました。締切は 
2004年12月30日(木) です。詳細については以下の関連文書をご参照ください。
また、論文や年次会合についてご質問のある方は office@jpcert.or.jp 宛に
ご連絡ください。

  関連文書 (英語)
    17th Annual FIRST Conference: Call for Papers
    http://www.first.org/conference/2005/papers.html



[今週の一口メモ]

* JPCERT/CC レポートで紹介しているセキュリティ関連情報について

基本的に以下のような基準を目安にして選定しています。

  - JVN (JP Vendor Status Notes) のうち「重要」と JPCERT/CC が判断したもの
  - US-CERT Technical Cyber Security Alert
  - US-CERT Vulnerability Notes のうち「重要」と JPCERT/CC が判断したもの
  - CIAC Information Bulletin のうち、Vulnerability Assessment が 
    MEDIUM 以上のもの
  - CIAC Technical Bulletin
  - JPCERT/CC が主催するセキュリティ関連イベントの情報
  - その他関連組織が公開した情報 (TIPS などを含む)

ただし、これらはあくまで目安であり、実際にはその都度掲載の有無を検討し
ています。

  参考文献 (日本語)
    JP Vendor Status Notes - JP
    http://jvn.jp/jp/

  参考文献 (英語)
    Technical Cyber Security Alerts
    http://www.us-cert.gov/cas/techalerts/

    US-CERT Vulnerability Notes
    http://www.kb.cert.org/vuls/

    CIAC Bulletins
    http://www.ciac.org/cgi-bin/index/bulletins



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQW3Wsox1ay4slNTtAQEORAQA4/LrETkaCpBUlyYcQmkh0ZrbK2Qo/LI1
Ux+0Yy/on6RNYVTt07PMhnH4B22C25agBZdsP7YXhtKAUajGzNV7he9YXlGSnBTA
D0TNgJZRKhkUe9q160OXCCEnqWSpVPY/24EGafC+iuDScKqFMMtapITuuo2Pm2w6
JLXBkicGEMw=
=cbSf
-----END PGP SIGNATURE-----