-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-0801
                                                               JPCERT/CC
                                                              2005-02-23

                 <<< JPCERT/CC REPORT 2005-02-23 >>>

これは JPCERT/CC が 2/13(日) から 2/19(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] HP Web-enabled マネージメントソフトウェアのバッファオーバーフローの脆弱性

    CIAC Bulletin P-141
    HP Web-enabled Management Software Vulnerability
    http://www.ciac.org/ciac/bulletins/p-141.shtml

HP Web Based Management Products の一部である、HP HTTP Server バージョ
ン 5.95 およびそれ以前には、バッファオーバーフローの脆弱性があります。
結果として、遠隔から第三者が管理者権限を取得する可能性があります。

この問題は、HP HTTP Server をバージョン 5.96 またはそれ以降に更新する
などの方法で解決します。

  関連文書 (日本語)
    HP Webベース マネジメント ソフトウェア セキュリティ パッチ for Windows 
    http://h18023.www1.hp.com/support/files/Server/jp/download/22192.html


[2] XPDF、GPDF、CUPS のバッファオーバーフローの脆弱性

    CIAC Bulletin P-142
    XPDF/GPDF - CUPS Vulnerabilities
    http://www.ciac.org/ciac/bulletins/p-142.shtml

xpdf、gpdf および cups にはバッファオーバーフローの脆弱性があります。
結果として、遠隔から第三者が PDF ファイルなどを経由して、xpdf や gpdf 
を実行しているユーザの権限、またはプリンタユーザ (例えば lp) の権限を
取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに更新することで解決します。

  関連文書 (英語)
    Red Hat Security Advisory RHSA-2005:132-09
    Important: cups security update
    https://rhn.redhat.com/errata/RHSA-2005-132.html

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2005:053-19
    Important: CUPS security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-053J.html

    Debian セキュリティ警告
    DSA-648-1 xpdf -- バッファオーバフロー
    http://www.debian.org/security/2005/dsa-648

    Turbolinux Security Advisory TLSA-2005-1
    xpdf バッファオーバーフロー
    http://www.turbolinux.co.jp/security/2005/TLSA-2005-3j.txt

    Turbolinux Security Advisory TLSA-2005-25
    cups に複数の弱点
    http://www.turbolinux.co.jp/security/2005/TLSA-2005-25j.txt


[3] AWStats の複数の脆弱性

    CIAC Bulletin P-140
    AWStats Vulnerabilities
    http://www.ciac.org/ciac/bulletins/p-140.shtml

Advanced Web Statistics (AWStats) には、入力を適切にサニタイズしないな
どの複数の脆弱性があります。結果として、遠隔から第三者が Web サーバを
実行しているユーザの権限を取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに AWStats を更新することで解決します。

  関連文書 (日本語)
    Debian セキュリティ警告 DSA-682-1
    awstats -- 入力に対するサニタイジングの欠落
    http://www.debian.org/security/2005/dsa-682.ja.html



[今週の一口メモ]

* ユーザアカウントの整理

年度末を控え、ユーザアカウント管理ポリシーや実際の作業手順等を再確認す
ることを強くお勧めします。その際、アカウントの廃止・発給などの管理作業
が大量に発生することや担当者の異動なども考慮して、整理に際して不備がな
いよう確認することが重要です。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQhvcqox1ay4slNTtAQHtbAQAg1rb24PNQkvwE5YptOKl5aEaPz43dgKk
CjbAadZD/cOv+mP953Q66HxIcDJTVuiyK4LTNremsJfMb+GQu3do4WHsXZZNmF9g
FDwCb2DKRU9w/HS7uKXbt8yskuWb16yDiPXnVH6mfOp9mgrBMb12hILHgrtaY+AL
5cDuNr1yj2M=
=1B8s
-----END PGP SIGNATURE-----