-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-1801
                                                               JPCERT/CC
                                                              2005-05-11

                 <<< JPCERT/CC REPORT 2005-05-11 >>>

これは JPCERT/CC が 4/24(日) から 5/7(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Firefox および Mozilla Suite の脆弱性

    US-CERT Vulnerability Note VU#973309
    Mozilla may execute JavaScript with elevated privileges when defined in site icon tag
    http://www.kb.cert.org/vuls/id/973309

    CIAC Bulletin P-193
    Mozilla Security Bugs
    http://www.ciac.org/ciac/bulletins/p-193.shtml

Firefox および Mozilla Suite には、javascript: 形式の URL の処理に脆弱
性があります。結果として、遠隔から第三者が Firefox および Mozilla
Suite を実行しているユーザの権限を取得する可能性があります。対象となる
のは以下のバージョンです。

  - Firefox 1.0.2 およびそれ以前
  - Mozilla Suite 1.7.6 およびそれ以前

この問題は、以下のバージョンに更新することで解決します。

  - Firefox 1.0.3 (またはそれ以降)
  - Mozilla Suite 1.7.7 (またはそれ以降)

 ※ Mozilla Foundation は 2005年5月8日、Firefox 1.0.3 (およびそれ以前) 
    と Mozilla Suite 1.7.7 (およびそれ以前) にも javascript: 形式の 
    URL の処理に別の脆弱性が存在することを発表しました。修正されたバー
    ジョンが公開されるまでの一時的な回避策としては、JavaScript および
    ソフトウェアインストールを無効にすることが推奨されています。詳細に
    ついては以下の文書をご参照ください。

    Mozilla Foundation セキュリティアドバイザリ 2005-42
    「javascript:」形式の iconURL を通じたコードの実行
    http://www.mozilla-japan.org/security/announce/mfsa2005-42.html

  関連文書 (日本語)
    Mozilla Foundation セキュリティアドバイザリ 2005-37
    "javascript:" 形式の favicon を通じたコードの実行
    http://www.mozilla-japan.org/security/announce/mfsa2005-37.html

    Red Hat セキュリティアドバイス RHSA-2005:386-08
    重要（Important）：Mozillaのセキュリティアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-386J.html

    Turbolinux Security Advisory TLSA-2005-49
    mozilla に複数の弱点
    http://www.turbolinux.co.jp/security/2005/TLSA-2005-49j.txt


[2] HP OpenView Network Node Manager の脆弱性

    CIAC Bulletin P-198
    HP OpenView Network Node Manager (OV NNM) Remote Unauthorized Privileged Code Execution, Denial of Service (DoS)
    http://www.ciac.org/ciac/bulletins/p-198.shtml

HP OpenView Network Node Manager (OV NNM) には脆弱性があります。結果と
して、遠隔から第三者が管理者権限を取得する可能性があります。対象となる
のは以下のバージョンです。

  - OpenView Network Node Manager (OV NNM) 6.2, 6.4, 7.01, 7.50
    HP-UX, Solaris, Windows NT, Windows 2000, Windows XP および Linux 版

この問題は HP が提供するセキュリティパッチを適用することで解決します。


[3] HP OpenView Event Correlation Services の脆弱性

    CIAC Bulletin P-199
    HP OpenView Event Correlation Services (OV ECS) Remote Unauthorized Privileged Code Execution, Denial of Service (DoS)
    http://www.ciac.org/ciac/bulletins/p-199.shtml

HP OpenView Event Correlation Services (OV ECS) には脆弱性があります。
結果として、遠隔から第三者が管理者権限を取得する可能性があります。対象
となるのは以下のバージョンです。

  - OpenView Event Correlation Services (OV ECS) バージョン 3.32 および 3.33
    HP-UX, Solaris, Windows NT, Windows 2000, Windows XP および Linux 版

この問題は HP が提供するセキュリティパッチを適用することで解決します。


[4] Apple Mac OS X に複数の脆弱性

    CIAC Bulletin P-200
    Apple Security Update 2005-005
    http://www.ciac.org/ciac/bulletins/p-200.shtml

Apple Mac OS X には複数の脆弱性があります。結果として、ローカルユーザ
が root 権限を取得する可能性があります。この問題は、Apple が提供する修
正済みのソフトウェアに更新することで解決します。

  関連文書 (英語)
    About Security Update 2005-005
    http://www.info.apple.com/kbnum/n301528


[5] OpenOffice.org オフィススイートのバッファオーバーフローの脆弱性

    CIAC Bulletin P-192
    OpenOffice.org Buffer Overflow Vulnerability
    http://www.ciac.org/ciac/bulletins/p-192.shtml

OpenOffice.org オフィススイートには、DOC ファイルの処理にバッファオー
バーフローの脆弱性があります。結果として、遠隔から第三者が DOC ファイ
ルを経由して、OpenOffice.org オフィススイートを実行しているユーザの権
限を取得する可能性があります。

この問題は、使用している OS のベンダもしくは配布元が提供する修正済みの
パッケージに OpenOffice.org オフィススイートを更新することで解決します。

  関連文書 (日本語)
    OpenOffice.org セキュリティアップデート
    http://ja.openoffice.org/1.1.4/security.html

    Red Hat セキュリティアドバイス RHSA-2005:375-07
    重要（Important）：openoffice.orgのセキュリティアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-375J.html

    Vine Linux errata
    openoffice.org にセキュリティホール
    http://vinelinux.org/errata/3x/20050430-2.html


[6] KDE ライブラリの複数の脆弱性

    CIAC Bulletin P-191
    KDE Image File Format Reader Vulnerabilities
    http://www.ciac.org/ciac/bulletins/p-191.shtml

KDE のライブラリには、PCX およびその他の画像ファイル形式の読み込み処理
に複数の脆弱性があります。結果として、遠隔から第三者が画像ファイルを経
由して、ユーザの権限を取得する可能性があります。

この問題は、使用している OS のベンダもしくは配布元が提供する修正済みの
パッケージにライブラリを更新することで解決します。

  関連文書 (英語)
    Debian Security Advisory DSA-714-1
    kdelibs -- several vulnerabilities
    http://www.debian.org/security/2005/dsa-714.en.html


[7] HP OpenView Radia Management Portal および Agent の脆弱性

    CIAC Bulletin P-196
    HP OpenView Radia Management Portal and Agent Vulnerability
    http://www.ciac.org/ciac/bulletins/p-196.shtml

HP OpenView Radia Management Portal (RMP) バージョン 2.x および 1.x に
は、Radia Management Agent (RMA) を稼働させている際に脆弱性があります。
結果として、遠隔から第三者がアクセス権限を取得したり、サービス運用妨害 
(DoS) 攻撃をしたりする可能性があります。この問題は、HP が提供するセキュ
リティパッチを適用することで解決します。


[8] sharutils のバッファオーバーフローの脆弱性

    CIAC Bulletin P-194
    Buffer Overflow in “sharutils”
    http://www.ciac.org/ciac/bulletins/p-194.shtml

sharutils パッケージには、バッファオーバーフローの脆弱性があります。結
果として、遠隔から第三者が偽造したコマンドなどを経由して、ユーザの権限
を取得する可能性があります。

この問題は、使用している OS のベンダもしくは配布元が提供する修正済みの
パッケージに sharutils を更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2005:377-07
    低（Low）：sharutilsのセキュリティアップデート
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-377J.html

    Turbolinux Security Advisory TLSA-2005-54
    sharutils に複数の弱点
    http://www.turbolinux.co.jp/security/2005/TLSA-2005-54j.txt


[9] Oracle の脆弱性に関する追加情報

JPCERT/CC REPORT 2005-04-20号の [3] でも紹介した Oracle の脆弱性に関す
る追加情報です。

    US-CERT Technical Cyber Security Alert TA05-117A
    Oracle Products Contain Multiple Vulnerabilities
    http://www.us-cert.gov/cas/techalerts/TA05-117A.html

    US-CERT Vulnerability Note VU#948486
    Oracle products contain multiple vulnerabilities
    http://www.kb.cert.org/vuls/id/948486

    US-CERT Vulnerability Note VU#982109
    Oracle contains multiple SQL injection vulnerabilities
    http://www.kb.cert.org/vuls/id/982109

    JP Vendor Status Notes JVNTA05-117A
    オラクル製品に複数の脆弱性
    http://jvn.jp/cert/JVNTA05-117A/

  関連文書 (日本語)
    JPCERT/CC REPORT 2005-04-20号 [3]
    http://www.jpcert.or.jp/wr/2005/wr051601.txt

    Oracle Technology Network セキュリティアラート
    http://otn.oracle.co.jp/security/

  関連文書 (英語)
    Oracle Technology Network
    Critical Patch Update - April 2005
    http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf


[10] ICT オペレーション業務の信頼性マネジメントに関する調査

JPCERT/CC は明治大学社会科学研究所 HRO 研究チームとともに「高信頼性社
会を支える高信頼性組織に関する研究」を行なっており、その一環として、
ICT (情報通信技術) 分野におけるオペレーション業務の特性、および信頼性
に関わる組織的要因を把握することを目的とした調査を行なうことになりまし
た。本調査 (アンケート) へのご協力をお願いします。アンケートは Web を
通じて行ないます。URL は以下の通りです。

    ＩＣＴオペレーション業務の信頼性マネジメントに関する調査
    https://research.www.infoseek.co.jp/r/q.phtml/48oZ6ap5H7iXd5z6+etQSQFXoQ==

本アンケートは 5月20日(金) まで行なう予定です。



[今週の一口メモ]

* フリーメールサービス

「フリーメールサービス」を使用するにあたって以下の点に注意することが推
奨されます。

  - 通信経路

    ログイン名、パスワードおよびメールデータの通信が平文で行われると、
    第三者に中身を読み取られる可能性があります。可能な場合には SSL な
    どを用いた暗号化通信を利用することを推奨します。

  - プライバシー

    サービスプロバイダによっては利用者に関する「情報」を売ることで収入
    を得ている場合があります。利用する前には必ずプロバイダの提供するプ
    ライバシポリシーや契約内容などを確認してください。

  - 可用性

    利用環境に対する制限に関して、自分が必要としているサービスが受けら
    れることを確認してください。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST05-009
    Benefits and Risks of Free Email Services
    http://www.us-cert.gov/cas/tips/ST05-009.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQoFgN4x1ay4slNTtAQFM0gP/WAFlimdahcPkEzM4cscjNG6PWfRzbLR4
6KoXrOsrxTeirpeenEJRGj4tt613w5wMcmAvpboHb08SDMvnG+5FpbZPJTZ93YTy
mCO5M4oPaAY5DK5PZCVjEQZGMMP+xExXZ8X0iRLnMN2iMRJN/ByPAcc+8LuXFD4u
BA4DiwPZI6E=
=1hMs
-----END PGP SIGNATURE-----