-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-3201
                                                               JPCERT/CC
                                                              2005-08-17

                 <<< JPCERT/CC REPORT 2005-08-17 >>>

これは JPCERT/CC が 8/7(日) から 8/13(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Windows と Internet Explorer の脆弱性

    US-CERT Technical Cyber Security Alert TA05-221A
    Microsoft Windows and Internet Explorer Vulnerabilities
    http://www.us-cert.gov/cas/techalerts/TA05-221A.html

    US-CERT Cyber Security Alert SA05-221A
    Microsoft Windows and Internet Explorer Vulnerabilities
    http://www.us-cert.gov/cas/alerts/SA05-221A.html

    US-CERT Vulnerability Note VU#965206
    Microsoft Internet Explorer JPEG rendering library vulnerable to buffer overflow
    http://www.kb.cert.org/vuls/id/965206

    US-CERT Vulnerability Note VU#959049
    Several COM objects cause memory corruption in Microsoft Internet Explorer
    http://www.kb.cert.org/vuls/id/959049

    US-CERT Vulnerability Note VU#998653
    Microsoft Plug and Play contains a buffer overflow vulnerability
    http://www.kb.cert.org/vuls/id/998653

    US-CERT Vulnerability Note VU#490628
    Microsoft Windows Remote Desktop Protocol service input validation vulnerability
    http://www.kb.cert.org/vuls/id/490628

    US-CERT Vulnerability Note VU#220821
    Microsoft Print Spooler service contains a buffer overflow
    http://www.kb.cert.org/vuls/id/220821

    CIAC Bulletin P-265
    Microsoft Cumulative Update for Internet Explorer
    http://www.ciac.org/ciac/bulletins/p-265.shtml

    CIAC Bulletin P-266
    Microsoft Plug and Play Vulnerability
    http://www.ciac.org/ciac/bulletins/p-266.shtml

    CIAC Bulletin P-267
    Vulnerability in Printer Spooler Service
    http://www.ciac.org/ciac/bulletins/p-267.shtml

    CIAC Bulletin P-268
    Vulnerability in Telephony Service
    http://www.ciac.org/ciac/bulletins/p-268.shtml

    CIAC Bulletin P-269
    Vulnerabilities in Kerberos
    http://www.ciac.org/ciac/bulletins/p-269.shtml

Microsoft Windows および Internet Explorer には、バッファオーバーフロー
をはじめとした複数の脆弱性があります。結果として、遠隔から第三者が管理
者権限を取得するなど、様々な影響を受ける可能性があります。対象となる製
品およびバージョンの詳細については上記文書および下記関連文書をご参照く
ださい。

この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ
とで解決します。

なお、上記脆弱性のうちの一部を使って伝播するワーム (Zotob) の存在が確
認されています。速やかな対応を強くお勧めします。

  関連文書 (日本語)
    JPCERT/CC Alert 2005-08-10
    Microsoft 製品に含まれる脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050007.txt

    JPCERT/CC Alert 2005-08-15
    Microsoft 製品の脆弱性を使って伝播するワームに関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050008.txt

    JP Vendor Status Notes JVNTA05-221A
    Microsoft Windows と Internet Explorer に関する脆弱性
    http://jvn.jp/cert/JVNTA05-221A/

    独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
    Microsoft プラグアンドプレイの脆弱性(MS05-039) について
　  http://www.ipa.go.jp/security/ciadr/vul/20050815-ms05-039.html

    独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)
    新種ワーム「W32/Zotob」に関する情報
    http://www.ipa.go.jp/security/topics/newvirus/zotob.html

    2005 年 8 月のセキュリティ情報
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-aug.mspx

    マイクロソフトセキュリティアドバイザリ (899588)
    プラグアンドプレイの脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる
    http://www.microsoft.com/japan/technet/security/advisory/899588.mspx

    マイクロソフト セキュリティ情報
    Zotob に関する情報
    http://www.microsoft.com/japan/security/incident/zotob.mspx

    マイクロソフト セキュリティ情報
    Internet Explorer 用の累積的なセキュリティ更新プログラム (896727) (MS05-038)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-038.mspx

    マイクロソフト セキュリティ情報
    プラグ アンド プレイ の脆弱性により、リモートでコードが実行され、特権の昇格が行なわれる (899588) (MS05-039)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-039.mspx

    マイクロソフト セキュリティ情報
    印刷スプーラの脆弱性により、リモートでコードが実行される (896423) (MS05-043)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-043.mspx

    マイクロソフト セキュリティ情報
    テレフォニー サービスの脆弱性により、リモートでコードが実行される (893756) (MS05-040)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-040.mspx

    マイクロソフト セキュリティ情報
    リモート デスクトップ プロトコルの脆弱性により、サービス拒否が起こる (899591) (MS05-041)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-041.mspx

    マイクロソフト セキュリティ情報
    Kerberos の脆弱性により、サービス拒否、情報の漏えいおよびなりすましが行われる (899587) (MS05-042)
    http://www.microsoft.com/japan/technet/security/bulletin/ms05-042.mspx


[2] VERITAS Backup Exec と NetBackup に認証情報がハードコードされている脆弱性

    US-CERT Technical Cyber Security Alert TA05-224A
    VERITAS Backup Exec and NetBackup use Hard-Coded Credentials
    http://www.us-cert.gov/cas/techalerts/TA05-224A.html

    US-CERT Vulnerability Note VU#378957
    VERITAS Backup Exec uses hard-coded authentication credentials
    http://www.kb.cert.org/vuls/id/378957

VERITAS Backup Exec と NetBackup には、認証情報がハードコードされてい
る脆弱性があります。結果として、この認証情報を知っている第三者が遠隔か
ら任意のファイルを取得する可能性があります。この問題は、VERITAS が提供
するパッチを適用することで解決します。

この問題を使った攻撃手法が既に公開されています。また、既に被害が発生し
ているとの報告があることから、該当する製品を使用している場合は、速やか
な対応を強くお勧めします。

  関連文書 (日本語)
    JP Vendor Status Notes JVNTA05-224A
    VERITAS Backup Exec の認証情報に関する脆弱性
    http://jvn.jp/cert/JVNTA05-224A/

    Symantec Security Response SYM05-011
    VERITAS Backup Exec for Windows Servers、VERITAS Backup Exec for NetWare Servers
    および NetBackup for NetWare Media Server Option Remote Agent に認証の脆弱性
    http://www.symantec.co.jp/region/jp/avcenter/security/content/2005.08.12b.html

  関連文書 (英語)
    VERITAS Backup Exec for Windows Servers Security Advisory
    Unauthorized downloading of arbitrary files
    http://seer.support.veritas.com/docs/278434.htm

    VERITAS Backup Exec for NetWare Servers Security Advisory
    Unauthorized downloading of arbitrary files
    http://seer.support.veritas.com/docs/278431.htm

    VERITAS NetBackup (tm) for NetWare Media Servers Security Advisory
    Unauthorized downloading of arbitrary files
    http://seer.support.veritas.com/docs/278430.htm


[3] Gaim の複数の脆弱性

    CIAC Bulletin P-270
    GAIM Security Update
    http://www.ciac.org/ciac/bulletins/p-270.shtml

Gaim にはバッファオーバーフローなどの複数の脆弱性があります。結果とし
て、遠隔から第三者が Gaim を実行しているユーザの権限を取得する可能性が
あります。この問題は、使用している OS のベンダや配布元が提供する修正済
みのパッケージに Gaim を更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2005:627-11
    Critical: gaim security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-627J.html

  関連文書 (英語)
    Debian Security Advisory DSA-769-1
    gaim -- memory alignment bug
    http://www.debian.org/security/2005/dsa-769.en.html


[4] Sun Solaris XView テキストクリップボードの脆弱性

    CIAC Bulletin P-264
    Possible Security Issue with XView Text Clipboard
    http://www.ciac.org/ciac/bulletins/p-264.shtml

Sun Solaris の XView アプリケーションには、テキストクリップボードの処
理に脆弱性があります。結果として、ローカルユーザがシステムファイルを壊
す可能性があります。対象となるのは以下のバージョンの Solaris です。

  - Solaris 2.5
  - Solaris 2.5.1
  - Solaris 2.6
  - Solaris 7
  - Solaris 8
  - Solaris 9
  - Solaris 10

この問題は、Sun が提供するパッチを適用することで解決します。なお、パッ
チが提供されない Solaris 2.5、2.5.1 および 2.6 については、Solaris 7 
またはそれ以降に更新することをお勧めします。

  関連文書 (英語)
    Sun Alert Notification 100881
    Possible Security Issue with XView Text Clipboard
    http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-100881-1


[5] IPSec 通信の設定に存在する脆弱性に関する追加情報

    CIAC Bulletin P-272
    Security Vulnerabilities in HP Tru64 UNIX IPSEC Tunnel ESP Mode
    http://www.ciac.org/ciac/bulletins/p-272.shtml

JPCERT/CC REPORT 2005-05-18号の [2] でも紹介した、IPSec 通信の設定に存
在する脆弱性に関する追加情報です。

  関連文書 (日本語)
    JPCERT/CC REPORT 2005-05-18号 [2]
    http://www.jpcert.or.jp/wr/2005/wr051901.txt

    JP Vendor Status Notes NISCC-004033
    IPSec通信の設定に存在する脆弱性
    http://jvn.jp/niscc/NISCC-004033/


[6] Ethereal の脆弱性に関する追加情報

    CIAC Bulletin P-271
    Ethereal Security Update
    http://www.ciac.org/ciac/bulletins/p-271.shtml

JPCERT/CC REPORT 2005-08-03号の [2] でも紹介した、Ethereal の脆弱性に
関する追加情報です。

    Red Hat セキュリティアドバイス RHSA-2005:687-03
    Moderate: ethereal security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-687J.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2005-08-03号 [2]
    http://www.jpcert.or.jp/wr/2005/wr053001.txt

  関連文書 (英語)
    Ethereal: enpa-sa-00020
    Multiple problems in Ethereal versions 0.8.5 to 0.10.11
    http://ethereal.com/appnotes/enpa-sa-00020.html



[今週の一口メモ]

* 送信元 IP アドレスを詐称したパケットのフィルタリング

ルータやファイアウォールにおいて、送信元 IP アドレスが詐称されているパ
ケットをフィルタリングすることが推奨されます。

例えば、本来内部で保持していない IP アドレスを送信元とするパケットが外
部に送信される場合、送信元 IP アドレスが詐称されていると判断してフィル
タします。

送信元 IP アドレスの詐称は、サービス運用妨害 (DoS) 攻撃など様々な攻撃
で使われる基本的な手法のひとつです。自サイトから他のサイトに対する攻撃
を防ぐためにも、このようなフィルタリングを設定することを強くお勧めしま
す。なお、設定を一行追加するだけで実現できる装置もありますので、改めて
マニュアルなどをご確認ください。

  参考文献 (英語)
    Network Ingress Filtering:
    Defeating Denial of Service Attacks which employ IP Source Address Spoofing
    http://www.ietf.org/rfc/rfc2827.txt
    http://www.ipa.go.jp/security/rfc/RFC2827JA.html (日本語訳)

    Ingress Filtering for Multihomed Networks
    http://www.ietf.org/rfc/rfc3704.txt
    http://www.ipa.go.jp/security/rfc/RFC3704JA.html (日本語訳)

    Global Incident Analysis Center - Special Notice -
    Egress Filtering v 0.2
    http://www.sans.org/y2k/egress.htm

  ※これは JPCERT/CC REPORT 2004-04-14号「今週の一口メモ」の再掲です。
    http://www.jpcert.or.jp/wr/2004/wr041501.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQwKTvIx1ay4slNTtAQE+qAP+OY/uax0UTb0lGKOkxJgEfmtBfkvf1M8H
Q7arOpDiirLq0CIzxgw0iMDED9Rxg2YNn+CIHFTIJZjK1tTtAexKfyUBM7YIiiDK
SoDXab3tWKDRYtWdOF5i9dzs9IpPZDUn5XCgdcF6XQTHwhA5LUn3fK9oR3CP29Kt
AENv3dJqVvg=
=CXSV
-----END PGP SIGNATURE-----