-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-4901
                                                               JPCERT/CC
                                                              2005-12-14

                 <<< JPCERT/CC REPORT 2005-12-14 >>>

これは JPCERT/CC が 12/4(日) から 12/10(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] RealNetworks 製品のバッファオーバーフローの脆弱性

    CIAC Bulletin Q-067
    RealNetworks Security Update
    http://www.ciac.org/ciac/bulletins/q-067.shtml

RealPlayer などの RealNetworks 製品のいくつかには、バッファオーバーフ
ローの脆弱性があります。結果として、遠隔から第三者が RealMedia ファイ
ルやスキンファイルを経由して、対象となる製品を実行しているユーザの権限
を取得する可能性があります。対象となる製品の詳細については下記関連文書
を参照してください。

この問題は、RealNetworks が提供するセキュリティアップデートをインストー
ルすることで解決します。

  関連文書 (日本語)
    カスタマ サポート - Real セキュリティ アップデート
    RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
    http://service.real.com/help/faq/security/051110_player/JA/

  関連文書 (英語)
    RealNetworks Support
    Security Patch Update For Realplayer Enterprise
    http://service.real.com/help/faq/security/security111005.html

    Debian Security Advisory DSA-915-1
    helix-player -- buffer overflow
    http://www.debian.org/security/2005/dsa-915.en.html


[2] Sun Java System Communications Services の脆弱性

    CIAC Bulletin Q-069
    Sun Java System Communications Services Vulnerability
    http://www.ciac.org/ciac/bulletins/q-069.shtml

Sun Java System Communications Services 6 Delegated Administrator
2005Q1 には、脆弱性があります。結果として、遠隔から第三者が Top-Level
Administrator (TLA) の標準初期パスワードを取得する可能性があります。

この問題は、Sun が提供するパッチを適用することで解決します。

  関連文書 (英語)
    Sun Alert Notification 102068
    Security Vulnerability in Sun Java System Communications Services 6 Delegated Administrator 2005Q1
    http://www.sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102068-1


[3] Sun Java System Application Server の Proxy プラグインの脆弱性

    CIAC Bulletin Q-070
    Sun Java System Application Server Reverse SSL Proxy Plugin Vulnerability
    http://www.ciac.org/ciac/bulletins/q-070.shtml

Sun ONE Application Server および Sun Java System Application Server 
の Proxy プラグインには脆弱性があります。結果として、遠隔から第三者が
クライアントとサーバの間の通信を傍受したり、改ざんしたりする可能性があ
ります。この問題は、Sun が提供するパッチを適用することで解決します。

  関連文書 (英語)
    Sun Alert Notification 102012
    Security Vulnerability With Sun Java System Application Server Reverse SSL Proxy Plugin
    http://www.sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-102012-1


[4] xpdf の複数の脆弱性

    CIAC Bulletin Q-068
    'xpdf' Vulnerability
    http://www.ciac.org/ciac/bulletins/q-068.shtml

xpdf には複数の脆弱性があります。結果として、遠隔から第三者が PDF ファ
イルを経由して xpdf を実行しているユーザの権限を取得する可能性がありま
す。この問題は、使用している OS のベンダや配布元が提供する修正済みのパッ
ケージに xpdf を更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2005:840-5
    Important: xpdf security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-840J.html


[5] HP-UX IPSec の脆弱性

    CIAC Bulletin Q-071
    HP-UX Running IPSec Remote Unauthorized Access
    http://www.ciac.org/ciac/bulletins/q-071.shtml

HP-UX B.11.00、B.11.11 および B.11.23 の IPSec の実装には、脆弱性があ
ります。結果として、遠隔から第三者が認証なしにアクセスする可能性があり
ます。この問題は、HP が提供するパッチを適用することで解決します。


[6] 携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題

    JP Vendor Status Notes JVN#15243167
    携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題
    http://jvn.jp/jp/JVN%2315243167/

携帯電話の Web ブラウザとして使われている Openwave Systems 社製品には、
referer 情報の処理に不具合があります。結果として、本来送信されるべきで
ない URL 情報が referer 情報としてサーバに送信されてしまう可能性があり
ます。

この問題は、携帯電話会社が提供する情報に従って、ソフトウェアを更新する 
(書き換える) ことで解決します。

  関連文書 (日本語)
    auからのお知らせ
    http://www.au.kddi.com/news/topics/au_topics_index20051209.html



[今週の一口メモ]

* 偽オンラインショッピングサイトに注意

オンラインショッピングサイトやオークションサイトを装ったサイトによって、
商品代金が騙し取られたり、クレジットカード番号などの機密情報が盗まれた
りする被害が発生しています。オンラインショッピングサイトやオークション
サイトを利用する場合には以下の点に注意してください。

  - SSL (https) による電子署名および経路の暗号化が行なわれているか確認

    機密情報を送信するページにおいて、署名がない、また経路の暗号化が行
    なわれていないサイトは利用しないことをお勧めします。

  - SSL サーバ証明書の内容に問題がないか確認

    証明書自体は適切な認証局から発行されていても、本来のサイトを運営し
    ている会社とは全く無関係の会社の証明書である場合があります。このよ
    うに、サイトを運営している会社と証明書に記載された会社との関係が明
    確でない場合は、そのサイトを利用しないことをお勧めします。

  - オンラインで使用する専用クレジットカードを準備

    普段使用するクレジットカードとオンラインショッピングなどで使用する
    カードを別にし、後者で使用するカードの上限金額を低めに設定すること
    をお勧めします。また、請求書の明細をこまめに確認することを強くお勧
    めします。

  参考文献 (日本語)
    JPCERT/CC REPORT 2005-01-19号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr050301.txt

    JPCERT/CC REPORT 2005-05-18号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr051901.txt

    JPCERT/CC REPORT 2005-05-25号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr052001.txt

    JPCERT/CC REPORT 2005-06-01号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr052101.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQ59hy4x1ay4slNTtAQHjQAP6A+1Xpl+bIy0Op9ldmu+iQR7LL/ZPD/s2
op4l+nntwVFaLTPpvqbuRHkqtX9Hf9VKFXICckUEkEbx4mc3aeiUb0/vxuX5Xov6
WDyhqDMk25MRM3HLyfXeHz+k4s5KRw13FzoAopxSnMIqy01+ZfaoUXipHaaR36r/
sGEdBdO3JOg=
=iFTA
-----END PGP SIGNATURE-----