-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2006-0102
                                                               JPCERT/CC
                                                              2006-01-12

                 <<< JPCERT/CC REPORT 2006-01-12 >>>

JPCERT/CC REPORT 発行開始から本年で 6年目を迎えますが、これもひとえに
皆様からのご支援の賜物と感謝しております。引き続きご愛顧のほど宜しくお
願い申し上げます。

=====================================================================

これは JPCERT/CC が 12/25(日) から 1/7(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Windows メタファイル処理にバッファオーバーフローの脆弱性

    US-CERT Technical Cyber Security Alert TA06-005A
    Update for Microsoft Windows Metafile Vulnerability
    http://www.us-cert.gov/cas/techalerts/TA06-005A.html

    US-CERT Cyber Security Alert SA06-005A
    Microsoft Windows Metafile Vulnerability
    http://www.us-cert.gov/cas/alerts/SA06-005A.html

    US-CERT Technical Cyber Security Alert TA05-362A
    Microsoft Windows Metafile Handling Buffer Overflow
    http://www.us-cert.gov/cas/techalerts/TA05-362A.html

    US-CERT Vulnerability Note VU#181038
    Microsoft Windows Metafile handler SETABORTPROC GDI Escape vulnerability
    http://www.kb.cert.org/vuls/id/181038

    CIAC Bulletin Q-090
    Vulnerability in Graphics Rendering Engine
    http://www.ciac.org/ciac/bulletins/q-090.shtml

    CIAC Bulletin Q-085
    Microsoft Windows Metafile File (WMF) Handling Vulnerability
    http://www.ciac.org/ciac/bulletins/q-085.shtml

Microsoft Windows には、Windows メタファイル (WMF) 画像形式を使用した
ファイルの処理にバッファオーバーフローの脆弱性があります。結果として、
遠隔から第三者が画像ファイルを経由してログオンしているユーザの権限を取
得する可能性があります。

この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ
とで解決します。

なお、この問題を使った攻撃手法が公開され、既に攻撃が行なわれているとの
報告があります。速やかな対応を強くお勧めします。

  関連文書 (日本語)
    JPCERT/CC Alert 2006-01-06
    Microsoft Windows メタファイル処理の脆弱性に対するセキュリティ更新プログラムについて
    http://www.jpcert.or.jp/at/2006/at060001.txt

    JPCERT/CC Alert 2005-12-29
    Microsoft Windows メタファイル処理の脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2005/at050014.txt

    JP Vendor Status Notes JVNTA06-005A
    Windows メタファイルの脆弱性を修正するパッチの公開
    http://jvn.jp/cert/JVNTA06-005A/

    JP Vendor Status Notes JVNTA05-362A
    Microsoft Windows の Windows メタファイルハンドラにバッファオーバフローの脆弱性
    http://jvn.jp/cert/JVNTA05-362A/

    マイクロソフト セキュリティ情報
    Graphics Rendering Engine の脆弱性によりコードが実行される可能性がある (912919) (MS06-001)
    http://www.microsoft.com/japan/technet/security/bulletin/ms06-001.mspx

    Microsoft TechNet
    マイクロソフト セキュリティ アドバイザリ (912840)
    http://www.microsoft.com/japan/technet/security/advisory/912840.mspx


[2] Perl のフォーマット文字列処理の脆弱性

    US-CERT Vulnerability Note VU#946969
    Perl programs providing user-controlled I/O format strings may contain format string vulnerabilities
    http://www.kb.cert.org/vuls/id/946969

    CIAC Bulletin Q-088
    Perl Format String Vulnerabilities
    http://www.ciac.org/ciac/bulletins/q-088.shtml

Perl のフォーマット文字列処理には、脆弱性があります。結果として、外部
から入力されるなどの任意のフォーマット文字列をそのまま処理してしまうよ
うな Perl スクリプトを経由して、遠隔から第三者が Perl スクリプトを実行
しているユーザの権限を取得する可能性があります。

  ※ この脆弱性は、遅くとも 2002年から知られている問題であり、C 言語な
     ど他の言語で書かれたプログラムにも同様の脆弱性があることが広く知
     られています。

この問題は、Perl で書かれたプログラムを修正し、外部から入力された文字
列をフォーマット文字列として使用しないようにすることで解決します。

  ※ 2007年2月5日: 上記は「この問題は、Perl で書かれたプログラムを修正
     し、外部から入力されたフォーマット文字列をそのまま処理しないよう
     にすることで解決します。」としていましたが、誤解を招く表現があっ
     たため、修正しました。


[3] BlackBerry Attachment Service にバッファオーバーフローの脆弱性

    US-CERT Vulnerability Note VU#570768
    Research in Motion (RIM) BlackBerry Attachment Service does not properly handle TIFF image files
    http://www.kb.cert.org/vuls/id/570768

    CIAC Bulletin Q-087
    Blackberry Attachment Service Vulnerability
    http://www.ciac.org/ciac/bulletins/q-087.shtml

Research in Motion (RIM) BlackBerry Attachment Service には TIFF 形式
の画像ファイルの処理にバッファオーバーフローの脆弱性があります。結果と
して、遠隔から第三者が TIFF 形式の画像ファイルを経由して、ユーザの権限
を取得する可能性があります。

この問題を解決するための方法が RIM から提供されるまでの一時的な回避策
としては、BlackBerry Attachment Service が処理するファイル形式として、
TIFF 形式を除外するように設定するなどの方法があります。


[4] mod_auth_pgsql のフォーマット文字列処理に脆弱性

    CIAC Bulletin Q-091
    mod_auth_pgsql Security Update
    http://www.ciac.org/ciac/bulletins/q-091.shtml

mod_auth_pgsql には、ログを保存する際のフォーマット文字列の処理に脆弱
性があります。結果として、httpd を実行しているユーザの権限を、遠隔から
第三者が取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに mod_auth_pgsql を更新することで解決します。

  関連文書 (英語)
    CIAC Bulletin Q-093
    libapache2-mod-auth-pgsql
    http://www.ciac.org/ciac/bulletins/q-093.shtml

    Red Hat Security Advisory RHSA-2006:0164-7
    Critical: mod_auth_pgsql security update
    https://rhn.redhat.com/errata/RHSA-2006-0164.html

    Debian Security Advisory DSA-935-1
    libapache2-mod-auth-pgsql -- format string vulnerability
    http://www.debian.org/security/2006/dsa-935.en.html


[5] Apache httpd の mod_imap にクロスサイトスクリプティングの脆弱性

    CIAC Bulletin Q-089
    httpd Security Update
    http://www.ciac.org/ciac/bulletins/q-089.shtml

Apache httpd の mod_imap には、イメージマップとともに Referer を使用し
た場合にクロスサイトスクリプティングの脆弱性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに Apache httpd を更新することで解決します。

  関連文書 (英語)
    Red Hat Security Advisory RHSA-2006:0159-8
    Moderate: httpd security update
    https://rhn.redhat.com/errata/RHSA-2006-0159.html


[6] Sober ワームに関する追加情報

    CIAC Bulletin Q-086
    MS Advisory Win32/Sober.Z@mm on January 6, 2006
    http://www.ciac.org/ciac/bulletins/q-086.shtml

JPCERT/CC REPORT 2005-12-21号の [3] でも紹介した、Sober ワームに関する
追加情報です。

  関連文書 (日本語)
    Microsoft TechNet
    マイクロソフト セキュリティ アドバイザリ (912920)
    http://www.microsoft.com/japan/technet/security/advisory/912920.mspx

    JPCERT/CC REPORT 2005-12-21号 [3]
    http://www.jpcert.or.jp/wr/2005/wr055001.txt



[今週の一口メモ]

* 個人情報の盗用に気付くためには

個人情報の盗難を正確に把握できるのは、個人情報 (のデータベース) を管理
している企業、組織ですが、ユーザ側でも以下の点に注意することで自分の個
人情報が盗用されていることが分かる場合があります。

  - カードの利用明細に通常と異なる、または予期しない請求がある
  - 使用していない通話に対する電話料金の請求がある
  - 普段使用している電子メールの受信に失敗する (パスワード漏洩の可能性)
  - カードなどの利用が拒否される
  - オンラインバンキングのログイン履歴に記憶にないものがある

盗用に気付いた場合は、速やかに該当する個人情報を管理している企業、組織
に連絡するなどの対応を行なう必要があります。また、普段から連絡先を手帳
に控えておくなど、常に連絡が可能な状態にしておくことを強くお勧めします。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST05-019
    Preventing and Responding to Identity Theft
    http://www.us-cert.gov/cas/tips/ST05-019.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC


-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRckr5Yx1ay4slNTtAQHuYAP+IylqbAdABkWclSkFbNo1q3R9dWcow1nI
FD7bOE2QBPlT+JajSYVaimZvHXiyCWshHbvqKOAC3rjZpHCqVLG1g/XoyTKeA9aB
m3Ain7ToNYiGFoisBCkDaHLHCGbh8stk2SsjQNyB4GgfD+KSD+sL6Ssmp7LCPwqS
0CJgvRyoHKs=
=UBNu
-----END PGP SIGNATURE-----