-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-0501 JPCERT/CC 2006-02-08 <<< JPCERT/CC REPORT 2006-02-08 >>> これは JPCERT/CC が 1/29(日) から 2/4(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Firefox および Mozilla Suite に複数の脆弱性 CIAC Bulletin Q-113 Firefox Security Update http://www.ciac.org/ciac/bulletins/q-113.shtml CIAC Bulletin Q-112 Mozilla Security Update http://www.ciac.org/ciac/bulletins/q-112.shtml Firefox および Mozilla Suite には複数の脆弱性があります。結果として、 遠隔から第三者が Web ページを経由して、Firefox または Mozilla Suite を 実行しているユーザの権限を取得する可能性があります。対象となるのは以下 のバージョンです。 - Firefox バージョン 1.5 およびそれ以前 - Mozilla Suite バージョン 1.7.12 およびそれ以前 この問題は、以下のバージョンのソフトウェアに更新することで解決します。 - Firefox バージョン 1.5.0.1 (またはそれ以降) - SeaMonkey バージョン 1.0 (またはそれ以降) または使用している OS のベンダや配布元が提供している修正済みのパッケー ジに更新することで解決します。 関連文書 (日本語) Mozilla Foundation セキュリティアドバイザリ 2006-01 JavaScript ガベージコレクションの脆弱性 http://www.mozilla-japan.org/security/announce/mfsa2006-01.html Mozilla Foundation セキュリティアドバイザリ 2006-03 長いページタイトルによって起動時のサービス妨害が生じる http://www.mozilla-japan.org/security/announce/mfsa2006-03.html Mozilla Foundation セキュリティアドバイザリ 2006-05 XULDocument.persist() を使った Localstore.rdf への XML インジェクション http://www.mozilla-japan.org/security/announce/mfsa2006-05.html 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0200-8 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2006-0200.html Red Hat Security Advisory RHSA-2006:0199-10 Critical: mozilla security update https://rhn.redhat.com/errata/RHSA-2006-0199.html [2] Winamp プレイリスト処理にバッファオーバーフローの脆弱性 US-CERT Technical Cyber Security Alert TA06-032A Winamp Playlist Buffer Overflow http://www.us-cert.gov/cas/techalerts/TA06-032A.html US-CERT Cyber Security Alert SA06-032A Winamp Playlist Vulnerability http://www.us-cert.gov/cas/alerts/SA06-032A.html US-CERT Vulnerability Note VU#604745 Winamp fails to properly handle playlists with long "file" parameter http://www.kb.cert.org/vuls/id/604745 Winamp バージョン 5.12 およびそれ以前には、長いコンピュータ名を指定し ているプレイリストの処理にバッファオーバーフローの脆弱性があります。結 果として、遠隔から第三者がプレイリストを経由して Winamp を実行している ユーザの権限を取得する可能性があります。 この問題は、Winamp をバージョン 5.13 (またはそれ以降) に更新することで 解決します。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-032A Winamp の Playlist ファイル処理にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNTA06-032A/ [3] ImageMagick の脆弱性 CIAC Bulletin Q-110 ImageMagick http://www.ciac.org/ciac/bulletins/q-110.shtml ImageMagick には、画像ファイルのファイル名の処理に脆弱性があります。結 果として、遠隔から第三者が画像ファイルを経由して、ImageMagick を実行し ているユーザの権限を取得する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー ジに ImageMagick を更新することで解決します。 関連文書 (英語) Debian Security Advisory DSA-957-1 imagemagick -- missing shell meta sanitising http://www.debian.org/security/2006/dsa-957.en.html [4] HP Tru64 UNIX の DNS BIND に脆弱性 CIAC Bulletin Q-111 HP Tru64 UNIX Running DNS BIND http://www.ciac.org/ciac/bulletins/q-111.shtml HP Tru64 UNIX の DNS BIND には脆弱性があります。結果として、遠隔から第 三者が、BIND を実行しているユーザの権限を取得する可能性があります。 この問題は、HP が提供するパッチを適用することで解決します。 [5] Sun Java System Access Manager の脆弱性 CIAC Bulletin Q-114 Security Vulnerability in Sun Java System Access Manager http://www.ciac.org/ciac/bulletins/q-114.shtml Sun Java System Access Manager バージョン 7.0 には脆弱性があります。結 果として、Access Manager が稼動しているシステムに root でログインして いるユーザが、Access Manager サーバで設定された本来の権限によらずに、 最上位の管理者権限で amadmin CLI ツールを実行し、Access Manager の設定 を変更する可能性があります。 この問題は、Sun が提供するパッチを適用することで解決します。 関連文書 (英語) Sun Alert Notification 102140 Security Vulnerability in Sun Java System Access Manager May Allow Administrator Access to Users Logged in As Root http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102140-1 [6] JVN (JP Vendor Status Notes) アンケートご協力のお願い JVN (JP Vendor Status Notes) は JPCERT/CC と IPA(独立行政法人 情報処 理推進機構)が共同運営する、日本国内の製品開発者の脆弱性対応状況を公開 するサイトです。JVN をご利用の皆様からご意見・ご要望をいただき、より分 かり易く充実した情報提供を行いたいと考えております。つきましては JVN についてのアンケートを以下の URL にて行いますので、皆様のご協力をお願 い致します。 アンケートURL: http://jvn.jp/nav/enq.html (アンケート協力: 株式会社イプシ・マーケティング研究所) [7] 「CHECK PC!」マナベにまなべ。キャンペーン あなたのパソコン、安全対策してますか? 経済産業省は、一般 PC、インターネット利用者、中小企業、個人事業者など を対象に、コンピュータウィルス、不正アクセス、フィッシング等情報セキュ リティに関る問題の現状を認識し、情報セキュリティ対策への取り組みを促進 するキャンペーンを実施しています。 JPCERT/CC は本キャンペーンに協力しています。キャンペーン詳細は以下の URL にあります。 CHECK PC! マナベにまなべ。 / 経済産業省 http://www.checkpc.jp/ [今週の一口メモ] * rootkit と bot rootkit や bot などは、ユーザにほとんど気付かれることなくコンピュータ に侵入/感染し、機密情報を盗んだり、データを改ざんしたり、更に第三者を 攻撃したりします。最近では、このようなソフトウェアによる被害が拡大して おり、注意が必要です。 このような被害を完全に防ぐ方法はありませんが、一般的に以下のような方法 でリスクを軽減することができると考えられます。 - ウィルス検知ソフトのパターンファイルを最新に維持する - ファイアウォールを導入/有効化する - 「良い」パスワードを設定する - 使用しているソフトウェアを最新版に更新する - セキュリティ上「良い」とされる習慣に従う 参考文献 (日本語) JPCERT/CC REPORT 2006-02-01号 [今週の一口メモ] ワクチンソフトを過信しない http://www.jpcert.or.jp/wr/2006/wr060401.txt 参考文献 (英語) US-CERT Cyber Security Tip ST06-001 Understanding Hidden Threats: Rootkits and Botnets http://www.us-cert.gov/cas/tips/ST06-001.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQ+lJw4x1ay4slNTtAQEsywP/a2Km358rVBO/gbnY4+XR52LQDgo62KIT CCiDMjBaI6WoRzHZS7wXxmwGxkTPcKBom52vrkymGPovlIXlu3qxRXTIhQi1J5rS YaY1tqOHOzKa8UglOjXpfAsQnLi5T3e1pqcrFTz41xX3j5TtR4NNnjkTcKk5vQ8M y7+96Q9qdKU= =lUWT -----END PGP SIGNATURE-----