-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-2601 JPCERT/CC 2006-07-12 <<< JPCERT/CC REPORT 2006-07-12 >>> ―――――――――――――――――――――――――――――――――――――― ■07/02(日)〜07/08(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】Red Hat Enterprise Linux 4 のカーネルに権限昇格の脆弱性 【2】Apple iTunes に整数オーバーフローの脆弱性 【3】Webmin における認証回避の脆弱性に関する追加情報 【4】複数の Wiki クローン製品にサービス運用妨害 (DoS) の脆弱性 【5】ATutor にクロスサイトスクリプティングの脆弱性 【6】ACollab に SQL インジェクションの脆弱性 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ============================================================================= 【1】Red Hat Enterprise Linux 4 のカーネルに権限昇格の脆弱性 情報源 CIAC Bulletin Q-238 Kernel Security Update http://www.ciac.org/ciac/bulletins/q-238.shtml 概要 Red Hat Enterprise Linux 4 のカーネルには権限昇格の脆弱性があり ます。結果として、ローカルユーザが root 権限を取得したり、サービ ス運用妨害 (DoS) 攻撃を受けたりする可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに更新することで解決します。 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0574-8 Important: kernel security update https://rhn.redhat.com/errata/RHSA-2006-0574.html 【2】Apple iTunes に整数オーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#907836 Apple iTunes fails to properly parse AAC files http://www.kb.cert.org/vuls/id/907836 CIAC Bulletin Q-237 iTunes 6.0.5 http://www.ciac.org/ciac/bulletins/q-237.shtml 概要 6.0.5 より前のバージョンの Applea iTunes には、整数オーバーフロー の脆弱性があります。結果として、遠隔の第三者によって任意のコード を実行される可能性があります。 この問題は、Apple が提供するバージョン 6.0.5 またはそれ以降に Apple iTunes を更新することで解決します。 関連文書 (日本語) iTunes 6.0.5 のセキュリティコンテンツについて http://docs.info.apple.com/article.html?artnum=303952-ja 【3】Webmin における認証回避の脆弱性に関する追加情報 情報源 JP Vendor Status Notes JVN#67974490 Webmin におけるディレクトリトラバーサルの脆弱性 http://jvn.jp/jp/JVN%2367974490/index.html 概要 JPCERT/CC REPORT 2006-06-28号【2】で紹介した、Webmin における認 証回避の脆弱性に関する追加情報です。 JPCERT/CC REPORT 2006-06-28号【2】において、Windows 環境固有の問 題として公開していましたが、ベンダが公開する最新情報によって、全 ての OS に該当する脆弱性であることが分かりました。修正済みのバー ジョンとして 1.290 が提供されています。 関連文書 (日本語) 日本 Webmin ユーザ会公式 Web ページ Release : 【更新】Webmin 1.280以前に脆弱性、ファイルを盗み見られる恐れ http://jp.webmin.com/modules/news/article.php?storyid=17 関連文書 (英語) Webmin Security Alerts [Artbitrary remote file access] http://www.webmin.com/security.html 【4】複数の Wiki クローン製品にサービス運用妨害 (DoS) の脆弱性 情報源 JP Vendor Status Notes JVN#98836916 複数のWiki クローン製品におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/jp/JVN%2398836916/index.html 概要 いくつかの Wiki クローン製品には、特定のリクエストを処理する際に CPU 資源やメモリを多量に消費する問題があります。結果として、遠隔 の第三者により、サービス運用妨害 (DoS) 攻撃を受ける可能性があり ます。 この問題は、配布元が提供する修正済みのバージョンに製品を更新する ことで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#98836916:複数のWiki クローン製品におけるサービス運用妨害 (DoS) の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_98836916_wiki.html 履歴/2006-7-3 - FreeStyleWiki http://fswiki.poi.jp/wiki.cgi?page=%CD%FA%CE%F2%2F2006%2D7%2D3 Hiki Advisory 2006-07-03 Hiki の脆弱性に関する報告 http://hikiwiki.org/ja/advisory20060703.html Wikiもどき セキュリティ情報 差分表示処理中においてDoS状態に陥る脆弱性 (2006-07-03) http://moonrock.jp/%7Edon/wikimodoki/security.html 【5】ATutor にクロスサイトスクリプティングの脆弱性 情報源 JP Vendor Status Notes JVN#44846612 ATutor におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2344846612/index.html 概要 オープンソースのeラーニング用コンテンツ管理システムである ATutor のバージョン 1.5.3 以前のバージョンには、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者にユーザのブラウ ザ上で任意のスクリプトを実行される可能性があります。 この問題は、配布元が提供する修正済みのバージョン 1.5.3 またはそ れ以降に ATutor を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#44846612:「ATutor」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_44846612_ATutor.html 関連文書 (英語) ATutor: Learning Content Management System: Announcements: ATutor 1.5.3 RC2 Released http://www.atutor.ca/news.php#050706 【6】ACollab に SQL インジェクションの脆弱性 情報源 JP Vendor Status Notes JVN#73705637 ACollab における SQL インジェクションの脆弱性 http://jvn.jp/jp/JVN%2373705637/index.html 概要 Web ベースのグループウェアシステムである ACollab には、SQL イン ジェクションの脆弱性があります。結果として、遠隔の第三者に任意の SQL コマンドを実行される可能性があります。 この問題は、ACollab と同等の機能が実装されている ATutor 1.5.3 に 移行することで解決します。なお、2006年7月11日時点において、 ACollab はバージョン 1.2 をもって開発及びメンテナンスを終了して おり、同等の機能が実装されている ATutor 1.5.3 に移行することが推 奨されます。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#73705637:「ACollab」におけるSQLインジェクションの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_73705637_ACollab.html 関連文書 (英語) ACollab : Accessible Collaboration Environment: Information: http://www.atutor.ca/acollab/index.php ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○複数の認証を併用する 複数の認証を併用することで、各認証方式の短所をカバーして強いセキュ リティを確保することが可能です。例えば、パスワード認証とスマート カード認証を組み合わせることで、パスワード漏洩によるリスクやカー ド紛失によるリスクの双方が軽減されます。 参考文献 (英語) US-CERT National Cyber Alert System ST05-012-Supplementing Passwords http://www.us-cert.gov/cas/tips/ST05-012pr.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRLRVlox1ay4slNTtAQFPTAP/RukqH5GR7JmzzrrJ6reyoiyxg0hCZJgS cB8JGytCLU8LZUDALy2H9l9ryquwrybdaLW9Mk8hgP7ay3TasM4lC4ikk4xq57s4 bPmMS2ZYoNyS68VHZfse3cGqxXlu1oAk9Qv9GQH1iBcULBHm/h6HuEcih+YUlcIB TcBwWJANZbE= =aLRR -----END PGP SIGNATURE-----