-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-3401 JPCERT/CC 2006-09-06 <<< JPCERT/CC REPORT 2006-09-06 >>> ―――――――――――――――――――――――――――――――――――――― ■08/27(日)〜09/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性 【2】サイボウズ Office 6 における情報漏洩の脆弱性 【3】Webmin および Usermin に複数の脆弱性 【4】「TCP 139番ポートへのスキャン増加に関する注意喚起」を更新 【5】JPCERT/CC REPORT XML 版および HTML 版試験提供のお知らせ ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2006/wr063401.html http://www.jpcert.or.jp/wr/2006/wr063401.xml ============================================================================= 【1】複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性 情報源 JP Vendor Status Notes JVN#90420168 複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性 http://jvn.jp/jp/JVN%2390420168/index.html 概要 複数のサイボウズ製品には、ディレクトリトラバーサルの脆弱性があり ます。サイボウズ製品が設置されている環境により異なりますが、結果 として、遠隔の第三者によりサーバ内の特定のファイルを閲覧される可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - サイボウズ Office 6.5 (1.2) およびそれ以前 - サイボウズ ガルーン 1.5 (4.0) およびそれ以前 集中管理システム 1.5 (4.0) およびそれ以前 ワークグループシステム 1.5 (4.0) およびそれ以前 掲示板サーバー 1.0 (0.6) およびそれ以前 ファイル管理サーバー 1.0 (0.6) およびそれ以前 施設予約サーバー 1.0 (0.6) およびそれ以前 ワークフロー 1.0 (1.0) およびそれ以前 - サイボウズ メールワイズ 3.0 (0.2) およびそれ以前 - サイボウズ コラボレックス 1.5 (0.5) およびそれ以前 - サイボウズ AG 1.2 (1.4) およびそれ以前 - サイボウズ AG ポケット 5.2 (0.7) およびそれ以前 - Share360 2.5 (0.2) およびそれ以前 詳しくは、ベンダの提供する情報を確認してください。 この問題は、サイボウズが提供する改修プログラムを適用することで解 決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#90420168:複数のサイボウズ製品におけるディレクトリ・トラバーサルの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_90420168_Cybozu.html セキュリティに関するお知らせ サイボウズ製品の脆弱性について http://cybozu.co.jp/products/dl/notice_060901/ 【2】サイボウズ Office 6 における情報漏洩の脆弱性 情報源 JP Vendor Status Notes JVN#31125599 サイボウズ Office 6 における情報漏洩の脆弱性 http://jvn.jp/jp/JVN%2331125599/index.html 概要 サイボウズ Office 6.5 (1.2) およびそれ以前には、情報漏洩の脆弱性 があります。結果として、遠隔の第三者により登録されているユーザお よびグループに関する情報を閲覧される可能性があります。 詳しくは、ベンダの提供する情報を確認してください。 この問題は、サイボウズが提供する改修プログラムを適用することで解 決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#31125599:「サイボウズ Office 6」における情報漏洩の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_31125599_Cybozu.html セキュリティに関するお知らせ サイボウズ製品の脆弱性について http://cybozu.co.jp/products/dl/notice_060901/ 【3】Webmin および Usermin に複数の脆弱性 情報源 JP Vendor Status Notes JVN#99776858 Webmin および Usermin にクロスサイトスクリプティングを含む複数の脆弱性 http://jvn.jp/jp/JVN%2399776858/index.html 概要 ウェブベースのシステム管理ツールである Webmin および Usermin に は、アクセス制限を回避したファイルの実行やクロスサイトスクリプティ ングを含む複数の脆弱性があります。結果として、遠隔の第三者により ユーザのブラウザ上で任意のスクリプトを実行されるなど、様々な問題 が生じる可能性があります。 対象となるバージョンは以下の通りです。 - Webmin Version 1.290 およびそれ以前 - Usermin Version 1.220 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Webmin または Usermin を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#99776858:「Webmin」および「Usermin」にクロスサイト・スクリプティングを含む複数の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_99776858_webmin.html 関連文書 (英語) Security Alerts Remote source code access and XSS bug http://www.webmin.com/security.html 【4】「TCP 139番ポートへのスキャン増加に関する注意喚起」を更新 情報源 TCP 139番ポートへのスキャン増加に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060012.txt 概要 2006年8月24日に公開した「TCP 139番ポートへのスキャン増加に関する 注意喚起」に関して、注意喚起公開以降も継続的に TCP 139番ポートの スキャンの増加傾向を観測しているため、注意喚起を更新しました。 詳しくは、当該注意喚起文書を参照してください。 【5】JPCERT/CC REPORT XML 版および HTML 版試験提供のお知らせ 情報源 JPCERT/CCレポート http://www.jpcert.or.jp/wr/ 概要 JPCERT/CC REPORT は、従来テキスト形式のみ提供しておりましたが、 読者の皆様から頂いたご意見・ご要望を検討した結果、本号 (2006-09-06号) より XML 形式および HTML 形式での試験提供を開始い たしました。 なお、試験提供の形式および形態は変更される可能性があります。予め ご了承ください。 また、2006年8月30日以前発行分の HTML 形式および XML 形式の提供予 定は未定です。 読者の皆様のご意見、ご感想をお待ちしております。 関連文書 (日本語) JPCERT/CC REPORT 2006-09-06 号 (XML 形式) http://www.jpcert.or.jp/wr/2006/wr063401.xml JPCERT/CC REPORT 2006-09-06 号 (XML 形式) の PGP 署名 http://www.jpcert.or.jp/wr/2006/wr063401.xml.asc JPCERT/CC REPORT 2006-09-06 号 (HTML 形式) http://www.jpcert.or.jp/wr/2006/wr063401.html JPCERT/CC REPORT 2006-09-06 号 (HTML 形式) の PGP 署名 http://www.jpcert.or.jp/wr/2006/wr063401.html.asc JPCERT/CC REPORT DTD http://www.jpcert.or.jp/wr/wr.dtd ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○個人契約のメールサービスを業務に使用しない 個人で契約したメールサービスを業務上の機密情報の取り扱いに使用す ることは、情報管理の面で非常に大きなリスクがあります。情報管理責 任者等から特別に許可を得ていない限りは、個人で契約したメールサー ビスを業務で使用しないことをお勧めします。 - 使用するサービスによっては、「情報」を第三者に提供する場合があ る。 → 機密情報や個人情報の漏洩につながる可能性がある。 - 企業と契約関係にない第三者の管理するサーバ上で機密情報や個人情 報を管理することになる。 → 情報漏洩の際、責任の所在が不明瞭になり、組織としての対応が 遅れる可能性がある。 参考文献 (日本語) JPCERT/CC REPORT 2004-12-08号の「一口メモ」 電子メールクライアントの選択 http://www.jpcert.or.jp/wr/2004/wr044801.txt JPCERT/CC REPORT 2005-05-11号の「一口メモ」 フリーメールサービス http://www.jpcert.or.jp/wr/2005/wr051801.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRQdVIYx1ay4slNTtAQHVZQP/WeubFg//T58r8HxJmVvMOFduyErzuiUw l/EllfzE8H1pg2LmGWSE9fuPzLLs6+CM3kl246Dr+6xsX0KJxCc3kEGbhsp6ITYo iypvEaiCt5i27Z7s2IFx/fM3blRtjooIEswzQlQ3gUEA+Of/P/BEkMUI6FLiILfD C46xmMFbwXk= =Aujf -----END PGP SIGNATURE-----