JPCERT-WR-2006-3401 2006-09-06 2006-08-27 2006-09-02

JP Vendor Status Notes JVN#90420168 http://jvn.jp/jp/JVN%2390420168/index.html

複数のサイボウズ製品には、ディレクトリトラバーサルの脆弱性があり ます。サイボウズ製品が設置されている環境により異なりますが、結果 として、遠隔の第三者によりサーバ内の特定のファイルを閲覧される可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - サイボウズ Office 6.5 (1.2) およびそれ以前 - サイボウズ ガルーン 1.5 (4.0) およびそれ以前 集中管理システム 1.5 (4.0) およびそれ以前 ワークグループシステム 1.5 (4.0) およびそれ以前 掲示板サーバー 1.0 (0.6) およびそれ以前 ファイル管理サーバー 1.0 (0.6) およびそれ以前 施設予約サーバー 1.0 (0.6) およびそれ以前 ワークフロー 1.0 (1.0) およびそれ以前 - サイボウズ メールワイズ 3.0 (0.2) およびそれ以前 - サイボウズ コラボレックス 1.5 (0.5) およびそれ以前 - サイボウズ AG 1.2 (1.4) およびそれ以前 - サイボウズ AG ポケット 5.2 (0.7) およびそれ以前 - Share360 2.5 (0.2) およびそれ以前 詳しくは、ベンダの提供する情報を確認してください。 この問題は、サイボウズが提供する改修プログラムを適用することで解 決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_90420168_Cybozu.html セキュリティに関するお知らせ http://cybozu.co.jp/products/dl/notice_060901/

JP Vendor Status Notes JVN#31125599 http://jvn.jp/jp/JVN%2331125599/index.html

サイボウズ Office 6.5 (1.2) およびそれ以前には、情報漏洩の脆弱性 があります。結果として、遠隔の第三者により登録されているユーザお よびグループに関する情報を閲覧される可能性があります。 詳しくは、ベンダの提供する情報を確認してください。 この問題は、サイボウズが提供する改修プログラムを適用することで解 決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_31125599_Cybozu.html セキュリティに関するお知らせ http://cybozu.co.jp/products/dl/notice_060901/

JP Vendor Status Notes JVN#99776858 http://jvn.jp/jp/JVN%2399776858/index.html

ウェブベースのシステム管理ツールである Webmin および Usermin に は、アクセス制限を回避したファイルの実行やクロスサイトスクリプティ ングを含む複数の脆弱性があります。結果として、遠隔の第三者により ユーザのブラウザ上で任意のスクリプトを実行されるなど、様々な問題 が生じる可能性があります。 対象となるバージョンは以下の通りです。 - Webmin Version 1.290 およびそれ以前 - Usermin Version 1.220 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Webmin または Usermin を更新することで解決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_99776858_webmin.html Security Alerts http://www.webmin.com/security.html

TCP 139番ポートへのスキャン増加に関する注意喚起 http://www.jpcert.or.jp/at/2006/at060012.txt

2006年8月24日に公開した「TCP 139番ポートへのスキャン増加に関する 注意喚起」に関して、注意喚起公開以降も継続的に TCP 139番ポートの スキャンの増加傾向を観測しているため、注意喚起を更新しました。 詳しくは、当該注意喚起文書を参照してください。

JPCERT/CCレポート http://www.jpcert.or.jp/wr/

JPCERT/CC REPORT は、従来テキスト形式のみ提供しておりましたが、 読者の皆様から頂いたご意見・ご要望を検討した結果、本号 (2006-09-06号) より XML 形式および HTML 形式での試験提供を開始い たしました。 なお、試験提供の形式および形態は変更される可能性があります。予め ご了承ください。 また、2006年8月30日以前発行分の HTML 形式および XML 形式の提供予 定は未定です。 読者の皆様のご意見、ご感想をお待ちしております。

JPCERT/CC REPORT 2006-09-06 号 (XML 形式) http://www.jpcert.or.jp/wr/2006/wr063401.xml JPCERT/CC REPORT 2006-09-06 号 (XML 形式) の PGP 署名 http://www.jpcert.or.jp/wr/2006/wr063401.xml.asc JPCERT/CC REPORT 2006-09-06 号 (HTML 形式) http://www.jpcert.or.jp/wr/2006/wr063401.html JPCERT/CC REPORT 2006-09-06 号 (HTML 形式) の PGP 署名 http://www.jpcert.or.jp/wr/2006/wr063401.html.asc JPCERT/CC REPORT DTD http://www.jpcert.or.jp/wr/wr.dtd

個人で契約したメールサービスを業務上の機密情報の取り扱いに使用す ることは、情報管理の面で非常に大きなリスクがあります。情報管理責 任者等から特別に許可を得ていない限りは、個人で契約したメールサー ビスを業務で使用しないことをお勧めします。 - 使用するサービスによっては、「情報」を第三者に提供する場合があ る。 → 機密情報や個人情報の漏洩につながる可能性がある。 - 企業と契約関係にない第三者の管理するサーバ上で機密情報や個人情 報を管理することになる。 → 情報漏洩の際、責任の所在が不明瞭になり、組織としての対応が 遅れる可能性がある。 JPCERT/CC REPORT 2004-12-08号の「一口メモ」 http://www.jpcert.or.jp/wr/2004/wr044801.txt JPCERT/CC REPORT 2005-05-11号の「一口メモ」 http://www.jpcert.or.jp/wr/2005/wr051801.txt