-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-4201 JPCERT/CC 2006-11-01 <<< JPCERT/CC REPORT 2006-11-01 >>> ―――――――――――――――――――――――――――――――――――――― ■10/22(日)〜10/28(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】desknet's にバッファオーバーフローの脆弱性 【2】Clam AntiVirus に複数の脆弱性 【3】Symantec 製品に含まれるデバイスドライバに権限昇格の脆弱性 【4】Sun Java System および iPlanet の Messaging Server にクロスサイトスクリプティングの脆弱性 【5】CruiseWorks に複数の脆弱性 【6】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2006/wr064201.html http://www.jpcert.or.jp/wr/2006/wr064201.xml ============================================================================= 【1】desknet's にバッファオーバーフローの脆弱性 情報源 JP Vendor Status Notes JVN#07235355 desknet's におけるバッファオーバーフローの脆弱性 http://jvn.jp/jp/JVN%2307235355/index.html 概要 ウェブベースのグループウェアである desknet's には、バッファオーバ ーフローの脆弱性があります。結果として、遠隔の第三者により、任意 のコマンドを実行される可能性があります。また、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 対象となるバージョンは以下の通りです。 - バージョン V4.5J R2.4 およびそれ以前 詳細についてはベンダが提供する情報を参照してください。 この問題は、ベンダが提供する修正済みのバージョンに desknet's を 更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#07235355「desknet's」におけるバッファオーバーフローの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_07235355_desknets.html desknet's(デスクネッツ):ダウンロード http://www.desknets.com/standard/download/index.html 【2】Clam AntiVirus に複数の脆弱性 情報源 CIAC Bulletin R-022 ClamAV http://www.ciac.org/ciac/bulletins/r-022.shtml 概要 Clam AntiVirus (ClamAV) には、ヒープオーバーフローを含む複数の脆 弱性があります。結果として、遠隔の第三者により任意のコードを実行 されるなどの可能性があります。 詳細については上記情報源および下記関連文書を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Clam AntiVirus を更新することで解決します。 関連文書 (英語) Debian Security Advisory DSA-1196-1 clamav -- several vulnerabilities http://www.debian.org/security/2006/dsa-1196 ClamAV Project News http://www.clamav.net/ 【3】Symantec 製品に含まれるデバイスドライバに権限昇格の脆弱性 情報源 CIAC Bulletin R-024 Symantec Device Driver Elevation of Privilege http://www.ciac.org/ciac/bulletins/r-024.shtml 概要 Symantec AntiVirus Corporate Edition および Symantec Client Security に含まれるデバイスドライバに権限昇格の脆弱性があります。 結果として、ローカルユーザにより任意のコードを実行される可能性が あります。 対象となるバージョンは以下の通りです。 - Symantec AntiVirus Corporate Edition 8.1 - Symantec AntiVirus Corporate Edition 9.0.3 およびそれ以前 - Symantec Client Security 1.1 - Symantec Client Security 2.0.3 およびそれ以前 この問題は、Symantec が提供している更新プログラムを適用すること で解決します。 関連文書 (日本語) Symantec Security Response SYM06-022 シマンテックのデバイス・ドライバに特権昇格の脆弱性 http://www.symantec.com/region/jp/avcenter/security/content/2006.10.23.html 【4】Sun Java System および iPlanet の Messaging Server にクロスサイトスクリプティングの脆弱性 情報源 CIAC Bulletin R-025 Security Vulnerability in Webmail http://www.ciac.org/ciac/bulletins/r-025.shtml 概要 Sun Java System Messaging Server および iPlanet Messaging Server にクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者によりユーザのブラウザ上で任意のスクリプトを実行された り、セッション・ハイジャックが行われたりする可能性があります。 対象となるバージョンは以下の通りです。 - Sun Java System Messaging Server 6.0 - iPlanet Messaging Server 5.2 この問題は Sun が提供するパッチを適用することで解決します。対象と なる Solaris のバージョンなど、詳細についてはベンダが提供する情報 を参照してください。 関連文書 (英語) Sun Alert Notification 102497 Security Vulnerability in Webmail May Allow Messages Embedded With Javascript to be Executed in End User's Browser http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102497-1 【5】CruiseWorks に複数の脆弱性 情報源 JP Vendor Status Notes JVNVU#338652 CruiseWorks にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU%23338652/index.html JP Vendor Status Notes JVNVU#176908 CruiseWorks にディレクトリトラバーサルの脆弱性 http://jvn.jp/cert/JVNVU%23176908/index.html 概要 グループウェア CruiseWorks には、バッファオーバーフローおよびディ レクトリトラバーサルの脆弱性があります。結果として、サーバ上で任 意のコードが実行されたり、サーバ上のファイルを閲覧されたりする可 能性があります。 対象となるバージョンは以下の通りです。 - CruiseWorks 1.09c、1.09d およびそれ以前 詳細についてはベンダが提供する情報を参照してください。 この問題は、ベンダが提供する改修プログラムを適用することで解決し ます。 関連文書 (日本語) CruiseWorks(クルーズワークス) 改修版(Ver.1-09e)ダウンロード専用サイト クルーズワークスの脆弱性について http://www.kynos.co.jp/cruise/cws/cwsdownload_upinfo1_09e.html 【6】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内 情報源 JPCERT/CC 脆弱性のない安全なプログラムを開発するために http://www.jpcert.or.jp/seminar.html 概要 JPCERT/CC REPORT 2006-10-18 号および 2006-10-25 号で紹介した JPCERT/CC 主催 C/C++ セキュアコーディングセミナーの早期割引が、 お問合せ多数につき 11月2日 (木) まで期間延長されました。早期割引 は受講費用が 20% 割引となります。是非、ご検討ください。 また、優秀な若い人材の育成に役立てていただくため、学生割引も新た にご用意しました。学生の方は、受講費用が半額の 25,000円 (税込) となります (セミナー当日に受付で学生証をご提示ください)。 受講ご希望の方は、この機会にぜひ、お早めにお申し込みいただきます ようお勧めいたします。 詳細については http://www.jpcert.or.jp/seminar.html 【講 師】ロバート・C・シーコード ( Robert C. Seacord ) 氏 【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラ ムマネージャ 【開催日】(1) 2006年11月 9日(木) 9:30 - 18:00 (2) 2006年11月10日(金) 9:30 - 18:00 ※セミナーは同内容です。いずれか 1日をお選びください。 【受講料】11月 2日まで早期割引 40,000円 (税込) 11月 3日から通常価格 50,000円 (税込) 学生割引 25,000円 (税込) (セミナー当日に受付で学生証をご提示ください) ※昼食は含まれません 【申込方法】 アスキービジネス オンラインサイトよりお申し込みください http://ascii-business.com/abiz/jpcert/ なお、本イベントは Trusted CPE イベントとして認定されております (クレジット「7ポイント」付与)。 関連文書 (日本語) JPCERT/CC REPORT 2006-10-18号 【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内 http://www.jpcert.or.jp/wr/2006/wr064002.html#7 JPCERT/CC REPORT 2006-10-25号 【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内 http://www.jpcert.or.jp/wr/2006/wr064101.html#7 ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○ソフトウェアのサポート期限に注意する ソフトウェアのベンダによっては、配布しているソフトウェアのバージョ ンごとにサポート期限を予め定めています。サポート期限の過ぎたソフ トウェアを使用し続ける場合、期限が過ぎた後に脆弱性が発見されても セキュリティパッチ等が提供されないため、脆弱性への直接的な対策が 取れずインシデントが発生する可能性が高くなります。 そのため使用しているソフトウェアにサポート期限があるかどうかを確 認するようお勧めします。もし、サポート期限が近づいていたり過ぎて いたりした場合は、最新版への置き換えを検討してください。 何らかの理由により最新版のソフトウェアへの置き換えが困難な場合は、 当該ソフトウェアの脆弱性に関する情報を収集し、使用しているシステ ムがどのような状況であるか、また、発見された脆弱性がシステムに対 してどのような影響を及ぼすかを把握し、インシデントを防ぐための回 避策を検討することが必要となります。 参考文献 (日本語) Microsoft サポート オンライン Windows XP SP1 および SP1a のセキュリティ更新プログラムのサポートを 2006 年 10 月 11 日に終了しました http://support.microsoft.com/gp/lifean19 Microsoft サポート オンライン マイクロソフト プロダクト サポート ライフサイクル FAQ http://support.microsoft.com/gp/lifepolicy サン・マイクロシステムズ Solaris オペレーティングシステムに対するサンのライフサイクルモデル http://jp.sun.com/products/software/solaris/fcc/lifecycle.html レッドハット Red Hat Enterprise Linuxのサポートポリシー http://www.jp.redhat.com/software/rhel/support_policy_jp.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRUf8DIx1ay4slNTtAQH3XQQAsINyCv/IAZ8ThyhqDNCSvFoicHzYidgq Sf66l3iVQP2HL3Vw9xRkXq7N0UNuv664PcvGsGAGTNpjXxiLkPPxSm+l0JIJNLs9 8NKVxeG42egDL5QXJG175LNYj5ZstLIWxU1r45zuvSVGL6QizmviSrMTqrxJ6jAJ oYGbj+Q9hfE= =fpdP -----END PGP SIGNATURE-----