JPCERT-WR-2006-4201
2006-11-01
2006-10-22
2006-10-28
desknet's にバッファオーバーフローの脆弱性
JP Vendor Status Notes JVN#07235355
desknet's におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2307235355/index.html
ウェブベースのグループウェアである desknet's には、バッファオーバ
ーフローの脆弱性があります。結果として、遠隔の第三者により、任意
のコマンドを実行される可能性があります。また、サービス運用妨害
(DoS) 攻撃を受ける可能性があります。
対象となるバージョンは以下の通りです。
- バージョン V4.5J R2.4 およびそれ以前
詳細についてはベンダが提供する情報を参照してください。
この問題は、ベンダが提供する修正済みのバージョンに desknet's を
更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#07235355「desknet's」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_07235355_desknets.html
desknet's(デスクネッツ):ダウンロード
http://www.desknets.com/standard/download/index.html
Clam AntiVirus に複数の脆弱性
CIAC Bulletin R-022
ClamAV
http://www.ciac.org/ciac/bulletins/r-022.shtml
Clam AntiVirus (ClamAV) には、ヒープオーバーフローを含む複数の脆
弱性があります。結果として、遠隔の第三者により任意のコードを実行
されるなどの可能性があります。
詳細については上記情報源および下記関連文書を参照してください。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに Clam AntiVirus を更新することで解決します。
Debian Security Advisory DSA-1196-1
clamav -- several vulnerabilities
http://www.debian.org/security/2006/dsa-1196
ClamAV
Project News
http://www.clamav.net/
Symantec 製品に含まれるデバイスドライバに権限昇格の脆弱性
CIAC Bulletin R-024
Symantec Device Driver Elevation of Privilege
http://www.ciac.org/ciac/bulletins/r-024.shtml
Symantec AntiVirus Corporate Edition および Symantec Client
Security に含まれるデバイスドライバに権限昇格の脆弱性があります。
結果として、ローカルユーザにより任意のコードを実行される可能性が
あります。
対象となるバージョンは以下の通りです。
- Symantec AntiVirus Corporate Edition 8.1
- Symantec AntiVirus Corporate Edition 9.0.3 およびそれ以前
- Symantec Client Security 1.1
- Symantec Client Security 2.0.3 およびそれ以前
この問題は、Symantec が提供している更新プログラムを適用すること
で解決します。
Symantec Security Response SYM06-022
シマンテックのデバイス・ドライバに特権昇格の脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2006.10.23.html
Sun Java System および iPlanet の Messaging Server にクロスサイトスクリプティングの脆弱性
CIAC Bulletin R-025
Security Vulnerability in Webmail
http://www.ciac.org/ciac/bulletins/r-025.shtml
Sun Java System Messaging Server および iPlanet Messaging Server
にクロスサイトスクリプティングの脆弱性があります。結果として、遠
隔の第三者によりユーザのブラウザ上で任意のスクリプトを実行された
り、セッション・ハイジャックが行われたりする可能性があります。
対象となるバージョンは以下の通りです。
- Sun Java System Messaging Server 6.0
- iPlanet Messaging Server 5.2
この問題は Sun が提供するパッチを適用することで解決します。対象と
なる Solaris のバージョンなど、詳細についてはベンダが提供する情報
を参照してください。
Sun Alert Notification 102497
Security Vulnerability in Webmail May Allow Messages Embedded With Javascript to be Executed in End User's Browser
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102497-1
CruiseWorks に複数の脆弱性
JP Vendor Status Notes JVNVU#338652
CruiseWorks にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23338652/index.html
JP Vendor Status Notes JVNVU#176908
CruiseWorks にディレクトリトラバーサルの脆弱性
http://jvn.jp/cert/JVNVU%23176908/index.html
グループウェア CruiseWorks には、バッファオーバーフローおよびディ
レクトリトラバーサルの脆弱性があります。結果として、サーバ上で任
意のコードが実行されたり、サーバ上のファイルを閲覧されたりする可
能性があります。
対象となるバージョンは以下の通りです。
- CruiseWorks 1.09c、1.09d およびそれ以前
詳細についてはベンダが提供する情報を参照してください。
この問題は、ベンダが提供する改修プログラムを適用することで解決し
ます。
CruiseWorks(クルーズワークス) 改修版(Ver.1-09e)ダウンロード専用サイト
クルーズワークスの脆弱性について
http://www.kynos.co.jp/cruise/cws/cwsdownload_upinfo1_09e.html
JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
JPCERT/CC
脆弱性のない安全なプログラムを開発するために
http://www.jpcert.or.jp/seminar.html
JPCERT/CC REPORT 2006-10-18 号および 2006-10-25 号で紹介した
JPCERT/CC 主催 C/C++ セキュアコーディングセミナーの早期割引が、
お問合せ多数につき 11月2日 (木) まで期間延長されました。早期割引
は受講費用が 20% 割引となります。是非、ご検討ください。
また、優秀な若い人材の育成に役立てていただくため、学生割引も新た
にご用意しました。学生の方は、受講費用が半額の 25,000円 (税込)
となります (セミナー当日に受付で学生証をご提示ください)。
受講ご希望の方は、この機会にぜひ、お早めにお申し込みいただきます
ようお勧めいたします。
詳細については http://www.jpcert.or.jp/seminar.html
【講 師】ロバート・C・シーコード ( Robert C. Seacord ) 氏
【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラ
ムマネージャ
【開催日】(1) 2006年11月 9日(木) 9:30 - 18:00
(2) 2006年11月10日(金) 9:30 - 18:00
※セミナーは同内容です。いずれか 1日をお選びください。
【受講料】11月 2日まで早期割引 40,000円 (税込)
11月 3日から通常価格 50,000円 (税込)
学生割引 25,000円 (税込)
(セミナー当日に受付で学生証をご提示ください)
※昼食は含まれません
【申込方法】 アスキービジネス オンラインサイトよりお申し込みください
http://ascii-business.com/abiz/jpcert/
なお、本イベントは Trusted CPE イベントとして認定されております
(クレジット「7ポイント」付与)。
JPCERT/CC REPORT 2006-10-18号
【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
http://www.jpcert.or.jp/wr/2006/wr064002.html#7
JPCERT/CC REPORT 2006-10-25号
【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
http://www.jpcert.or.jp/wr/2006/wr064101.html#7
ソフトウェアのサポート期限に注意する
ソフトウェアのベンダによっては、配布しているソフトウェアのバージョ
ンごとにサポート期限を予め定めています。サポート期限の過ぎたソフ
トウェアを使用し続ける場合、期限が過ぎた後に脆弱性が発見されても
セキュリティパッチ等が提供されないため、脆弱性への直接的な対策が
取れずインシデントが発生する可能性が高くなります。
そのため使用しているソフトウェアにサポート期限があるかどうかを確
認するようお勧めします。もし、サポート期限が近づいていたり過ぎて
いたりした場合は、最新版への置き換えを検討してください。
何らかの理由により最新版のソフトウェアへの置き換えが困難な場合は、
当該ソフトウェアの脆弱性に関する情報を収集し、使用しているシステ
ムがどのような状況であるか、また、発見された脆弱性がシステムに対
してどのような影響を及ぼすかを把握し、インシデントを防ぐための回
避策を検討することが必要となります。
Microsoft サポート オンライン
Windows XP SP1 および SP1a のセキュリティ更新プログラムのサポートを 2006 年 10 月 11 日に終了しました
http://support.microsoft.com/gp/lifean19
Microsoft サポート オンライン
マイクロソフト プロダクト サポート ライフサイクル FAQ
http://support.microsoft.com/gp/lifepolicy
サン・マイクロシステムズ
Solaris オペレーティングシステムに対するサンのライフサイクルモデル
http://jp.sun.com/products/software/solaris/fcc/lifecycle.html
レッドハット
Red Hat Enterprise Linuxのサポートポリシー
http://www.jp.redhat.com/software/rhel/support_policy_jp.html