JPCERT-WR-2006-4302 2006-11-08 2006-10-29 2006-11-04

マイクロソフト セキュリティ アドバイザリ (927892) http://www.microsoft.com/japan/technet/security/advisory/927892.mspx

Microsoft XML コア サービスには未修正の脆弱性が存在します。結果と して、細工された Web ページや HTML 形式のメールなどを閲覧するこ とにより、ログオンユーザの権限で任意のコードを実行される可能性が あります。 なお、本脆弱性については、実際に攻撃が発生しているとの情報があり ますので、速やかに対応することを強くお勧めします。 対象となる環境は以下の通りです。 - Windows 2000 Service Pack 4 上に Microsoft XML Core Services 4.0 がインストールされている環境 - Windows XP Service Pack 2 上に Microsoft XML Core Services 4.0 がインストールされている環境 - Microsoft Windows Server 2003 および Microsoft Windows Server 2003 Service Pack 1 上に Microsoft XML Core Services 4.0 がイ ンストールされている環境 現時点で本脆弱性を修正するセキュリティ更新プログラムは提供されて おりません。回避策および詳細についてはベンダが提供する情報を参照 してください。

JPCERT/CC Alert 2006-11-06 http://www.jpcert.or.jp/at/2006/at060018.txt JP Vendor Status Notes JVNVU#585137 http://jvn.jp/cert/JVNVU%23585137/index.html Microsoft サポートオンライン http://support.microsoft.com/kb/240797 @police http://www.cyberpolice.go.jp/important/2006/20061105_092738.html US-CERT Vulnerability Note VU#585137 http://www.kb.cert.org/vuls/id/585137

US-CERT Vulnerability Note VU#851340 http://www.kb.cert.org/vuls/id/851340 US-CERT Vulnerability Note VU#787448 http://www.kb.cert.org/vuls/id/787448

OpenSSH の サーバプロセスには、複数の脆弱性があります。結果とし て、遠隔の第三者によりサーバプロセスがサービス運用妨害 (DoS) 攻撃 を受ける可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSH 4.3/4.3p2 およびそれ以前 詳細についてはベンダが提供する情報を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSH を更新することで解決します。

JP Vendor Status Notes JVNVU#851340 http://jvn.jp/cert/JVNVU%23851340/index.html JP Vendor Status Notes JVNVU#787448 http://jvn.jp/cert/JVNVU%23787448/index.html レッドハット セキュリティー&アップデート/ERRATA RHSA-2006:0697-9 https://www.redhat.co.jp/support/errata/RHSA/RHSA-2006-0697J.html Debian Security Advisory DSA-1189-1 http://www.debian.org/security/2006/dsa-1189 The FreeBSD Project Security Advisory http://security.freebsd.org/advisories/FreeBSD-SA-06:22.openssh.asc OpenSSH http://www.openssh.com/txt/release-4.4

CIAC Bulletin R-029 http://www.ciac.org/ciac/bulletins/r-029.shtml US-CERT Vulnerability Note VU#147252 http://www.kb.cert.org/vuls/id/147252

UNIX システム向けの NVIDIA ディスプレイドライバには、バッファオー バーフローの脆弱性があります。結果として、ローカルまたは遠隔の第 三者により、root 権限で任意のコードを実行される可能性があります。 対象となるバージョンは以下の通りです。 - NVIDIA Graphics Driver バージョン 1.0-8762 および 1.0-8774 この問題は、使用している OS のベンダや配布元が提供する修正済みの NVIDIA Graphics Driver バージョン 1.0-8776 (またはそれ以降) にド ライバを更新することで解決します。

Sun Alert Notification 102693 http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102693-1 NVIDIA Knowledgebase http://nvidia.custhelp.com/cgi-bin/nvidia.cfg/php/enduser/std_adp.php?p_faqid=1971 NVIDIA Corporation http://www.nvidia.com/object/linux_display_ia32_1.0-8776.html NVIDIA Corporation http://www.nvidia.com/object/linux_display_amd64_1.0-8776.html NVIDIA Corporation http://www.nvidia.com/object/freebsd_1.0-8776.html NVIDIA Corporation http://www.nvidia.com/object/solaris_display_1.0-8776.html

CIAC Bulletin R-027 http://www.ciac.org/ciac/bulletins/r-027.shtml

HP NonStop Server には、ディレクトリのアクセス権評価方法の誤りに 起因する認証回避の脆弱性があります。結果として、ローカルユーザが、 アクセス権限を与えられていないディレクトリやファイルにアクセスし てしまう可能性があります。 対象となるバージョンは以下の通りです。 - G06.29 が稼動する HP NonStop Server この問題は、HP が提供する最新の NonStop Server に製品を更新する ことで解決します。

SUPPORT COMMUNICATION - SECURITY BULLETIN c00795238 (登録が必要です) http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00795238

CIAC Bulletin R-028 http://www.ciac.org/ciac/bulletins/r-028.shtml

HP-UX には権限昇格の脆弱性があります。結果として、ローカルユーザ により root 権限が取得される可能性があります。 対象となるバージョンは以下の通りです。 - HP-UX B.11.00、B.11.04、および B.11.11 この問題は、HP が提供するパッチを適用することで解決します。

SUPPORT COMMUNICATION - SECURITY BULLETIN c00591401 version 1 http://h50221.www5.hp.com/upassist/itrc_japan/assist2/secbltn/HP-UX/HPSBUX02091.html SUPPORT COMMUNICATION - SECURITY BULLETIN c00591401 version 2 (登録が必要です) http://www1.itrc.hp.com/service/cki/docDisplay.do?docId=c00591401

Email Security Conference http://www.cmptech.jp/esc/

11月28日 (火)・29日 (水) ベルサール神田 (東京・千代田区) におい て Email Security Conference が開催されます。JPCERT/CC は 最新海外動向から考える、電子メールセキュリティ 〜わたし達ができること〜 をテーマにした講演を行います。プログラムの詳細については、上記 Web ページをご参照ください。 また、JPCERT/CC REPORT 読者向けに先着30名様限定の特別ご招待枠が 提供されていますのでご利用ください。下記登録サイトにて登録コード をご入力いただくと、参加料無料でご参加いただけます。定員となり次 第、参加募集は終了となります。 [登録サイト] https://reg.cmptech.jp/public/application/add/32#02 [登録コード] mPL853e6 登録についてのお問い合わせは、Email Security Conference 登録事 務局までお願いします。 [電話番号] 03-5148-2731 (営業時間: 平日10:00〜17:00) [電子メール] esc06-regist@cmptech.jp

JPCERT/CC http://www.jpcert.or.jp/seminar.html

JPCERT/CC 主催 C/C++ セキュアコーディングセミナーは、11月9日 (木)・ 11月10日 (金) の両日とも、席に若干の余裕がございます。セミナー当 日も会場受付にてお申し込みいただけますので、直接会場までお越しく ださい。なお、当日の受講料は現金のお支払いのみとなりますので、ご 了承ください。 また、優秀な若い人材の育成に役立てていただくため、学生割引をご用 意しています。学生の方は、受講費用が半額の 25,000円 (税込) とな ります (セミナー当日に受付で学生証をご提示ください)。 受講ご希望の方は、この機会にぜひ、お早めにお申し込みいただきます ようお勧めいたします。 詳細については http://www.jpcert.or.jp/seminar.html 【講 師】ロバート・C・シーコード ( Robert C. Seacord ) 氏 【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラ ムマネージャ 【開催日】(1) 2006年11月 9日 (木) 9:30 - 18:00 (2) 2006年11月10日 (金) 9:30 - 18:00 ※セミナーは同内容です。いずれか 1日をお選びください。 【受講料】受講料金 50,000円 (税込) 学生割引 25,000円 (税込) (セミナー当日に受付で学生証をご提示ください) ※昼食は含まれません 【申込方法】 アスキービジネス オンラインサイトよりお申し込みください http://ascii-business.com/abiz/jpcert/ なお、本イベントは Trusted CPE イベントとして認定されております (クレジット「7ポイント」付与)。

USB メモリや外付け HDD など、手軽に使える大容量なリムーバブルメ ディアが普及しています。これらのメディアを業務などで扱う場合には、 情報管理担当者の管理下において、用途別に使用する機器を分け、それ ぞれに適切な運用方法を設けることを推奨します。 一例として、下記のような用途と運用方法が考えられます。 - データ一時保存 (運搬) 用 → データの運搬に必要な時以外は、基本的にファイルを保存せず、 定期的に専用ソフトウエアなどを用いデータの完全消去を行う。 社外に持ち出す場合はデータを暗号化する。 - データ長期保存用 → 保存するデータは暗号化し、メディアは安全な場所に保管する。 その他にも、使用状況を記録する、機器ごとに管理者を決めるなどの運 用により、盗難・紛失による情報漏洩の予防につながると考えられます。 なお、リムーバブルメディアの使用については、組織内の情報管理ポリ シーをご確認ください。