JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2006 > Weekly Report 2006-11-15号

最終更新: 2006-11-15

Weekly Report 2006-11-15号


JPCERT-WR-2006-4401
JPCERT/CC
2006-11-15

<<< JPCERT/CC WEEKLY REPORT 2006-11-15 >>>

■11/05(日)〜11/11(土) のセキュリティ関連情報

目 次

【1】Mozilla 製品における複数の脆弱性の修正

【2】Apache HTTP サーバの mod_tcl モジュールに脆弱性

【3】Cisco Secure Desktop に複数の脆弱性

【4】phpMyAdmin に複数のクロスサイトスクリプティングの脆弱性

【5】Wireshark (旧 Ethereal) に複数の脆弱性

【6】ハイパー日記システムにクロスサイトスクリプティングの脆弱性

【7】MyODBC 日本語変換機能版に脆弱性

【8】Kahua にログインセッション共有の脆弱性

【9】Internet Week 2006『Security Day 2006』のご案内

【今週のひとくちメモ】データの消去方法について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2006/wr064401.txt
https://www.jpcert.or.jp/wr/2006/wr064401.xml

【1】Mozilla 製品における複数の脆弱性の修正

情報源

US-CERT Technical Cyber Security Alert TA06-312A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA06-312A.html

US-CERT Cyber Security Alert SA06-312A
Mozilla Products Contain Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA06-312A.html

US-CERT Vulnerability Note VU#815432
Mozilla XML.prototype.hasOwnProperty() method memory corruption vulnerability
http://www.kb.cert.org/vuls/id/815432

US-CERT Vulnerability Note VU#335392
The Mozilla Network Security Services library fails to properly verify RSA signatures
http://www.kb.cert.org/vuls/id/335392

US-CERT Vulnerability Note VU#390480
Mozilla products vulnerable to memory corruption
http://www.kb.cert.org/vuls/id/390480

US-CERT Vulnerability Note VU#495288
Mozilla products contain several unspecified errors in the layout engine
http://www.kb.cert.org/vuls/id/495288

US-CERT Vulnerability Note VU#714496
Mozilla products allow execution of arbitrary JavaScript
http://www.kb.cert.org/vuls/id/714496

CIAC Bulletin R-032
Firefox Crashes with Evidence of Memory Corruption
http://www.ciac.org/ciac/bulletins/r-032.shtml

CIAC Bulletin R-033
RSA Signature Forgery (variant)
http://www.ciac.org/ciac/bulletins/r-033.shtml

CIAC Bulletin R-034
Running Script can be recompiled
http://www.ciac.org/ciac/bulletins/r-034.shtml

概要

Mozilla から提供されているウェブブラウザやその他の製品には、複数
の脆弱性があります。結果として、遠隔の第三者により任意のコードを
実行されたり、https 接続や S/MIME の検証において RSA 署名を偽装
されたりするなど、様々な影響を受ける可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Mozilla Firefox 1.5.0.7 およびそれ以前
- Mozilla Thunderbird 1.5.0.7 およびそれ以前
- SeaMonkey 1.0.5 およびそれ以前
- Netscape

Mozilla コンポーネントを用いているその他の製品(特に Gecko エンジ
ンを用いている製品)でも対象となる可能性があります。詳細について
はベンダが提供する情報を参照してください。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンにそれぞれの製品を更新することで解決します。

関連文書 (日本語)

JP Vendor Status Notes JVNTA06-312A
Mozilla 製品における複数の脆弱性の修正
http://jvn.jp/cert/JVNTA06-312A/index.html

JP Vendor Status Notes TRTA06-312A
Mozilla 製品における複数の脆弱性の修正
http://jvn.jp/tr/TRTA06-312A/index.html

Mozilla Foundation セキュリティアドバイザリ 2006-65
メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8)
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-65.html

Mozilla Foundation セキュリティアドバイザリ 2006-66
RSA 署名の偽造 (変異型)
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-66.html

Mozilla Foundation セキュリティアドバイザリ 2006-67
実行されたスクリプトの再コンパイル
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-67.html

関連文書 (英語)

Red Hat セキュリティアドバイス RHSA-2006:0733-4
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2006-0733.html

Red Hat セキュリティアドバイス RHSA-2006:0734-5
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2006-0734.html

Red Hat セキュリティアドバイス RHSA-2006:0735-4
Critical: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2006-0735.html

【2】Apache HTTP サーバの mod_tcl モジュールに脆弱性

情報源

US-CERT Vulnerability Note VU#366020
Apache mod_tcl module contains a format string error
http://www.kb.cert.org/vuls/id/366020

CIAC Bulletin R-031
Apache mod_tcl Module Contains a Format String Error
http://www.ciac.org/ciac/bulletins/r-031.shtml

概要

Apache HTTP サーバのモジュールのひとつである mod_tcl には、書式
指定文字列の処理に脆弱性があります。結果として、遠隔の第三者によ
り、httpd プロセスの権限で任意のコードを実行される可能性がありま
す。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに mod_tcl を更新することで解決します。

関連文書 (英語)

mod_tcl Apache Web Server Module
http://tcl.apache.org/mod_tcl/

【3】Cisco Secure Desktop に複数の脆弱性

情報源

CIAC Bulletin R-035
Multiple Vulnerabilities in Cisco Secure Desktop
http://www.ciac.org/ciac/bulletins/r-035.shtml

概要

Cisco Secure Desktop には複数の脆弱性があります。結果として、特
定の条件下で、セッション中に作成・編集されたファイルの情報が漏え
いしたり、システムポリシーを回避されたりするなど様々な影響を受け
る可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Secure Desktop バージョン 3.1.1.33 およびそれ以前

この問題は、Cisco が提供する修正済みのバージョン 3.1.1.45 (または
それ以降) に Cisco Secure Desktop を更新することで解決します。

関連文書 (英語)

Cisco Security Advisories 72020
Multiple Vulnerabilities in Cisco Secure Desktop
http://www.cisco.com/warp/public/707/cisco-sa-20061108-csd.shtml

【4】phpMyAdmin に複数のクロスサイトスクリプティングの脆弱性

情報源

CIAC Bulletin R-036
phpmyadmin Several Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-036.shtml

概要

Web 経由で MySQL を管理するためのプログラムである phpMyAdmin に
は、複数のクロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者により、ユーザのブラウザ上で任意のスクリプトを
実行される可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに phpMyAdmin を更新することで解決します。

関連文書 (英語)

Debian Security Advisory DSA-1207-1
phpmyadmin -- several vulnerabilities
http://www.debian.org/security/2006/dsa-1207

phpMyAdmin security announcement PMASA-2005-6
HTTP Response Splitting vulnerability
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-6

phpMyAdmin security announcement PMASA-2005-8
XSS vulnerabilities
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-8

phpMyAdmin security announcement PMASA-2006-1
XSS vulnerabilities
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-1

phpMyAdmin security announcement PMASA-2006-2
XSS vulnerabilities
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-2

phpMyAdmin security announcement PMASA-2006-5
XSRF (Cross Site Request Forgery) vulnerabilities
http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-5

【5】Wireshark (旧 Ethereal) に複数の脆弱性

情報源

CIAC Bulletin R-037
Wireshark Security Update
http://www.ciac.org/ciac/bulletins/r-037.shtml

概要

Wireshark (旧 Ethereal) には、複数の脆弱性があります。結果として、
遠隔の第三者により任意のコードを実行されたりサービス運用妨害 
(DoS) 攻撃を受けたりするなどの可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに Wireshark を更新することで解決します。

関連文書 (英語)

Red Hat Security Advisory RHSA-2006:0726-6
Moderate: wireshark security update
https://rhn.redhat.com/errata/RHSA-2006-0726.html

Wireshark: wnpa-sec-2006-02
Multiple problems in Wireshark (Ethereal(R)) versions 0.7.9 to 0.99.2
http://www.wireshark.org/security/wnpa-sec-2006-02.html

【6】ハイパー日記システムにクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#88325166
ハイパー日記システムにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2388325166/index.html

概要

Web 日記作成支援ソフトウェアであるハイパー日記システムには、クロ
スサイトスクリプティングの脆弱性があります。結果として、遠隔の第
三者により、ユーザのブラウザ上で任意のスクリプトを実行されたりセッ
ション・ハイジャックが行われたりする可能性があります。

対象となるバージョンは以下の通りです。

- hns-2.19.8 およびそれ以前
- hns-lite-2.19.8 およびそれ以前

この問題は、配布元が提供する修正済みのバージョンにハイパー日記シ
ステムを更新することで解決します。

関連文書 (日本語)

HyperNikkiSystem Project hns-SA-2006-02
webif.cgi XSS脆弱性
http://www.h14m.org/SA/2006/hns-SA-2006-02.txt

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#88325166「ハイパー日記システム」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_88325166_hns.html

【7】MyODBC 日本語変換機能版に脆弱性

情報源

JP Vendor Status Notes JVN#30994815
MyODBC 日本語変換機能版におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/jp/JVN%2330994815/index.html

概要

ODBC 対応アプリケーションから MySQL データベースへの接続を中継す
る ODBC ドライバである MyODBC の日本語変換機能版には脆弱性があり
ます。結果として、遠隔の第三者により、サービス運用妨害 (DoS) 攻
撃を受ける可能性があります。

対象となるバージョンは以下の通りです。

- MyODBC 日本語変換機能版 バージョン 3.51.06、2.50.29、2.50.25

なお、MyODBC 日本語変換機能版はすでに開発およびメンテナンスが終了
しています。MySQL 4.1 以降では文字コードの自動変換機能があるの
で、MySQL 4.1 以降を利用することを推奨します。詳細についてはベン
ダが提供する情報を参照してください。

関連文書 (日本語)

MySQL/プログラム/MyODBC を導入する
お知らせ
http://www.softagency.co.jp/products/mysql/win_myodbc.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#30994815「MyODBC 日本語変換機能版」におけるサービス運用妨害 (DoS) の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_30994815_MyODBC.html

【8】Kahua にログインセッション共有の脆弱性

情報源

JP Vendor Status Notes JVN#34522909
Kahua におけるログインセッション共有の脆弱性
http://jvn.jp/jp/JVN%2334522909/index.html

概要

オープンソースのアプリケーション開発、およびその実行環境である 
Kahua には、ログインセッションが意図しない形で共有される脆弱性が
あります。結果として、異なるユーザデータベースを使用している場合、
本来利用できる範囲を超えて第三者にアプリケーションを利用される可
能性があります。

対象となるバージョンは以下の通りです。

- バージョン 0.6 およびそれ以前
- 2006-09-26 以前の CVS バージョン

この問題は、配布元が提供する修正済みのバージョンに Kahua を更新す
ることで解決します。

関連文書 (日本語)

KSA2006-001
Kahua Security Advisary 2006-001
http://www.kahua.org/cgi-bin/kahua.fcgi/kahua-web/show/KSA/KSA2006-001

【9】Internet Week 2006『Security Day 2006』のご案内

情報源

Internet Week 2006 カンファレンスプログラム
C6 : Security Day 2006 あなたの出番です! 〜市民権を得たセキュリティ対策〜
https://internetweek.smartseminar.jp/public/session/view/6

概要

12月5日 (火) より12月8日 (金) まで、パシフィコ横浜会議センターに
おいて Internet Week 2006 が開催されます。

JPCERT/CC は、特定非営利活動法人日本ネットワークセキュリティ協会
(JNSA) と財団法人日本データ通信協会テレコム・アイザック推進会議
(Telecom-ISAC Japan) と共催で、下記のカンファレンスを開催いたし
ます。

    Security Day 2006
    あなたの出番です! 〜市民権を得たセキュリティ対策〜

    日時: 12月7日 (木) 10:00-17:00
    会場: パシフィコ横浜会議センター

基調講演に内閣官房情報セキュリティセンター (NISC) 情報セキュリティ
補佐官の山口 英氏を迎え、ご講演いただく予定です。また、インシデ
ント調査に見る脅威の実態や最近のセキュリティ動向、組織的なインシ
デント対応体制についてなど、最新のインシデント情報をお伝えします。

参加申込の詳細については下記 Web ページをご参照ください。なお、
お得な事前申込みは11月22日 (水) までとなっております。

    Internet Week 2006お申し込みに関して
    http://internetweek.jp/timetable/apply.html

    事前料金 一般: 6,000円/会員: 5,000円
    当日料金 一般: 7,000円/会員: 6,000円

関連文書 (日本語)

Internet Week 2006
Internet Week 2006お申し込みに関して
http://internetweek.jp/timetable/apply.html

Internet Week 2006
Internet Week 2006開催のお知らせ
http://internetweek.jp/

■今週のひとくちメモ

○データの消去方法について

データ復旧用ソフトウェアなどを使用することで、削除されたファイル
を再び読み取ることが可能になる場合があるため、保存してある内容の
重要度や状況に応じてデータの消去方法を検討することが望まれます。

重要なデータを確実に消去する場合の例として、下記のような方法があ
ります。

    - 無意味なデータで上書きする

      消去したいデータや記憶装置全体に無意味なデータを複数回にわ
      たって上書きするなどの方法でデータの復旧・読み取りを困難に
      する方法があります。

    - 電気的もしくは磁気的に破壊する

      専用装置にて電気的もしくは磁気的に記憶領域を破壊する方法が
      あります。

    - 物理的に破壊する

      記憶装置を物理的に破壊することで第三者がデータを読み取る事
      が難しくなります。

なお、上記の方法については、専用のツールや専門の業者も存在します。

参考文献 (日本語)

社団法人 電子情報技術産業協会 (JEITA)
パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関するガイドライン
http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/

社団法人 電子情報技術産業協会 (JEITA)
パソコンの廃棄・譲渡時のハードディスク上のデータ消去に関するご注意
http://it.jeita.or.jp/perinfo/release/020411.html

JPCERT/CC REPORT 2005-02-02号 [今週の一口メモ]
記憶媒体からのデータ消去
http://www.jpcert.or.jp/wr/2005/wr050501.txt

JPCERT/CC REPORT 2006-11-08号 [今週の一口メモ]
リムーバブルメディアの適切な運用方法を決める
http://www.jpcert.or.jp/wr/2006/wr064302.txt

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english