-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-4401 JPCERT/CC 2006-11-15 <<< JPCERT/CC REPORT 2006-11-15 >>> ―――――――――――――――――――――――――――――――――――――― ■11/05(日)〜11/11(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】Mozilla 製品における複数の脆弱性の修正 【2】Apache HTTP サーバの mod_tcl モジュールに脆弱性 【3】Cisco Secure Desktop に複数の脆弱性 【4】phpMyAdmin に複数のクロスサイトスクリプティングの脆弱性 【5】Wireshark (旧 Ethereal) に複数の脆弱性 【6】ハイパー日記システムにクロスサイトスクリプティングの脆弱性 【7】MyODBC 日本語変換機能版に脆弱性 【8】Kahua にログインセッション共有の脆弱性 【9】Internet Week 2006『Security Day 2006』のご案内 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2006/wr064401.html http://www.jpcert.or.jp/wr/2006/wr064401.xml ============================================================================= 【1】Mozilla 製品における複数の脆弱性の修正 情報源 US-CERT Technical Cyber Security Alert TA06-312A Mozilla Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-312A.html US-CERT Cyber Security Alert SA06-312A Mozilla Products Contain Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-312A.html US-CERT Vulnerability Note VU#815432 Mozilla XML.prototype.hasOwnProperty() method memory corruption vulnerability http://www.kb.cert.org/vuls/id/815432 US-CERT Vulnerability Note VU#335392 The Mozilla Network Security Services library fails to properly verify RSA signatures http://www.kb.cert.org/vuls/id/335392 US-CERT Vulnerability Note VU#390480 Mozilla products vulnerable to memory corruption http://www.kb.cert.org/vuls/id/390480 US-CERT Vulnerability Note VU#495288 Mozilla products contain several unspecified errors in the layout engine http://www.kb.cert.org/vuls/id/495288 US-CERT Vulnerability Note VU#714496 Mozilla products allow execution of arbitrary JavaScript http://www.kb.cert.org/vuls/id/714496 CIAC Bulletin R-032 Firefox Crashes with Evidence of Memory Corruption http://www.ciac.org/ciac/bulletins/r-032.shtml CIAC Bulletin R-033 RSA Signature Forgery (variant) http://www.ciac.org/ciac/bulletins/r-033.shtml CIAC Bulletin R-034 Running Script can be recompiled http://www.ciac.org/ciac/bulletins/r-034.shtml 概要 Mozilla から提供されているウェブブラウザやその他の製品には、複数 の脆弱性があります。結果として、遠隔の第三者により任意のコードを 実行されたり、https 接続や S/MIME の検証において RSA 署名を偽装 されたりするなど、様々な影響を受ける可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Mozilla Firefox 1.5.0.7 およびそれ以前 - Mozilla Thunderbird 1.5.0.7 およびそれ以前 - SeaMonkey 1.0.5 およびそれ以前 - Netscape Mozilla コンポーネントを用いているその他の製品(特に Gecko エンジ ンを用いている製品)でも対象となる可能性があります。詳細について はベンダが提供する情報を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンにそれぞれの製品を更新することで解決します。 関連文書 (日本語) JP Vendor Status Notes JVNTA06-312A Mozilla 製品における複数の脆弱性の修正 http://jvn.jp/cert/JVNTA06-312A/index.html JP Vendor Status Notes TRTA06-312A Mozilla 製品における複数の脆弱性の修正 http://jvn.jp/tr/TRTA06-312A/index.html Mozilla Foundation セキュリティアドバイザリ 2006-65 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.8) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-65.html Mozilla Foundation セキュリティアドバイザリ 2006-66 RSA 署名の偽造 (変異型) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-66.html Mozilla Foundation セキュリティアドバイザリ 2006-67 実行されたスクリプトの再コンパイル http://www.mozilla-japan.org/security/announce/2006/mfsa2006-67.html 関連文書 (英語) Red Hat セキュリティアドバイス RHSA-2006:0733-4 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2006-0733.html Red Hat セキュリティアドバイス RHSA-2006:0734-5 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2006-0734.html Red Hat セキュリティアドバイス RHSA-2006:0735-4 Critical: thunderbird security update https://rhn.redhat.com/errata/RHSA-2006-0735.html 【2】Apache HTTP サーバの mod_tcl モジュールに脆弱性 情報源 US-CERT Vulnerability Note VU#366020 Apache mod_tcl module contains a format string error http://www.kb.cert.org/vuls/id/366020 CIAC Bulletin R-031 Apache mod_tcl Module Contains a Format String Error http://www.ciac.org/ciac/bulletins/r-031.shtml 概要 Apache HTTP サーバのモジュールのひとつである mod_tcl には、書式 指定文字列の処理に脆弱性があります。結果として、遠隔の第三者によ り、httpd プロセスの権限で任意のコードを実行される可能性がありま す。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに mod_tcl を更新することで解決します。 関連文書 (英語) mod_tcl Apache Web Server Module http://tcl.apache.org/mod_tcl/ 【3】Cisco Secure Desktop に複数の脆弱性 情報源 CIAC Bulletin R-035 Multiple Vulnerabilities in Cisco Secure Desktop http://www.ciac.org/ciac/bulletins/r-035.shtml 概要 Cisco Secure Desktop には複数の脆弱性があります。結果として、特 定の条件下で、セッション中に作成・編集されたファイルの情報が漏え いしたり、システムポリシーを回避されたりするなど様々な影響を受け る可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Secure Desktop バージョン 3.1.1.33 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョン 3.1.1.45 (または それ以降) に Cisco Secure Desktop を更新することで解決します。 関連文書 (英語) Cisco Security Advisories 72020 Multiple Vulnerabilities in Cisco Secure Desktop http://www.cisco.com/warp/public/707/cisco-sa-20061108-csd.shtml 【4】phpMyAdmin に複数のクロスサイトスクリプティングの脆弱性 情報源 CIAC Bulletin R-036 phpmyadmin Several Vulnerabilities http://www.ciac.org/ciac/bulletins/r-036.shtml 概要 Web 経由で MySQL を管理するためのプログラムである phpMyAdmin に は、複数のクロスサイトスクリプティングの脆弱性があります。結果と して、遠隔の第三者により、ユーザのブラウザ上で任意のスクリプトを 実行される可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに phpMyAdmin を更新することで解決します。 関連文書 (英語) Debian Security Advisory DSA-1207-1 phpmyadmin -- several vulnerabilities http://www.debian.org/security/2006/dsa-1207 phpMyAdmin security announcement PMASA-2005-6 HTTP Response Splitting vulnerability http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-6 phpMyAdmin security announcement PMASA-2005-8 XSS vulnerabilities http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2005-8 phpMyAdmin security announcement PMASA-2006-1 XSS vulnerabilities http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-1 phpMyAdmin security announcement PMASA-2006-2 XSS vulnerabilities http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-2 phpMyAdmin security announcement PMASA-2006-5 XSRF (Cross Site Request Forgery) vulnerabilities http://www.phpmyadmin.net/home_page/security.php?issue=PMASA-2006-5 【5】Wireshark (旧 Ethereal) に複数の脆弱性 情報源 CIAC Bulletin R-037 Wireshark Security Update http://www.ciac.org/ciac/bulletins/r-037.shtml 概要 Wireshark (旧 Ethereal) には、複数の脆弱性があります。結果として、 遠隔の第三者により任意のコードを実行されたりサービス運用妨害 (DoS) 攻撃を受けたりするなどの可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Wireshark を更新することで解決します。 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0726-6 Moderate: wireshark security update https://rhn.redhat.com/errata/RHSA-2006-0726.html Wireshark: wnpa-sec-2006-02 Multiple problems in Wireshark (Ethereal(R)) versions 0.7.9 to 0.99.2 http://www.wireshark.org/security/wnpa-sec-2006-02.html 【6】ハイパー日記システムにクロスサイトスクリプティングの脆弱性 情報源 JP Vendor Status Notes JVN#88325166 ハイパー日記システムにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2388325166/index.html 概要 Web 日記作成支援ソフトウェアであるハイパー日記システムには、クロ スサイトスクリプティングの脆弱性があります。結果として、遠隔の第 三者により、ユーザのブラウザ上で任意のスクリプトを実行されたりセッ ション・ハイジャックが行われたりする可能性があります。 対象となるバージョンは以下の通りです。 - hns-2.19.8 およびそれ以前 - hns-lite-2.19.8 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンにハイパー日記シ ステムを更新することで解決します。 関連文書 (日本語) HyperNikkiSystem Project hns-SA-2006-02 webif.cgi XSS脆弱性 http://www.h14m.org/SA/2006/hns-SA-2006-02.txt 独立行政法人 情報処理推進機構 セキュリティセンター JVN#88325166「ハイパー日記システム」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_88325166_hns.html 【7】MyODBC 日本語変換機能版に脆弱性 情報源 JP Vendor Status Notes JVN#30994815 MyODBC 日本語変換機能版におけるサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/jp/JVN%2330994815/index.html 概要 ODBC 対応アプリケーションから MySQL データベースへの接続を中継す る ODBC ドライバである MyODBC の日本語変換機能版には脆弱性があり ます。結果として、遠隔の第三者により、サービス運用妨害 (DoS) 攻 撃を受ける可能性があります。 対象となるバージョンは以下の通りです。 - MyODBC 日本語変換機能版 バージョン 3.51.06、2.50.29、2.50.25 なお、MyODBC 日本語変換機能版はすでに開発およびメンテナンスが終了 しています。MySQL 4.1 以降では文字コードの自動変換機能があるの で、MySQL 4.1 以降を利用することを推奨します。詳細についてはベン ダが提供する情報を参照してください。 関連文書 (日本語) MySQL/プログラム/MyODBC を導入する お知らせ http://www.softagency.co.jp/products/mysql/win_myodbc.html 独立行政法人 情報処理推進機構 セキュリティセンター JVN#30994815「MyODBC 日本語変換機能版」におけるサービス運用妨害 (DoS) の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_30994815_MyODBC.html 【8】Kahua にログインセッション共有の脆弱性 情報源 JP Vendor Status Notes JVN#34522909 Kahua におけるログインセッション共有の脆弱性 http://jvn.jp/jp/JVN%2334522909/index.html 概要 オープンソースのアプリケーション開発、およびその実行環境である Kahua には、ログインセッションが意図しない形で共有される脆弱性が あります。結果として、異なるユーザデータベースを使用している場合、 本来利用できる範囲を超えて第三者にアプリケーションを利用される可 能性があります。 対象となるバージョンは以下の通りです。 - バージョン 0.6 およびそれ以前 - 2006-09-26 以前の CVS バージョン この問題は、配布元が提供する修正済みのバージョンに Kahua を更新す ることで解決します。 関連文書 (日本語) KSA2006-001 Kahua Security Advisary 2006-001 http://www.kahua.org/cgi-bin/kahua.fcgi/kahua-web/show/KSA/KSA2006-001 【9】Internet Week 2006『Security Day 2006』のご案内 情報源 Internet Week 2006 カンファレンスプログラム C6 : Security Day 2006 あなたの出番です! 〜市民権を得たセキュリティ対策〜 https://internetweek.smartseminar.jp/public/session/view/6 概要 12月5日 (火) より12月8日 (金) まで、パシフィコ横浜会議センターに おいて Internet Week 2006 が開催されます。 JPCERT/CC は、特定非営利活動法人日本ネットワークセキュリティ協会 (JNSA) と財団法人日本データ通信協会テレコム・アイザック推進会議 (Telecom-ISAC Japan) と共催で、下記のカンファレンスを開催いたし ます。 Security Day 2006 あなたの出番です! 〜市民権を得たセキュリティ対策〜 日時: 12月7日 (木) 10:00-17:00 会場: パシフィコ横浜会議センター 基調講演に内閣官房情報セキュリティセンター (NISC) 情報セキュリティ 補佐官の山口 英氏を迎え、ご講演いただく予定です。また、インシデ ント調査に見る脅威の実態や最近のセキュリティ動向、組織的なインシ デント対応体制についてなど、最新のインシデント情報をお伝えします。 参加申込の詳細については下記 Web ページをご参照ください。なお、 お得な事前申込みは11月22日 (水) までとなっております。 Internet Week 2006お申し込みに関して http://internetweek.jp/timetable/apply.html 事前料金 一般: 6,000円/会員: 5,000円 当日料金 一般: 7,000円/会員: 6,000円 関連文書 (日本語) Internet Week 2006 Internet Week 2006お申し込みに関して http://internetweek.jp/timetable/apply.html Internet Week 2006 Internet Week 2006開催のお知らせ http://internetweek.jp/ ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○データの消去方法について データ復旧用ソフトウェアなどを使用することで、削除されたファイル を再び読み取ることが可能になる場合があるため、保存してある内容の 重要度や状況に応じてデータの消去方法を検討することが望まれます。 重要なデータを確実に消去する場合の例として、下記のような方法があ ります。 - 無意味なデータで上書きする 消去したいデータや記憶装置全体に無意味なデータを複数回にわ たって上書きするなどの方法でデータの復旧・読み取りを困難に する方法があります。 - 電気的もしくは磁気的に破壊する 専用装置にて電気的もしくは磁気的に記憶領域を破壊する方法が あります。 - 物理的に破壊する 記憶装置を物理的に破壊することで第三者がデータを読み取る事 が難しくなります。 なお、上記の方法については、専用のツールや専門の業者も存在します。 参考文献 (日本語) 社団法人 電子情報技術産業協会 (JEITA) パソコンの廃棄・譲渡時におけるハードディスク上のデータ消去に関するガイドライン http://it.jeita.or.jp/perinfo/committee/pc/HDDdata/ 社団法人 電子情報技術産業協会 (JEITA) パソコンの廃棄・譲渡時のハードディスク上のデータ消去に関するご注意 http://it.jeita.or.jp/perinfo/release/020411.html JPCERT/CC REPORT 2005-02-02号 [今週の一口メモ] 記憶媒体からのデータ消去 http://www.jpcert.or.jp/wr/2005/wr050501.txt JPCERT/CC REPORT 2006-11-08号 [今週の一口メモ] リムーバブルメディアの適切な運用方法を決める http://www.jpcert.or.jp/wr/2006/wr064302.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRVptl4x1ay4slNTtAQHHAwQAvGmqkLLHkyqV/rkD7bxzNrQ5/2XSCFZh bDLFM26fK9KDdAKujDK7G0npZjmsJVWlqERsXLqV2YOsae1AK2gqUua/Tf4i0WOL QL+6iMdxSNMvYD68YcHU3Gp2BTQwAlus9/I4b2j9nT1915ja+rnZYfkNe/J4bAz0 UcvSVD6Ywvo= =4Dda -----END PGP SIGNATURE-----