JPCERT-WR-2006-4601
2006-11-29
2006-11-19
2006-11-25
Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性
Apple Mac OS X の com.apple.AppleDiskImageController には、DMG
ファイルを取り扱う際にメモリ破損が発生する脆弱性があります。結果
として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害
(DoS) 攻撃をしたりする可能性があります。なお、すでに攻撃方法に関
する情報が公開されています。
対象となる製品は以下の通りです。
- Mac OS X
2006年11月28日現在、セキュリティアップデートは提供されていません。
回避策としては以下の方法があります。
- 信頼できないサイトから DMG ファイルをダウンロードしない
- Safari の設定において、「ダウンロード後、"安全な"ファイ
ルを開く」を無効にする
JP Vendor Status Notes JVNVU#367424
Apple Mac OS X における DMG ファイルの取扱いに関する脆弱性
http://jvn.jp/cert/JVNVU%23367424/index.html
CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性
BrightStor ARCserve Backup 製品を使用してテープドライブにバック
アップを取るための機能である CA BrightStor ARCserve Tape Engine
には、RPC リクエスト処理に脆弱性があります。結果として、遠隔の第
三者が SYSTEM 権限で任意のコードを実行する可能性があります。
2006年11月28日現在、この問題の修正プログラムはリリースされており
ません。回避策として、ファイアウォールなどで TCP 6502 番ポートを
フィルタリングする方法があります。
gv にバッファオーバフローの脆弱性
X Window System 向けの PostScript と PDF 用のビューアである gv の
PostScript 解析コードには、バッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が任意のコードを実行する可能性があり
ます。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに gv を更新することで解決します。
Debian Security Advisory DSA-1214-1
gv -- buffer overflow
http://www.debian.org/security/2006/dsa-1214
NaviCOPA Web サーバにバッファオーバーフローの脆弱性
Microsoft Windows 上で動作する HTTP サーバであるNaviCOPA Web サー
バにはバッファオーバーフローの脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行する可能性があります。
この問題は、NaviCOPA Web サーバを V2.01 に更新することで解決しま
す。
Web Server - NaviCOPA
Web Server - Download Free Trial Software - NaviCOPA
http://www.navicopa.com/download.html
eyeOS にクロスサイトスクリプティングの脆弱性
Web ベースのデスクトップ環境を提供する eyeOS には、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- eyeOS バージョン 0.8.10 から 0.8.15
この問題は、配布元が提供する修正済みのバージョン 0.9.0 またはそれ
以降に eyeOS を更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#46244305「eyeOS」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_46244305_eyeOS.html
eyeOS Downloads
http://eyeos.org/downloads
phpComasy にクロスサイトスクリプティングの脆弱性
コンテンツ管理システム phpComasy には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- phpComasy 0.7.9-pre およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに phpComasy を更
新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#57280612「phpComasy」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_57280612_phpComasy.html
phpComasy
phpcomasy
http://www.phpcomasy.com/index.php?id=18
暗号化ファイルシステム使用時の注意
暗号化ファイルシステムは、ディスク等のメディアが紛失や盗難に遭っ
た場合に於いてデータの機密を保持するのに有効です。
ただし、暗号化ファイルシステムの使用にあたっては、その機能や特徴
を正しく把握することが大切です。主な注意点を以下に示します。
- 暗号化に使用している鍵やパスフレーズの管理に注意する
- メモリ等に保持されている鍵の存在に注意する
- ファイルシステム内のデータを使用しないときは、ファイルシステム
をマウントしない
- 侵入などに対しては、ファイル単位での暗号化など別途対策が必要で
あることに留意する
JPCERT/CC REPORT 2006-11-22号 [今週の一口メモ]
暗号化ファイルシステムの導入
http://www.jpcert.or.jp/wr/2006/wr064501.html
Microsoft サポートオンライン
暗号化ファイル システムの最善の使用方法
http://support.microsoft.com/kb/223316/ja