Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性

JPCERT-WR-2006-4601 2006-11-29 2006-11-19 2006-11-25

Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性 US-CERT Vulnerability Note VU#367424 Apple Mac OS X fails to properly handle corrupted DMG image structures http://www.kb.cert.org/vuls/id/367424

Apple Mac OS X の com.apple.AppleDiskImageController には、DMG ファイルを取り扱う際にメモリ破損が発生する脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃をしたりする可能性があります。なお、すでに攻撃方法に関する情報が公開されています。対象となる製品は以下の通りです。 - Mac OS X 2006年11月28日現在、セキュリティアップデートは提供されていません。回避策としては以下の方法があります。 - 信頼できないサイトから DMG ファイルをダウンロードしない - Safari の設定において、「ダウンロード後、"安全な"ファイルを開く」を無効にする

JP Vendor Status Notes JVNVU#367424 Apple Mac OS X における DMG ファイルの取扱いに関する脆弱性 http://jvn.jp/cert/JVNVU%23367424/index.html

CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性 US-CERT Vulnerability Note VU#437300 Computer Associates BrightStor ARCserve Backup Tape Engine fails to properly handle RPC requests http://www.kb.cert.org/vuls/id/437300

BrightStor ARCserve Backup 製品を使用してテープドライブにバックアップを取るための機能である CA BrightStor ARCserve Tape Engine には、RPC リクエスト処理に脆弱性があります。結果として、遠隔の第三者が SYSTEM 権限で任意のコードを実行する可能性があります。 2006年11月28日現在、この問題の修正プログラムはリリースされておりません。回避策として、ファイアウォールなどで TCP 6502 番ポートをフィルタリングする方法があります。

gv にバッファオーバフローの脆弱性 CIAC Bulletin R-053 gv http://www.ciac.org/ciac/bulletins/r-053.shtml

X Window System 向けの PostScript と PDF 用のビューアである gv の PostScript 解析コードには、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケージに gv を更新することで解決します。

Debian Security Advisory DSA-1214-1 gv -- buffer overflow http://www.debian.org/security/2006/dsa-1214

NaviCOPA Web サーバにバッファオーバーフローの脆弱性 US-CERT Vulnerability Note VU#693992 NaviCOPA Web Server fails to properly handle certain HTTP requests http://www.kb.cert.org/vuls/id/693992 CIAC Bulletin R-054 NaviCOPA Web Server Vulnerability http://www.ciac.org/ciac/bulletins/r-054.shtml

Microsoft Windows 上で動作する HTTP サーバであるNaviCOPA Web サーバにはバッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が任意のコードを実行する可能性があります。この問題は、NaviCOPA Web サーバを V2.01 に更新することで解決します。

Web Server - NaviCOPA Web Server - Download Free Trial Software - NaviCOPA http://www.navicopa.com/download.html

eyeOS にクロスサイトスクリプティングの脆弱性 JP Vendor Status Notes JVN#46244305 eyeOS におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2346244305/index.html

Web ベースのデスクトップ環境を提供する eyeOS には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - eyeOS バージョン 0.8.10 から 0.8.15 この問題は、配布元が提供する修正済みのバージョン 0.9.0 またはそれ以降に eyeOS を更新することで解決します。

独立行政法人情報処理推進機構セキュリティセンター JVN#46244305「eyeOS」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_46244305_eyeOS.html eyeOS Downloads http://eyeos.org/downloads

phpComasy にクロスサイトスクリプティングの脆弱性 JP Vendor Status Notes JVN#57280612 phpComasy におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2357280612/index.html

コンテンツ管理システム phpComasy には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したり、セッション・ハイジャックを行ったりする可能性があります。対象となるバージョンは以下の通りです。 - phpComasy 0.7.9-pre およびそれ以前この問題は、配布元が提供する修正済みのバージョンに phpComasy を更新することで解決します。

独立行政法人情報処理推進機構セキュリティセンター JVN#57280612「phpComasy」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_57280612_phpComasy.html phpComasy phpcomasy http://www.phpcomasy.com/index.php?id=18

暗号化ファイルシステム使用時の注意暗号化ファイルシステムは、ディスク等のメディアが紛失や盗難に遭った場合に於いてデータの機密を保持するのに有効です。ただし、暗号化ファイルシステムの使用にあたっては、その機能や特徴を正しく把握することが大切です。主な注意点を以下に示します。 - 暗号化に使用している鍵やパスフレーズの管理に注意する - メモリ等に保持されている鍵の存在に注意する - ファイルシステム内のデータを使用しないときは、ファイルシステムをマウントしない - 侵入などに対しては、ファイル単位での暗号化など別途対策が必要であることに留意する JPCERT/CC REPORT 2006-11-22号 [今週の一口メモ] 暗号化ファイルシステムの導入 http://www.jpcert.or.jp/wr/2006/wr064501.html Microsoft サポートオンライン暗号化ファイルシステムの最善の使用方法 http://support.microsoft.com/kb/223316/ja