JPCERT-WR-2006-4801 2006-12-13 2006-12-03 2006-12-09

US-CERT Vulnerability Note VU#198908 http://www.kb.cert.org/vuls/id/198908

JPCERT/CC REPORT 2006-12-06号【2】で紹介した、Adobe AcroPDF ActiveX コントロールの脆弱性に関する追加情報です。 2006年12月7日に、US-CERT Vulnerability Note VU#198908「Adobe Acrobat AcroPDF ActiveX control fails to properly handle malformed input」において、本脆弱性に対応した Adobe Reader 8 の リリースが報告されています。 Adobe Reader を使用している場合は、速やかに Adobe Reader 8 (また はそれ以降) に移行することを推奨します。

JPCERT/CC REPORT 2006-12-06号 http://www.jpcert.or.jp/wr/2006/wr064701.html#2 アドビ システムズ社 http://www.adobe.com/jp/support/security/ Adobe Security bulletin APSB06-20 http://www.adobe.com/support/security/bulletins/apsb06-20.html

US-CERT Vulnerability Note VU#448569 http://www.kb.cert.org/vuls/id/448569 CIAC Bulletin R-066 http://www.ciac.org/ciac/bulletins/r-066.shtml

Adobe Download Manager にはバッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - Adobe Download Manager 2.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョン 2.2 (またはそれ 以降) に Adobe Download Manager を更新することで解決します。 なお、前項「Adobe AcroPDF ActiveX コントロールの脆弱性に関する追 加情報」に於いて言及されている Adobe Reader 8 (またはそれ以降) をインストールすることで、Adobe Download Manager も同時に更新さ れます 詳細については、ベンダーが提供する情報を参照してください。

アドビ システムズ社 http://www.adobe.com/jp/support/security/ アドビ システムズ社 http://www.adobe.com/jp/products/acrobat/acrrmanager.html Adobe Security bulletin APSB06-19 http://www.adobe.com/support/security/bulletins/apsb06-19.html

US-CERT Vulnerability Note VU#208769 http://www.kb.cert.org/vuls/id/208769 CIAC Bulletin R-068 http://www.ciac.org/ciac/bulletins/r-068.shtml

Microsoft Windows Media Player にはヒープオーバーフローの脆弱性 があります。結果として、遠隔の第三者が Windows Media メタファイ ルを使用して任意のコードを実行したり、Windows Media Player をク ラッシュさせたりする可能性があります。 2006年12月12日現在、この問題を解決するセキュリティ更新プログラム は提供されていません。この問題は、信頼できない Windows Media メ タファイルにアクセスしない、あるいは Windows Media メタファイル を自動的に開かないように Web ブラウザを設定するなどの方法で回避 できます。詳細についてはベンダが提供する情報を参照してください。

US-CERT Vulnerability Note VU#167928 http://www.kb.cert.org/vuls/id/167928 CIAC Bulletin R-063 http://www.ciac.org/ciac/bulletins/r-063.shtml

Microsoft Word には文字列の処理に起因する脆弱性があります。結果と して、遠隔の第三者が任意のコードを実行する可能性があります。 対象となる製品とバージョンは以下の通りです。 - Word 2000 - Word 2002 - Word 2003 - Word Viewer 2003 - Word 2004 for Mac - Word 2004 v.X for Mac - Works 2004、2005、および 2006 2006年12月12日現在、この問題を解決するセキュリティ更新プログラム は提供されていません。この問題を回避するには、不審な Word ファイ ルを開かないよう注意する必要があります。詳細についてはベンダが提 供する情報を参照してください。

マイクロソフト セキュリティ アドバイザリ (929433) http://www.microsoft.com/japan/technet/security/advisory/929433.mspx JP Vendor Status Notes JVNVU#167928 http://jvn.jp/cert/JVNVU%23167928/index.html

CIAC Bulletin R-064 http://www.ciac.org/ciac/bulletins/r-064.shtml

GnuPG には複数の脆弱性があります。結果として、遠隔の第三者が任意 のコードを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - GnuPG 1.4.5 およびそれ以前 - GnuPG 2.0.1 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GnuPG を更新することで解決します。

Gnupg-announce mailing list http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000241.html Gnupg-announce mailing list http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000246.html Red Hat Security Advisory RHSA-2006:0754-2 https://rhn.redhat.com/errata/RHSA-2006-0754.html

CIAC Bulletin R-067 http://www.ciac.org/ciac/bulletins/r-067.shtml

レイヤ 2 トンネリングプロトコルネットワークサーバである l2tpns にはバッファオーバーフローの脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに l2tpns を更新することで解決します。

l2tpns http://sourceforge.net/project/shownotes.php?group_id=97282&release_id=468202 Debian Security Advisory DSA-1230-1 http://www.debian.org/security/2006/dsa-1230

US-CERT Vulnerability Note VU#210697 http://www.kb.cert.org/vuls/id/210697

イメージ処理を行うコンポーネントである ImageKit ActiveX コントロ ールには複数のバッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が任意のコードを実行したり、Web ブラウザをクラッ シュさせたりする可能性があります。 対象となるバージョンは以下の通りです。 - ImageKit7 ActiveX FixNo.11 およびそれ以前 - ImageKit6 FixNo.60 およびそれ以前 - ImageKit5 FixNo.60 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに ImageKit ActiveX コントロールを更新することで解決します。なお、ImageKit4 以前の製品はベンダがサポートを終了しているため、本件の問題を修正 したバージョンに移行することを推奨します。

ニュートン正規登録ユーザ専用サービス (ImageKit5) http://www.newtone.co.jp/supportik5.html ニュートン正規登録ユーザ専用サービス (ImageKit6) http://www.newtone.co.jp/supportik6.html 正規登録ユーザ専用サービス（ImageKit7 ActiveX） http://www.newtone.co.jp/supportik7AX.html

JP Vendor Status Notes JVN#84798830 http://jvn.jp/jp/JVN%2384798830/index.html

Ruby の標準ライブラリである cgi.rb には脆弱性があります。結果と して、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があ ります。 対象となるバージョンは以下の通りです。 - Ruby 1.8.5 以前のすべてのバージョン（1.8系） - 2006-12-04 以前のすべての開発版 (1.9系) この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Ruby を更新することで解決します。詳細については、ベ ンダや配布元の Web ページを参照してください。

もう一つのCGIライブラリのDoS脆弱性について http://www.ruby-lang.org/ja/news/2006/12/04/another-dos-vulnerability-in-cgi-library/ 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_84798830_Ruby.html

JP Vendor Status Notes JVN#47272891 http://jvn.jp/jp/JVN%2347272891/index.html

ジャストシステムの製品群である一太郎 (一太郎ビューア含む)、花子 (花子ビューア含む) および三四郎には脆弱性があります。結果として、 遠隔の第三者が任意のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - 一太郎2005 - 一太郎2004 - 一太郎 文藝 - 花子2006 - 花子2005 - 花子2004 - 三四郎2005 - 一太郎Lite2 /R.2 - 一太郎Lite2 - 一太郎ビューア (バージョン 4.1.1.0 以前) - 花子ビューア (バージョン 1.0.1.0 以前) 詳細については、ベンダが提供する情報を参照してください。 この問題は、配布元が提供するアップデートモジュールを導入すること で解決します。

「一太郎2005/2004、花子2006/2005/2004、三四郎2005 セキュリティ更新モジュール」、「一太郎ビューア」、「花子ビューア」、「一太郎Lite2 セキュリティ更新モジュール」の公開 http://www.justsystem.co.jp/info/pd6005.html 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_47272891_hanako.html

JP Vendor Status Notes JVN#38746816 http://jvn.jp/jp/JVN%2338746816/index.html

TikiWiki にはクロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実 行する可能性があります。 対象となるバージョンは以下の通りです。 - TikiWiki 1.9.5 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに TikiWiki を更 新することで解決します。

Downloading Tikiwiki http://tikiwiki.org/tiki-index.php?page=Download&bl 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_38746816_TikiWiki.html

JP Vendor Status Notes JVN#34830904 http://jvn.jp/jp/JVN%2334830904/index.html

Web 日記作成用スクリプトであるしょぼしょぼ日記システム (sns) に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - しょぼしょぼ日記システム (sns) 3.11 およびそれ以前 この問題は、配布元が提供する修正済みのバージョン 3.12 にしょぼしょ ぼ日記システム (sns) をバージョンアップすることで解決します。

Project Amateras http://amateras.sourceforge.jp/cgi-bin/fswiki/wiki.cgi 独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_34830904_sns.html

オンラインショッピングサイトやオークションサイトを装ったサイトに よって、商品代金が騙し取られたり、クレジットカード番号などの機密 情報が盗まれたりする被害が発生しています。オンラインショッピング サイトやオークションサイトを利用する場合には以下の点に注意してく ださい。 - SSL (https) による電子署名および経路の暗号化が行なわれているか 確認 機密情報を送信するページにおいて、署名がない、また経路の暗号化 が行なわれていないサイトは利用しないことをお勧めします。 - SSL サーバ証明書の内容に問題がないか確認 証明書自体は適切な認証局から発行されていても、本来のサイトを運 営している会社とは全く無関係の会社の証明書である場合があります。 このように、サイトを運営している会社と証明書に記載された会社と の関係が明確でない場合は、そのサイトを利用しないことをお勧めし ます。 - オンラインで使用する専用クレジットカードを準備 普段使用するクレジットカードとオンラインショッピングなどで使用 するカードを別にし、後者で使用するカードの上限金額を低めに設定 することをお勧めします。また、請求書の明細をこまめに確認するこ とを強くお勧めします。 ※これは JPCERT/CC REPORT 2005-12-14号「今週の一口メモ」の再掲で す。 JPCERT/CC REPORT 2005-12-14 [今週の一口メモ] http://www.jpcert.or.jp/wr/2005/wr054901.txt