JPCERT-WR-2006-5001 2006-12-27 2006-12-17 2006-12-23

US-CERT Technical Cyber Security Alert TA06-354A http://www.us-cert.gov/cas/techalerts/TA06-354A.html US-CERT Cyber Security Alert SA06-354A http://www.us-cert.gov/cas/alerts/SA06-354A.html US-CERT Vulnerability Note VU#606260 http://www.kb.cert.org/vuls/id/606260 US-CERT Vulnerability Note VU#928956 http://www.kb.cert.org/vuls/id/928956 US-CERT Vulnerability Note VU#887332 http://www.kb.cert.org/vuls/id/887332 CIAC Bulletin R-084 http://www.ciac.org/ciac/bulletins/r-084.shtml CIAC Bulletin R-085 http://www.ciac.org/ciac/bulletins/r-085.shtml CIAC Bulletin R-086 http://www.ciac.org/ciac/bulletins/r-086.shtml CIAC Bulletin R-087 http://www.ciac.org/ciac/bulletins/r-087.shtml CIAC Bulletin R-088 http://www.ciac.org/ciac/bulletins/r-088.shtml CIAC Bulletin R-089 http://www.ciac.org/ciac/bulletins/r-089.shtml CIAC Bulletin R-090 http://www.ciac.org/ciac/bulletins/r-090.shtml CIAC Bulletin R-094 http://www.ciac.org/ciac/bulletins/r-094.shtml

Mozilla および Netscape が提供する Web ブラウザやその他の製品には 複数の脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行したり、サービス運用妨害 (DoS) 攻撃を 行ったりする可能性があります。 対象となる製品は以下の通りです。 - Mozilla Firefox - Mozilla Thunderbird - SeaMonkey - Netscape Mozilla コンポーネントを用いているその他の製品でも対象となる可能 性があります。対象となる製品のバージョン等、詳細については上記情 報源やベンダが提供する情報を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンにそれぞれの製品を更新することで解決します。

Mozilla Foundation セキュリティアドバイザリ 2006-68 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-68.html Mozilla Foundation セキュリティアドバイザリ 2006-69 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-69.html Mozilla Foundation セキュリティアドバイザリ 2006-70 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-70.html Mozilla Foundation セキュリティアドバイザリ 2006-71 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-71.html Mozilla Foundation セキュリティアドバイザリ 2006-72 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-72.html Mozilla Foundation セキュリティアドバイザリ 2006-73 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-73.html Mozilla Foundation セキュリティアドバイザリ 2006-74 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-74.html Mozilla Foundation セキュリティアドバイザリ 2006-75 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-75.html Mozilla Foundation セキュリティアドバイザリ 2006-76 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-76.html JP Vendor Status Notes JVNTA06-354A http://jvn.jp/cert/JVNTA06-354A/index.html Red Hat Security Advisory RHSA-2006:0758-2 http://rhn.redhat.com/errata/RHSA-2006-0758.html Red Hat Security Advisory RHSA-2006:0759-5 http://rhn.redhat.com/errata/RHSA-2006-0759.html Red Hat Security Advisory RHSA-2006:0760-2 http://rhn.redhat.com/errata/RHSA-2006-0760.html

CIAC Bulletin R-093 http://www.ciac.org/ciac/bulletins/r-093.shtml

Java Runtime Environment (JRE) のシリアライズ処理に関係する機能に は権限昇格の脆弱性があります。結果として、遠隔の第三者が昇格した 権限でアプレットまたはアプリケーションを実行する可能性があります。 対象となる製品とバージョンは以下の通りです。 - JDK および JRE 5.0 Update 7 およびそれ以前 - SDK および JRE 1.4.2_12 およびそれ以前 なお、SDK および JRE 1.3.x にはこの脆弱性はありません。詳細につい てはベンダが提供する情報を参照してください。 この問題は、Sun が提供する以下のリリースに更新することで解決しま す。 - JDK および JRE 5.0 Update 8 (またはそれ以降) - SDK および JRE 1.4.2_13 (またはそれ以降)

Sun Alert Notification 102729 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1 Sun Alert Notification 102731 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102731-1

CIAC Bulletin R-091 http://www.ciac.org/ciac/bulletins/r-091.shtml

GNU tar にはディレクトリトラバーサルの脆弱性があります。結果とし て、遠隔の第三者が、tar アーカイブを使用して任意のファイルを上書 きする可能性があります。 対象となるバージョンは以下の通りです。 - GNU tar 1.16、1.15.1 なお、その他のバージョンにも本脆弱性が存在する可能性がありますの で、詳細については情報源や配布元が提供する情報を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GNU tar を更新することで解決します。

Tar - GNU Project http://www.gnu.org/software/tar/ GNU tar https://savannah.gnu.org/bugs/index.php?18355 Red Hat Security Advisory RHSA-2006:0749-2 https://rhn.redhat.com/errata/RHSA-2006-0749.html Debian Security Advisory DSA-1223-1 http://www.debian.org/security/2006/dsa-1223 FreeBSD Security Advisory FreeBSD-SA-06:26 http://security.freebsd.org/advisories/FreeBSD-SA-06:26.gtar.asc

US-CERT Vulnerability Note VU#300636 http://www.kb.cert.org/vuls/id/300636 US-CERT Vulnerability Note VU#653076 http://www.kb.cert.org/vuls/id/653076 CIAC Bulletin R-092 http://www.ciac.org/ciac/bulletins/r-092.shtml

NetWare のクライアントプログラムである Novell Client for Windows にはバッファオーバーフローの脆弱性があります。結果として、遠隔の 第三者が任意のコードを実行する可能性があります。 対象となるバージョン等、詳細については情報源やベンダが提供する情 報を参照してください。 この問題は Novell が提供するパッチを適用することで解決します。な お、2006年12月26日現在提供されているパッチは、ベンダによって完全 にテストされたものではありません。詳細については下記関連文書を参 照してください。

Novell https://secure-support.novell.com/KanisaPlatform/Publishing/583/3125538_f.SAL_Public.html Novell Technical Information Document http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974765.htm NOVELL: Product Updates http://support.novell.com/filefinder/beta.html

US-CERT Vulnerability Note VU#339004 http://www.kb.cert.org/vuls/id/339004 CIAC Bulletin R-083 http://www.ciac.org/ciac/bulletins/r-083.shtml

NeoScale Systems 社の CryptoStor Tape 700 シリーズの認証機能には、 スマートカードによる認証が回避される脆弱性があります。 対象となるバージョンは以下の通りです。 - CryptoStor Tape 700 シリーズのバージョン 2.6 より前のファームウ ェア この問題は、NeoScale Systems 社が提供する修正済みのバージョン2.6 (またはそれ以降) に CryptoStor Tape 700 シリーズのファームウェア を更新することで解決します。

NeoScale Systems http://www.neoscale.com/English/Products/CryptoStor_Tape700.html

JP Vendor Status Notes JVN#74079537 http://jvn.jp/jp/JVN%2374079537/index.html

CRM (Customer Relationship Management) ソフトウェアである SugarCRM には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が SugarCRM にアカウントを持つユーザのブ ラウザ上で任意のスクリプトを実行したり、セッション・ハイジャック を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - SugarCRM 4.5.0f およびそれ以前 この問題は、配布元が提供する 4.5.0g (またはそれ以降) に SugarCRM をアップグレードする、もしくはパッチを適用することで解決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_74079537.html SugarCRM Forums http://www.sugarcrm.com/forums/showthread.php?p=62671#post62671 SugarForge http://www.sugarforge.org/content/downloads/

JP Vendor Status Notes JVN#78520316 http://jvn.jp/jp/JVN%2378520316/index.html

ブログ作成用のソフトウエアである a-blog にはクロスサイトスクリプ ティングの脆弱性があります。結果として、遠隔の第三者がユーザのブ ラウザ上で任意のスクリプトを実行したり、セッション・ハイジャック を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - a-blog 1.51 およびそれ以前 この問題は、配布元が提供する 1.52 (またはそれ以降) に a-blog を 更新することで解決します。

独立行政法人 情報処理推進機構 セキュリティセンター http://www.ipa.go.jp/security/vuln/documents/2006/JVN_78520316.html a-blog NEWS http://www.a-blog.jp/news/index.php?ID=103

今号は2006年最後の JPCERT/CC REPORT となります。そこで、今回はこ の場をお借りして、コンピュータセキュリティにおける2006年の重大 ニュースを担当者の選択によって紹介いたします。 - P2P ファイル共有ソフトウェアによる情報流出が多発 2006年は、機密情報の取り扱い上の不注意に起因する情報流出が多発 した年でした。その中でも、P2P ファイル共有ソフトウェアが関係し た例が多数話題となっています。 - ボットによる被害の拡大 2006年は、ボットによってひきおこされるインシデントが多発した年 でもありました。ボットは、ネットワークを構成して DDoS 攻撃やス パムメールの送信等を行っており、インターネットにおける深刻な問 題として認識されています。 - 未修正の脆弱性を狙った攻撃の流行 セキュリティへの関心の高まりとともに日々発見される脆弱性も増加 しています。2006年は、そのような状況下で、未修正の脆弱性に対す る攻撃手法が多く公開された年でもありました。特に、オフィスアプ リケーションの未修正の脆弱性が多数報告されています。 - DNS 関連のインシデントの増加 2006年は、DNS に関連したインシデントが増加した年でもありました。 DNS のプロトコルなどに起因するセキュリティ上の問題は以前から議 論されていましたが、今年はそれらの問題が顕在化した1年となりま した。 - 特定の地域や組織のみでのインシデントの流行 2006年は、従来のように不特定多数を狙うのではなく、特定の地域や 組織を狙ってスパムメールやウイルス等を送りつけたり侵入を試みた りするインシデントが世界的に多発しました。JPCERT/CC でも日本の 特定の組織を狙ったインシデントが発生したことを確認しております。 以上、今年のコンピュータセキュリティの状況のふりかえり、今後のセ キュリティ向上のための検討材料として、ご活用いただければ幸いです。 なお、以上に挙げたニュースをはじめ、2006年のコンピュータセキュリ ティの状況に対応した JPCERT/CC の取り組みについては、下記参考文 献を参照してください。 最後になりましたが、今年1年の JPCERT/CC REPORT のご愛読、まこと にありがとうございました。来たる2007年も JPCERT/CC REPORT をよろ しくお願いいたします。 なお、次号の発行は2007年1月11日 (木) の予定です。 JPCERT/CC 技術メモ JPCERT-ED-2006-0001 http://www.jpcert.or.jp/ed/2006/ed060001.txt JPCERT/CC、他3社 http://www.jpcert.or.jp/research/2006/Botnet_summary_0720.pdf JPCERT/CC NEWS http://www.jpcert.or.jp/news/2006/anti_bot.html JPCERT/CC Alert 2006-06-23 http://www.jpcert.or.jp/at/2006/at060009.txt JPCERT/CC Alert 2006-09-28 http://www.jpcert.or.jp/at/2006/at060016.txt JPCERT/CC Alert 2006-03-29 http://www.jpcert.or.jp/at/2006/at060004.txt