JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2007 > Weekly Report 2007-01-11号

最終更新: 2007-01-11

Weekly Report 2007-01-11号


JPCERT-WR-2007-0101
JPCERT/CC
2007-01-11

<<< JPCERT/CC WEEKLY REPORT 2007-01-11 >>>

■12/24(日)〜01/06(土) のセキュリティ関連情報

目 次

【1】Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に脆弱性

【2】Adobe 製品の Acrobat プラグインにクロスサイトスクリプティングの脆弱性

【3】Opera Web ブラウザに複数の脆弱性

【4】OpenOffice.org にバッファオーバーフローの脆弱性

【5】Cisco Clean Access に複数の脆弱性

【6】pnamazu にクロスサイトスクリプティングの脆弱性

【7】Joomla! にクロスサイトスクリプティングの脆弱性

【8】tDiary に脆弱性

【9】sb および Serene Bach にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】暗号関連技術の第三者評価を活用する

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr070101.txt
https://www.jpcert.or.jp/wr/2007/wr070101.xml

【1】Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-005A
Apple QuickTime RTSP Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA07-005A.html

US-CERT Vulnerability Note VU#442497
Apple QuickTime RTSP buffer overflow
http://www.kb.cert.org/vuls/id/442497

CIAC Bulletin R-095
Apple QuickTime RTSP buffer overflow
http://www.ciac.org/ciac/bulletins/r-095.shtml

概要

Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に
は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- QuickTime for Windows PC
- QuickTime for Mac OS X

なお、iTunes のように QuickTime を利用するソフトウェアも影響を受
けます。詳細については、今後ベンダが提供する情報を参照してくださ
い。

2007年1月10日現在、セキュリティアップデートは提供されていません。
回避策としては以下の方法があります。

- QuickTime ActiveX コントロールを無効にする
- ブラウザの QuickTime プラグインを無効にする
- QuickTime ファイルへのアプリケーションの関連付けを無効にする
- JavaScript を無効にする
- 信頼できないサイトの QuickTime ファイルにはアクセスしない

関連文書 (日本語)

JP Vendor Status Notes JVNTA07-005A
Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA07-005A/index.html

JP Vendor Status Notes JVNVU#442497
Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23442497/index.html

【2】Adobe 製品の Acrobat プラグインにクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#815960
Adobe Acrobat Plug-In cross domain violation
http://www.kb.cert.org/vuls/id/815960

CIAC Bulletin R-096
PDF XSS vulnerability announced at CCC
http://www.ciac.org/ciac/bulletins/r-096.shtml

概要

Windows または Linux で動作する Adobe 製品の Acrobat プラグイン
には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品とバージョンは以下の通りです。

- Adobe Reader 7.0.8 およびそれ以前
- Adobe Acrobat Standard、Professional および Elements 7.0.8 およ
  びそれ以前
- Adobe Acrobat 3D

この問題は、配布元や使用している OS のベンダが提供する修正済みの
バージョンにそれぞれの製品を更新することで解決します。詳細につい
ては上記情報源やベンダが提供する情報を参照してください。

関連文書 (英語)

Adobe Security advisory APSA07-01
Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa07-01.html

【3】Opera Web ブラウザに複数の脆弱性

情報源

CIAC Bulletin R-099
Opera Web Browser Heap Corruption Vulnerability
http://www.ciac.org/ciac/bulletins/r-099.shtml

CIAC Bulletin R-100
Opera Web Browser Object Typecasting Vulnerability
http://www.ciac.org/ciac/bulletins/r-100.shtml

概要

Opera Web ブラウザには、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行したり、Opera Web ブラウザをクラッシュ
させたりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Opera 9.02 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョン 9.10 (またはそれ以降) に Opera Web ブラウザを更新する
ことで解決します。

関連文書 (英語)

Opera Software - Knowledge Base
Advisory: Vulnerability in createSVGTransformFromMatrix (JavaScript, SVG)
http://www.opera.com/support/search/supsearch.dml?index=851

Opera Software - Knowledge Base
Advisory: A JPEG image with a malformed header can crash Opera
http://www.opera.com/support/search/supsearch.dml?index=852

【4】OpenOffice.org にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#220288
OpenOffice fails to properly process WMF and EMF files
http://www.kb.cert.org/vuls/id/220288

CIAC Bulletin R-098
OpenOffice.org Security Update
http://www.ciac.org/ciac/bulletins/r-098.shtml

概要

OpenOffice.org には、複数のバッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。

対象となるバージョンは以下の通りです。

- OpenOffice.org 2.0.4 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenOffice.org を更新することで解決します。

関連文書 (英語)

OpenOffice.org
課題 70042
http://www.openoffice.org/issues/show_bug.cgi?id=70042

Red Hat Security Advisory RHSA-2007:0001-3
Important: openoffice.org security update
https://rhn.redhat.com/errata/RHSA-2007-0001.html

【5】Cisco Clean Access に複数の脆弱性

情報源

CIAC Bulletin R-097
Multiple Vulnerabilities in Cisco Clean Access
http://www.ciac.org/ciac/bulletins/r-097.shtml

概要

Cisco Clean Access (CCA) には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、情報が漏えいしたりす
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- CCA releases 3.5.x - 3.5.9
- CCA releases 3.6.x - 3.6.4.2
- CCA releases 4.0.x - 4.0.3.2

この問題は、Cisco が提供する修正済みのバージョンに Cisco Clean
Access を更新することで解決します。

関連文書 (英語)

Cisco Security Advisories 72379
Multiple Vulnerabilities in Cisco Clean Access
http://www.cisco.com/warp/public/707/cisco-sa-20070103-CleanAccess.shtml

【6】pnamazu にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#02729869
pnamazu におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2302729869/index.html

概要

全文検索システム pnamazu には、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- pnamazu-2006.02.28 およびそれ以前

詳細については、配布元が提供する情報を参照してください。

この問題は、配布元が提供する修正済みのバージョン 2006.12.23 (ま
たはそれ以降) にpnamazu を更新することで解決します。

関連文書 (日本語)

namazu 検索プログラム perl 版 (pnamazu)
http://www01.tcp-ip.or.jp/~furukawa/pnamazu/

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#02729869「pnamazu」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_02729869_pnamazu.html

【7】Joomla! にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#45006961
Joomla! におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2345006961/index.html

概要

コンテンツ管理システム Joomla! には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Joomla! 1.0.11 およびそれ以前

この問題は、配布元が提供する修正済みのバージョン 1.0.12 (または
それ以降) に Joomla! を更新することで解決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#45006961「Joomla!」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_45006961.html

関連文書 (英語)

Joomla!
Joomla! 1.0.12 Released
http://www.joomla.org/content/view/2446/1/

【8】tDiary に脆弱性

情報源

JP Vendor Status Notes JVN#31185550
tDiary における任意の Ruby スクリプトを実行される脆弱性
http://jvn.jp/jp/JVN%2331185550/index.html

概要

Web 日記支援システム tDiary には、脆弱性があります。結果として、
tDiary が設置されている Web サーバ上で遠隔の第三者が任意の Ruby
スクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- tDiary 2.0.3 (安定版)
- tDiary 2.1.4.20061127 (開発版)

詳細については、配布元が提供する情報を参照してください。

この問題は、配布元が提供する修正済みのバージョンに tDiary を更新
することで解決します。

関連文書 (日本語)

tDiary.org
tDiaryの脆弱性に関する報告(2006-12-10)
http://www.tdiary.org/20061210.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#31185550「tDiary」における任意の Ruby スクリプトを実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_31185550.html

【9】sb および Serene Bach にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#65500885
Serene Bach におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2365500885/index.html

概要

ウェブログ管理システム sb および Serene Bach には、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行したり、情報が漏えいしたり
する可能性があります。

対象となるバージョンは以下の通りです。

- Serene Bach ver 2.05R およびそれ以前
- Serene Bach ver 2.08D およびそれ以前
- sb 1.18R およびそれ以前
- sb 1.13D およびそれ以前

この問題は、配布元が提供する修正済みのバージョン sb 1.19R (また
はそれ以降) もしくは Serene Bach 2.09R (またはそれ以降) に sb も
しくは Serene Bach を更新することで解決します。

関連文書 (日本語)

sb開発研究所
Serene Bach ver 2.09R
http://serenebach.net/log/sb209R.html

sb開発研究所
sb 1.19R
http://serenebach.net/log/sb119R.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#65500885「Serene Bach」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_65500885.html

■今週のひとくちメモ

○暗号関連技術の第三者評価を活用する

暗号関連技術を用いてセキュリティを確保する機器やソフトウェアには、
様々な暗号の要素技術 (アルゴリズム) が用いられています。これらの
機器やソフトウェアを安全に使用するためには、機器やソフトウェアで
使用されている暗号の要素技術が客観的に評価され、実務上安全である
ことを確認する必要があります。しかし、このような評価は、暗号の専
門家以外にとっては困難な作業となります。

暗号関連技術を用いた機器やソフトウェアを導入・運用する際は、アメ
リカや日本などの政府機関等によって提供されている暗号関連技術の第
三者評価を参考に検討することをお勧めします。詳しくは、下記参考文
献などを参照してください。

参考文献 (日本語)

CRYPTREC
技術報告書
http://www.cryptrec.jp/estimation.html

CRYPTREC
電子政府推奨暗号の仕様書
http://www.cryptrec.jp/method.html

独立行政法人 情報処理推進機構 セキュリティセンター
暗号技術
http://www.ipa.go.jp/security/ipg/crypt.html

参考文献 (英語)

National Institute of Standards and Technology
Cryptographic Standards and Validation Programs at NIST
http://csrc.nist.gov/cryptval/

National Institute of Standards and Technology
Recommendation on Key Management
http://csrc.nist.gov/publications/nistpubs/index.html#sp800-57

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
STOP!!パスワード使い回し!!キャンペーン2016
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english