JPCERT-WR-2007-0101
2007-01-11
2006-12-24
2007-01-06
Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に脆弱性
Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に
は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。
対象となる製品は以下の通りです。
- QuickTime for Windows PC
- QuickTime for Mac OS X
なお、iTunes のように QuickTime を利用するソフトウェアも影響を受
けます。詳細については、今後ベンダが提供する情報を参照してくださ
い。
2007年1月10日現在、セキュリティアップデートは提供されていません。
回避策としては以下の方法があります。
- QuickTime ActiveX コントロールを無効にする
- ブラウザの QuickTime プラグインを無効にする
- QuickTime ファイルへのアプリケーションの関連付けを無効にする
- JavaScript を無効にする
- 信頼できないサイトの QuickTime ファイルにはアクセスしない
JP Vendor Status Notes JVNTA07-005A
Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA07-005A/index.html
JP Vendor Status Notes JVNVU#442497
Apple QuickTime の Real Time Streaming Protocol (RTSP) 処理にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23442497/index.html
Adobe 製品の Acrobat プラグインにクロスサイトスクリプティングの脆弱性
Windows または Linux で動作する Adobe 製品の Acrobat プラグイン
には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。
対象となる製品とバージョンは以下の通りです。
- Adobe Reader 7.0.8 およびそれ以前
- Adobe Acrobat Standard、Professional および Elements 7.0.8 およ
びそれ以前
- Adobe Acrobat 3D
この問題は、配布元や使用している OS のベンダが提供する修正済みの
バージョンにそれぞれの製品を更新することで解決します。詳細につい
ては上記情報源やベンダが提供する情報を参照してください。
Adobe Security advisory APSA07-01
Cross-site scripting vulnerability in versions 7.0.8 and earlier of Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa07-01.html
Opera Web ブラウザに複数の脆弱性
Opera Web ブラウザには、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行したり、Opera Web ブラウザをクラッシュ
させたりするなどの可能性があります。
対象となるバージョンは以下の通りです。
- Opera 9.02 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョン 9.10 (またはそれ以降) に Opera Web ブラウザを更新する
ことで解決します。
Opera Software - Knowledge Base
Advisory: Vulnerability in createSVGTransformFromMatrix (JavaScript, SVG)
http://www.opera.com/support/search/supsearch.dml?index=851
Opera Software - Knowledge Base
Advisory: A JPEG image with a malformed header can crash Opera
http://www.opera.com/support/search/supsearch.dml?index=852
OpenOffice.org にバッファオーバーフローの脆弱性
OpenOffice.org には、複数のバッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。
対象となるバージョンは以下の通りです。
- OpenOffice.org 2.0.4 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenOffice.org を更新することで解決します。
OpenOffice.org
課題 70042
http://www.openoffice.org/issues/show_bug.cgi?id=70042
Red Hat Security Advisory RHSA-2007:0001-3
Important: openoffice.org security update
https://rhn.redhat.com/errata/RHSA-2007-0001.html
Cisco Clean Access に複数の脆弱性
Cisco Clean Access (CCA) には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、情報が漏えいしたりす
るなどの可能性があります。
対象となるバージョンは以下の通りです。
- CCA releases 3.5.x - 3.5.9
- CCA releases 3.6.x - 3.6.4.2
- CCA releases 4.0.x - 4.0.3.2
この問題は、Cisco が提供する修正済みのバージョンに Cisco Clean
Access を更新することで解決します。
Cisco Security Advisories 72379
Multiple Vulnerabilities in Cisco Clean Access
http://www.cisco.com/warp/public/707/cisco-sa-20070103-CleanAccess.shtml
pnamazu にクロスサイトスクリプティングの脆弱性
全文検索システム pnamazu には、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- pnamazu-2006.02.28 およびそれ以前
詳細については、配布元が提供する情報を参照してください。
この問題は、配布元が提供する修正済みのバージョン 2006.12.23 (ま
たはそれ以降) にpnamazu を更新することで解決します。
namazu 検索プログラム perl 版 (pnamazu)
http://www01.tcp-ip.or.jp/~furukawa/pnamazu/
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#02729869「pnamazu」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_02729869_pnamazu.html
Joomla! にクロスサイトスクリプティングの脆弱性
コンテンツ管理システム Joomla! には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ
たりする可能性があります。
対象となるバージョンは以下の通りです。
- Joomla! 1.0.11 およびそれ以前
この問題は、配布元が提供する修正済みのバージョン 1.0.12 (または
それ以降) に Joomla! を更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#45006961「Joomla!」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_45006961.html
Joomla!
Joomla! 1.0.12 Released
http://www.joomla.org/content/view/2446/1/
tDiary に脆弱性
Web 日記支援システム tDiary には、脆弱性があります。結果として、
tDiary が設置されている Web サーバ上で遠隔の第三者が任意の Ruby
スクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- tDiary 2.0.3 (安定版)
- tDiary 2.1.4.20061127 (開発版)
詳細については、配布元が提供する情報を参照してください。
この問題は、配布元が提供する修正済みのバージョンに tDiary を更新
することで解決します。
tDiary.org
tDiaryの脆弱性に関する報告(2006-12-10)
http://www.tdiary.org/20061210.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#31185550「tDiary」における任意の Ruby スクリプトを実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_31185550.html
sb および Serene Bach にクロスサイトスクリプティングの脆弱性
ウェブログ管理システム sb および Serene Bach には、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行したり、情報が漏えいしたり
する可能性があります。
対象となるバージョンは以下の通りです。
- Serene Bach ver 2.05R およびそれ以前
- Serene Bach ver 2.08D およびそれ以前
- sb 1.18R およびそれ以前
- sb 1.13D およびそれ以前
この問題は、配布元が提供する修正済みのバージョン sb 1.19R (また
はそれ以降) もしくは Serene Bach 2.09R (またはそれ以降) に sb も
しくは Serene Bach を更新することで解決します。
sb開発研究所
Serene Bach ver 2.09R
http://serenebach.net/log/sb209R.html
sb開発研究所
sb 1.19R
http://serenebach.net/log/sb119R.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#65500885「Serene Bach」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_65500885.html
暗号関連技術の第三者評価を活用する
暗号関連技術を用いてセキュリティを確保する機器やソフトウェアには、
様々な暗号の要素技術 (アルゴリズム) が用いられています。これらの
機器やソフトウェアを安全に使用するためには、機器やソフトウェアで
使用されている暗号の要素技術が客観的に評価され、実務上安全である
ことを確認する必要があります。しかし、このような評価は、暗号の専
門家以外にとっては困難な作業となります。
暗号関連技術を用いた機器やソフトウェアを導入・運用する際は、アメ
リカや日本などの政府機関等によって提供されている暗号関連技術の第
三者評価を参考に検討することをお勧めします。詳しくは、下記参考文
献などを参照してください。
CRYPTREC
技術報告書
http://www.cryptrec.jp/estimation.html
CRYPTREC
電子政府推奨暗号の仕様書
http://www.cryptrec.jp/method.html
独立行政法人 情報処理推進機構 セキュリティセンター
暗号技術
http://www.ipa.go.jp/security/ipg/crypt.html
National Institute of Standards and Technology
Cryptographic Standards and Validation Programs at NIST
http://csrc.nist.gov/cryptval/
National Institute of Standards and Technology
Recommendation on Key Management
http://csrc.nist.gov/publications/nistpubs/index.html#sp800-57