JPCERT-WR-2007-1001
2007-03-14
2007-03-04
2007-03-10
Apple QuickTime に複数の脆弱性
Apple QuickTime には複数の脆弱性があります。結果として、遠隔の第
三者が任意のコードやコマンドを実行したり、サービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。
対象となる製品は以下の通りです。
- QuickTime for Windows PC
- QuickTime for Mac OS X
なお、iTunes のように QuickTime を利用するソフトウェアも影響を受
けます。詳細については、ベンダが提供する情報を参照してください。
この問題は、該当する製品を Apple が提供する修正済みの QuickTime
7.1.5 (またはそれ以降) に更新することで解決します。
QuickTime 7.1.5 のセキュリティコンテンツについて
http://docs.info.apple.com/article.html?artnum=305149-ja
アップル - サポート - ダウンロード
QuickTime 7.1.5 for Windows
http://www.apple.com/jp/ftp-info/reference/quicktime715forwindows.html
アップル - サポート - ダウンロード
QuickTime 7.1.5 for Mac
http://www.apple.com/jp/ftp-info/reference/quicktime715formac.html
JP Vendor Status Notes JVNTA07-065A
Apple QuickTime に複数の脆弱性
http://jvn.jp/cert/JVNTA07-065A/index.html
@police
QuickTime の脆弱性について(3/6)
http://www.cyberpolice.go.jp/important/2007/20070306_153534.html
HP-UX の JRE および JDK に複数の脆弱性
HP-UX の JRE および JDK には複数の脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行する可能性があります。
対象となる製品およびバージョンは以下の通りです。
- HP が提供し、HP-UX B.11.11 および B.11.23 で動作する以下の製品
- JDK および JRE 5.0.05 (1.5.0.05)
- SDK および JRE 1.4.2.11 およびそれ以前
- SDK および JRE 1.3.1.19 およびそれ以前
この問題は、該当する製品を HP が提供する以下の修正済みのバージョ
ンに更新することで解決します。
- JDK および JRE 1.5.0.6 (またはそれ以降)
- SDK および JRE 1.4.2.12 (またはそれ以降)
- SDK および JRE 1.3.1.20 (またはそれ以降)
詳細については、HP が提供する情報を参照してください。
JPCERT/CC REPORT 2007-01-24
【2】Java Runtime Environment (JRE) にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2007/wr070301.html#2
SUPPORT COMMUNICATION - SECURITY BULLETIN c00876579
HPSBUX02196 SSRT07138 rev.1 - HP-UX Java (JRE and JDK) Remote Execution of Arbitrary Code
http://www2.itrc.hp.com/service/cki/docDisplay.do?docId=c00876579
Sun Alert Notification 102729
Security Vulnerabilities in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges and Execute Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102729-1
Sun Alert Notification 102731
Security Vulnerabilities Related to Serialization in the Java Runtime Environment may Allow Untrusted Applets to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102731-1
Sun Alert Notification 102760
Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102760-1
US-CERT Vulnerability Note VU#388289
Sun Microsystems Java GIF image processing buffer overflow
http://www.kb.cert.org/vuls/id/388289
US-CERT Vulnerability Note VU#102289
Sun Java JRE vulnerable to privilege escalation
http://www.kb.cert.org/vuls/id/102289
US-CERT Vulnerability Note VU#149457
Sun Java JRE vulnerable to arbitrary code execution via an undetermined error
http://www.kb.cert.org/vuls/id/149457
US-CERT Vulnerability Note VU#939609
Sun Java JRE vulnerable to arbitrary code execution via an unspecified error
http://www.kb.cert.org/vuls/id/939609
主要 DNS サーバのレスポンスが悪化した件についての追加情報
JPCERT/CC REPORT 2007-02-15号【1】で紹介した、主要 DNS サーバの
レスポンスが悪化した件についての追加情報です。
ICANN (Internet Corporation for Assigned Names and Numbers) より、
本件に関する資料が発行されました。これによると、今回の事象の特徴
として、以下の点が挙げられるとのことです。
- 13あるルート DNS サーバのうち 6つが攻撃を受けたが、大きな影響
が出たのは 2つのみにとどまっている。
- エニーキャストアドレス (※) を導入しているルート DNS サーバは
影響を受けなかった。
- 攻撃はアジア太平洋地域を起点としている。
※エニーキャストアドレス (または「エニーキャスト」「IP Anycast」):
複数のサーバ (インタフェース) に対して同一の IP アドレスを割り当
てることで、負荷分散の効果を得られます。複数のルート DNS サーバ
が既にエニーキャストアドレスを導入しています。
JPCERT/CC REPORT 2007-02-15
【1】主要 DNS サーバのレスポンスが悪化した件について
http://www.jpcert.or.jp/wr/2007/wr070602.html#1
JPNIC インターネット用語1分解説
エニーキャストアドレス(Anycast Address)とは
http://www.nic.ad.jp/ja/basics/terms/anycast-address.html
任意アクセス制御と強制アクセス制御
ファイルなどのリソースに対するアクセス制御方式には、大きく分けて
任意アクセス制御 (DAC: Discretionary Access Control) と強制アク
セス制御 (MAC: Mandatory Access Control) とがあります。
任意アクセス制御は、リソースの所有者にアクセス制御を任せる方式で
す。任意アクセス制御の代表的な例としては、Unix 系 OS などで実装
されているファイルパーミッションが挙げられます。また、一部の OS
におけるファイルシステムには拡張機能として POSIX 準拠の ACL
(Access Control List) が実装され、ファイルパーミッションより細か
な制御を実現していますが、これも任意アクセス制御の一種です。
一方、強制アクセス制御は、リソース所有者の意図に関らず、システム
の管理者により一定のアクセス制御を強制する方式です。この場合のア
クセス制御ルールはいわゆる管理者権限を持ったユーザに対しても適用
されること、リソース所有者の権限では変更できないことなどが特徴と
して挙げられます。例としては SELinux、TOMOYO Linux、Trusted BSD
や Trusted Solaris などが挙げられます。
日本SELinuxユーザー会
http://www.selinux.gr.jp/
TOMOYO Linux
http://tomoyo.sourceforge.jp/
Sun Microsystems
Trusted Solaris オペレーティングシステム
http://jp.sun.com/products/software/solaris/trustedsolaris/
National Security Agency/Central Security Service (NSA/CSS)
Security-Enhanced Linux
http://www.nsa.gov/selinux/
TrustedBSD Project
TrustedBSD
http://www.trustedbsd.org/