JPCERT-WR-2007-11012007-03-222007-03-112007-03-17OpenBSD の IPv6 パケット処理にバッファオーバーフローの脆弱性
OpenBSD の IPv6 パケット処理にはバッファオーバーフローの脆弱性が
あります。結果として、遠隔の第三者が任意のコードを実行したり、シ
ステムをクラッシュさせたりする可能性があります。なお、すでに攻撃
方法に関する情報が公開されています。
OpenBSD ではデフォルトのインストール状態で IPv6 パケットを処理す
るようになっているため、特に IPv6 に関する設定を行なっていない場
合にもこの問題の影響を受ける可能性があります。
この問題は、配布元が提供するパッチを適用することで解決します。ま
た、この問題は pf により IPv6 パケットをフィルタリングすることで
回避できます。OpenBSD 4.0 errata010: SECURITY FIX: March 7, 2007http://www.openbsd.org/errata40.html#m_dup1OpenBSD 3.9 errata020: SECURITY FIX: March 7, 2007http://www.openbsd.org/errata39.html#m_dup1Mac OS X および Mac OS X Server に複数の脆弱性
Mac OS X、Mac OS X Server およびこれらに含まれる他社のいくつかの
製品には複数の脆弱性があります。結果として、遠隔の第三者が任意の
コードやコマンドを実行したり、アクセス制限の迂回、サービス運用妨
害 (DoS) 攻撃などを行ったりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Intel および PowerPC ベースのシステムで稼動する以下の製品および
バージョン
- Apple Mac OS X v10.3.9、v10.4.x
- Apple Mac OS X Server v10.3.9、v10.4.x
この問題は、Apple が提供する Security Update 2007-003 を適用する
か、Mac OS X v10.4.9 に更新することで解決します。
この修正では、Mac OS X や Mac OS X Server に含まれる以下の製品等
も対象となっています。
- Adobe Flash Player
- GNU Tar
- MySQL Server
- OpenSSH
- Sudo
アップル - サポートMac OS X 10.4.9 のセキュリティコンテンツおよび Security Update 2007-003 についてhttp://docs.info.apple.com/article.html?artnum=305214-jaJP Vendor Status Notes JVNTA07-072AApple の Mac 製品に複数の脆弱性http://jvn.jp/cert/JVNTA07-072A/index.htmlJP Vendor Status Notes TRTA07-072AApple の Mac 製品に複数の脆弱性http://jvn.jp/tr/TRTA07-072A/index.htmlBIND9 に複数の脆弱性
BIND9 には複数の脆弱性があります。結果として、遠隔の第三者がサー
ビス運用妨害 (DoS) 攻撃を行う可能性があります。
この問題は、配布元や使用している OS のベンダが提供する修正済みの
バージョンに BIND9 を更新することで解決します。詳細については、
配布元が提供する情報を参照してください。Internet Systems Consortium, Inc.BIND Vulnerabilitieshttp://www.isc.org/index.pl?/sw/bind/bind-security.phpRed Hat Security Advisory RHSA-2007:0057-3Moderate: bind security updatehttps://rhn.redhat.com/errata/RHSA-2007-0057.htmlFreeBSD-SA-07:02.bindMultiple Denial of Service vulnerabilities in named(8)http://security.freebsd.org/advisories/FreeBSD-SA-07:02.bind.ascDebian Security Advisory DSA-1254-1bind9 -- insufficient input sanitisinghttp://www.debian.org/security/2007/dsa-1254CCCクリーナーにゼロ除算の脆弱性
サイバークリーンセンターにて、2007年1月25日より 2007年3月12日ま
での間に提供された CCCクリーナーには、UPX 圧縮実行ファイルの検索
処理においてゼロ除算の脆弱性があります。結果として、遠隔の第三者
が CCCクリーナーを異常終了させたり、システムを異常終了させたりす
る可能性があります。
対象となるバージョンは以下の通りです。
- CCCパターン Ver:321 およびそれ以前の CCCクリーナー
以下のバージョンでは、この問題は修正されています。
- CCCパターン Ver:335 (またはそれ以降) の CCCクリーナー総務省・経済産業省 連携プロジェクトCyber Clean Center サイバークリーンセンターhttps://www.ccc.go.jp/index.htmlJPCERT コーディネーションセンター (JPCERT/CC) JPCERT-PR-2007-0003サイバークリーンセンターにおいて提供された「CCCクリーナー」の脆弱性についてのお知らせhttp://www.jpcert.or.jp/pr/2007/pr070003.pdfトレンドマイクロ アラート/アドバイザリウイルス検索エンジンのUPXファイル検索処理時におけるゼロ除算の脆弱性http://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061483&id=JP-2061483Sun Java System Web Server に脆弱性
Sun Java System Web Server には脆弱性があります。結果として、ロー
カルまたは遠隔の第三者が、ある条件のもとで、無効なクライアント証
明書を使用してサーバインスタンスにアクセスする可能性があります。
対象となるバージョンは以下の通りです。
- SPARC プラットフォームで動作する以下のバージョン
- Service Pack 7 未適用の Sun Java System Web Server 6.1
- パッチ 116648-19 未適用の Sun Java System Web Server 6.1
- x86 プラットフォームで動作する以下のバージョン
- Service Pack 7 未適用の Sun Java System Web Server 6.1
- パッチ 116649-19 未適用の Sun Java System Web Server 6.1
- Linux プラットフォームで動作する以下のバージョン
- Service Pack 7 未適用の Sun Java System Web Server 6.1
- パッチ 118202-11 未適用の Sun Java System Web Server 6.1
- AIX プラットフォームで動作する以下のバージョン
- Service Pack 7 未適用の Sun Java System Web Server 6.1
- HP-UX プラットフォームで動作する以下のバージョン
- Service Pack 7 未適用の Sun Java System Web Server 6.1
なお、以下は該当しません。
- Sun Java System Web Server 6.0
- Sun Java System Web Server 6.1 for Windows
- Sun Java System Web Server 7.0
この問題は、Sun が提供するサービスパックまたはパッチを適用するこ
とで解決します。詳細については、Sun が提供する情報を参照してくだ
さい。Sun Alert Notification 102822Sun Java System Web Server May Allow A User with Revoked Client Certificate to Access Server Instance Under Certain Conditionshttp://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102822-1デバイスエクスプローラの各種 OPC サーバにバッファオーバーフローの脆弱性
シーケンサ等の計測機器との通信を行うアプリケーションであるデバイ
スエクスプローラの各種 OPC サーバには、バッファオーバーフローの
脆弱性があります。結果として、遠隔の第三者が OPC サーバの実行権
限で任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Ver 3.11 Build6 以前
- Ver 3.12 Build1
- Ver 3.12 Build2
この問題は、株式会社たけびしが提供する最新バージョンを適用するこ
とで解決します。詳細についてはベンダが提供する情報を参照してくだ
さい。FAWEBドットネット「OPCサーバ/セキュリティ関連のお知らせ」<セキュリティ関連のお知らせ>デバイスエクスプローラOPCサーバの脆弱性についてhttp://www.faweb.net/opc/1231207.htmlTrac にクロスサイトスクリプティングの脆弱性
プロジェクト管理ツールである Trac には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- trac 0.10.3 およびそれ以前
- trac-0.10.3-ja-1 およびそれ以前
この問題は、配布元またはベンダが提供する修正済みのバージョンに更
新することで解決します。公開資料(Trac)セキュリティ情報http://www.i-act.co.jp/project/products/products.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#91706484「Trac」におけるクロスサイト・スクリプティングの脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_91706484.htmlEdgewallTrac 0.10.3.1 Releasedhttp://www.edgewall.org/blog/news/trac_0_10_3_1.htmlFENCE-Pro および Systemwalker Desktop Encryption の自己復号ファイルに脆弱性
暗号化ソフトウェアである FENCE-Pro および Systemwalker Desktop
Encryption の自己復号ファイルとして作成したファイルには脆弱性が
あります。結果として、第三者が自己復号ファイルの内容を閲覧したり、
自己復号パスワードを入手したりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- FENCE-PRO V2、V3、V4
- Systemwalker Desktop Encryption V12.0L10、V12.0L10A、
V12.0L10B、V12.0L20、V13.0.0
ソフトウェアに対して富士通が提供するセキュリティパッチを適用する
ことで、以後作成される自己複号ファイルはこの問題の影響を受けませ
ん。また、既に作成した自己復号ファイルについては、富士通が提供す
る自己復号ファイル修正ツールを使用して修正してください。詳細は、
ベンダが提供する情報を参照してください。FUJITSUFENCE-Proの自己復号ファイルの脆弱性についてhttp://segroup.fujitsu.com/secure/products/fence/notice/alert20070316.htmlFUJITSUSystemwalker Desktop Encryptionの自己復号ファイルの脆弱性の問題について (2007年3月16日)http://software.fujitsu.com/jp/security/products-fujitsu/solution/systemwalker_dte_200701.html独立行政法人 情報処理推進機構 セキュリティセンターJVN#19795972「FENCE-Pro」および「Systemwalker Desktop Encryption」の自己復号型ファイルにおける脆弱性http://www.ipa.go.jp/security/vuln/documents/2006/JVN_19795972.htmlRSA Conference Japan 2007 フルカンファレンス優待登録のお知らせ
4月25日(水)〜26日(木) ザ・プリンスパークタワー東京において、
RSA Conference Japan 2007 が開催されます。JPCERT/CC はセキュリティ
の脅威の現状とその対策についてのパネルディスカッションと、ソフト
ウェア製品が抱える脆弱性の問題とその対策についての講演を行います。
C2-4.プロが語る情報セキュリティの真実
〜脅威の現状とその対策〜
2007年04月25日 16:20〜18:15
https://rsacon2007.smartseminar.jp/public/application/add/36?lang=ja#C2
C4-5. 開発者と技術者のための先進情報
ソフトウェア製品における脆弱性対応の実情
〜問題点と対策〜
2007年04月26日 17:25〜18:15
https://rsacon2007.smartseminar.jp/public/application/add/36?lang=ja#C4
プログラムの詳細については、上記 Web ページをご参照ください。
JPCERT/CC レポート読者向けに、フルカンファレンスの優待登録が提供
されていますのでご利用ください。下記登録サイトにて登録コードをご
入力いただくと、フルカンファレンスに限り、事前登録料金より 10%
OFF でご参加いただけます。なお、フルカンファレンスの事前登録は
4月16日(月)18:00 までです。
[登録サイト] http://www.cmptech.jp/rsaconference/register/index.html
[JPCERT/CC レポート読者優待登録コード] km7BmHne
登録に関するお問合せ
〒107-0062 東京都港区南青山1-14-7 WIZ青山
TEL: 03-5785-0604 FAX: 03-5785-0608
mailto:rsacon07-regist@cmptech.jp
お問い合わせ時間 10:00〜18:00(土・日・祝祭日を除く)ユーザアカウントとメールアドレスの整理
まもなく年度が変わろうとしています。この時期には人事異動等の影響
で、不要になるユーザアカウントやメールアドレスが多数発生すること
が予想されます。そこで、システム管理者の方は不要になるアカウント
やアドレスを予めリスト化するなどの準備をしておき、できるだけ速や
かに適切な措置を取ることを推奨します。
また、無効なメールアドレスが whois データベースや自組織のウェブ
サイトを通して外部に公開されていないかどうか併せて確認し、必要に
応じてそれらの情報を更新しましょう。
さらに、この機会に各ユーザおよび管理者のパスワードの一斉変更、ネッ
トワーク機器の設定変更、アカウント管理ポリシーの見直しなども検討
することをお勧めします。JPCERT/CC REPORT 2004-04-21号 [今週の一口メモ]ユーザアカウントとパスワードの整理http://www.jpcert.or.jp/wr/2004/wr041601.txtJPCERT/CC REPORT 2006-03-29号 [今週の一口メモ]whois データベースの更新http://www.jpcert.or.jp/wr/2006/wr061201.txtJPCERT/CC REPORT 2006-04-05号 [今週の一口メモ]インシデント報告を受けつけるメールアドレスhttp://www.jpcert.or.jp/wr/2006/wr061301.txtJPCERT/CC REPORT 2006-04-19号 [今週の一口メモ]ユーザアカウントとメールアドレスの整理http://www.jpcert.or.jp/wr/2006/wr061501.txtJPCERT/CC REPORT 2007-02-21号 [今週の一口メモ]予め設定されているアカウントやパスワードに注意http://www.jpcert.or.jp/wr/2007/wr070701.html#Memo