JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2007 > Weekly Report 2007-04-25号

最終更新: 2007-04-25

Weekly Report 2007-04-25号


JPCERT-WR-2007-1601
JPCERT/CC
2007-04-25

<<< JPCERT/CC WEEKLY REPORT 2007-04-25 >>>

■04/15(日)〜04/21(土) のセキュリティ関連情報

目 次

【1】APOP におけるパスワード漏えいの脆弱性

【2】Apple の Mac 製品に複数の脆弱性

【3】Oracle 製品に複数の脆弱性

【4】PHP に複数の脆弱性

【5】open-gorotto にクロスサイトスクリプティングの脆弱性

【6】「私本管理GOOUT」にディレクトリトラバーサルの脆弱性

【7】InfoBarrier4 による自己復号ファイルに脆弱性

【8】キヤノン ネットワークカメラサーバー VB100 シリーズにクロスサイトスクリプティングの脆弱性

【9】Mozilla 製品の複数の脆弱性に関する追加情報

【今週のひとくちメモ】長期休暇明けの注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr071601.txt
https://www.jpcert.or.jp/wr/2007/wr071601.xml

【1】APOP におけるパスワード漏えいの脆弱性

情報源

Japan Vulnerability Notes JVN#19445002
APOP におけるパスワード漏えいの脆弱性
http://jvn.jp/jp/JVN%2319445002/index.html

概要

APOP には脆弱性があります。結果として、遠隔の第三者が POP アカウ
ントのパスワードを盗み取る可能性があります。

この問題は、プロトコル自身の問題であるため、ソフトウェアの修正に
よる根本的な解決はできません。回避策としては、POP over SSL など
を利用して、ホスト認証と通信の暗号化を行う方法があります。また、
POP アカウントに使用しているパスワードが他のシステムのパスワード
と共通である場合、他のシステムへのアクセスに利用される可能性もあ
るため、サービス毎に異なるパスワードを使うことを推奨します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#19445002 APOP におけるパスワード漏えいの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html

【2】Apple の Mac 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-109A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-109A.html

US-CERT Cyber Security Alert SA07-109A
Apple Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA07-109A.html

US-CERT Vulnerability Notes Database
Search Results [apple_2007-004] (全6件・2007年4月24日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=apple_2007-004

CIAC Bulletin R-216
Apple Security Update 2007-004
http://www.ciac.org/ciac/bulletins/r-216.shtml

概要

Mac OS X、Mac OS X Server およびこれらに含まれる GNU Tar、MIT
Kerberos などには複数の脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行したり、機密情報を取得したり、サービス運用
妨害(DoS)攻撃を行ったりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Intel および PowerPC ベースのシステムで稼動する以下の製品および
  バージョン
  - Apple Mac OS X v10.3.9、v10.4.9
  - Apple Mac OS X Server v10.3.9、v10.4.9

この問題は、Apple が提供する Security Update 2007-004 を適用する
ことで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA07-109A
Apple の Mac 製品に複数の脆弱性
http://jvn.jp/cert/JVNTA07-109A/index.html

関連文書 (英語)

Apple - Support
About Security Update 2007-004
http://docs.info.apple.com/article.html?artnum=305391

【3】Oracle 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-108A
Oracle Releases Patches for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-108A.html

US-CERT Vulnerability Note VU#809457
Oracle Database vulnerable to privilege escalation
http://www.kb.cert.org/vuls/id/809457

CIAC Bulletin R-213
Oracle Critical Patch Update - April 2007
http://www.ciac.org/ciac/bulletins/r-213.shtml

概要

Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報
を取得したり、サービス運用妨害(DoS)攻撃を行ったりする可能性が
あります。なお、これらの影響は対象製品やコンポーネント、設定等に
より異なります。

対象となるシステムは以下の通りです。

- Oracle Database
- Oracle Application Server
- Oracle Secure Enterprise Search
- Oracle Enterprise Manager
- Oracle Collaboration Suite
- Ultra Search component
- Oracle E-Business Suite
- Oracle PeopleSoft Enterprise PeopleTools
- Oracle PeopleSoft Enterprise Human Capital Management
- JD Edwards EnterpriseOne Tools
- JD Edwards OneWorld Tools

詳細については Oracle が提供する情報を参照してください。

この問題は、Oracle が提供するパッチを適用することで解決します。

関連文書 (日本語)

Oracle internet Support Center
[CPUApr2007] Critical Patch Update - April 2007
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=124318

Japan Vulnerability Notes JVNTA07-108A
Oracle 製品に複数の脆弱性
http://jvn.jp/cert/JVNTA07-108A/index.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update - April 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

【4】PHP に複数の脆弱性

情報源

CIAC Bulletin R-214
PHP Security Update
http://www.ciac.org/ciac/bulletins/r-214.shtml

概要

PHP には複数の脆弱性があります。結果として、遠隔の第三者が 
Apache ユーザの権限で任意のコードを実行するなどの可能性がありま
す。

本脆弱性については OS のベンダ、ディストリビュータによって対応状
況が大きく異なります。2007年4月24日現在、JPCERT/CC では、Red Hat
Linux 以外の環境で全ての脆弱性を修正したパッケージが公開されてい
ることを確認できておりません。Red Hat Linux を使用している場合は、
Red Hat が提供する修正済みのパッケージに PHP を更新することで解
決します。Red Hat Linux 以外の環境で PHP を使用している場合は、
修正済みのパッケージが提供され次第 PHP を更新する、あるいは 
php.net で公開されているソースを使用して PHP を更新することをご
検討ください。

関連文書 (英語)

Red Hat Security Advisory RHSA-2007:0155-2
Important: php security update
https://rhn.redhat.com/errata/RHSA-2007-0155.html

PHP: Hypertext Preprocessor
http://www.php.net/

【5】open-gorotto にクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#84646028
open-gorotto におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2384646028/index.html

概要

会員制のコミュニティサイトを構築するソフトウェア open-gorotto に
は、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したり、
セッション・ハイジャックを行ったりする可能性があります。

対象となるバージョンは以下の通りです。

- open-gorotto 2.0α 2006/04/07版およびそれ以前

この問題は、配布元が提供するセキュリティ修正パッチを適用すること
で解決します。

関連文書 (日本語)

open-gorotto ダウンロード
http://release.open-gorotto.jp/

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#84646028 「open-gorotto」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_84646028.html

【6】「私本管理GOOUT」にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#62334841
「私本管理Plus Ver2 GOOUT」におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN%2362334841/index.html

概要

蔵書管理用システムである「私本管理Plus」のデータをネットワーク経
由で閲覧するためのソフトウェア「私本管理GOOUT」には、ディレクト
リトラバーサルの脆弱性があります。結果として、遠隔の第三者が機密
情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- 私本管理GOOUT Ver2.1.7 およびそれ以前

この問題は、配布元が提供する修正済みの「私本管理GOOUT Ver2.1.8 
」に更新することで解決します。

関連文書 (日本語)

EKAKIN'S SCRIBBLE PAGE
http://homepage1.nifty.com/EKAKIN/

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#62334841「私本管理Plus Ver2 GOOUT」におけるディレクトリ・トラバーサルの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_62334841.html

【7】InfoBarrier4 による自己復号ファイルに脆弱性

情報源

Japan Vulnerability Notes JVN#91305178
InfoBarrier4 の自己復号型ファイルにおける脆弱性
http://jvn.jp/jp/JVN%2391305178/index.html

概要

InfoBarrier4 の暗号機能で作成した自己復号ファイルには脆弱性があ
ります。結果として、ファイルを入手した第三者が自己復号ファイルの
内容を閲覧したり、パスワードを入手したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- InfoBarrier4 Standard Plus の V4.0L10 および V4.0L20

この問題は、株式会社エフ・エフ・シーが提供するセキュリティパッチ
を適用することで解決します。パッチ適用以前に作成した自己復号ファ
イルは削除してください。詳細については、ベンダが提供する情報を参
照してください。

関連文書 (日本語)

株式会社FFC ダウンロード・アップデートモジュール
InfoBarrier4の自己復号ファイルの脆弱性について
http://www.infobarrier.com/infobarrier/download/updata.html

【8】キヤノン ネットワークカメラサーバー VB100 シリーズにクロスサイトスクリプティングの脆弱性

情報源

Japan Vulnerability Notes JVN#06735665
キヤノン ネットワークカメラサーバー VB100 シリーズにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2306735665/index.html

概要

キヤノン ネットワークカメラサーバー VB100 シリーズにはクロスサイ
トスクリプティングの脆弱性があります。結果として、遠隔の第三者が
カメラサーバーの管理画面にアクセスしたユーザのブラウザ上で任意の
スクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- VB100 V3.0 R69 およびそれ以前のバージョン
- VB101 V3.0 R69 およびそれ以前のバージョン
- VB150 V1.1 R39 およびそれ以前のバージョン

この問題は、キヤノンが提供する修正済みのバージョンにファームウェ
アを更新することで解決します。

関連文書 (日本語)

キヤノン:ダウンロード|ネットワークカメラ
ネットワークカメラサーバーをご使用のお客様へ
http://cweb.canon.jp/drv-upd/webview/notification.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#06735665「キヤノン ネットワークカメラサーバー VB100 シリーズ」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_06735665.html

【9】Mozilla 製品の複数の脆弱性に関する追加情報

情報源

US-CERT Vulnerability Notes VU#606260
Mozilla Layout Engine vulnerability
http://www.kb.cert.org/vuls/id/606260

CIAC Bulletin R-215
Multiple Security Vulnerabilities in Mozilla Layout Engine
http://www.ciac.org/ciac/bulletins/r-215.shtml

概要

JPCERT/CC REPORT 2006-12-27号【1】で紹介した、Mozilla 製品の複数
の脆弱性に関する追加情報です。

Sun が Solaris 8, 9, 10 向けの Mozilla レイアウトエンジンの脆弱
性を修正するパッチを公開しました。

対象となる製品およびバージョンは以下の通りです。

- SPARC プラットフォームで動作する以下の製品
  - パッチ 120671-05 未適用の Mozilla 1.7 (Solaris 8 および 9
    向け)
  - Mozilla 1.7 (Solaris 10 向け)

- x86 プラットフォームで動作する以下の製品
  - パッチ 120672-05 未適用の Mozilla 1.7 (Solaris 8 および 9
    向け)
  - Mozilla 1.7 (Solaris 10 向け)

なお、Mozilla 1.4 も本脆弱性の影響を受ける可能性があります。Sun 
は、Mozilla 1.7 にアップグレードしてから該当するパッチを適用する
ことを推奨しています。詳細については、Sun が提供する情報を参照し
てください。

関連文書 (日本語)

Mozilla Foundation セキュリティアドバイザリ 2006-68
メモリ破壊の形跡があるクラッシュ (rv:1.8.0.9/1.8.1.1)
http://www.mozilla-japan.org/security/announce/2006/mfsa2006-68.html

JPCERT/CC REPORT 2006-12-27
【1】Mozilla 製品に複数の脆弱性
http://www.jpcert.or.jp/wr/2006/wr065001.html#1

関連文書 (英語)

Sun Alert Notification 102885
Multiple Security Vulnerabilities in Mozilla Layout Engine for Solaris 8, 9 and 10
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102885-1

■今週のひとくちメモ

○長期休暇明けの注意

ゴールデンウィークのような長期休暇の後には、セキュリティ対策に関
して一層の注意が必要です。長期休暇中に使用していなかった PC につ
いては、早急に下記のようなセキュリティ対策を行うことをおすすめし
ます。また、休暇中外部に持ち出した PC については、内部ネットワー
クに接続する前に同様の対策を行うことをおすすめします。

- OS などのソフトウェアのセキュリティアップデートを適用する
- ウイルス対策ソフトなどの定義ファイルを更新する
- ハードディスクのウイルスチェックを行う
- 使用している機器やソフトウェアのセキュリティ関連情報の収集を行
  う

参考文献 (日本語)

長期休暇を控えて
http://www.jpcert.or.jp/pr/2007/pr070005.txt

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ