-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-2001 JPCERT/CC 2007-05-30 <<< JPCERT/CC REPORT 2007-05-30 >>> ―――――――――――――――――――――――――――――――――――――― ■05/20(日)〜05/26(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性 【2】OPeNDAP BES に複数の脆弱性 【3】Microsoft Office Isolated Conversion Environment (MOICE) について 【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その2 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr072001.html http://www.jpcert.or.jp/wr/2007/wr072001.xml ============================================================================ 【1】RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性 情報源 US-CERT Vulnerability Note VU#754281 RSA BSAFE libraries denial of service vulnerability http://www.kb.cert.org/vuls/id/754281 CIAC Bulletin R-245 Vulnerability in Crypto Library http://www.ciac.org/ciac/bulletins/r-245.shtml 概要 RSA BSAFE Cert-C および Crypto-C のライブラリには脆弱性がありま す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - RSA BSAFE Cert-C 2.8 より前のバージョン - RSA BSAFE Crypto-C 6.3.1 より前のバージョン この問題は、RSA が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 Cisco からは、この問題に対する修正済みのバージョンおよび回避策が 公開されております。その他、RSA BSAFE を使用するさまざまなベンダ の製品も影響を受ける可能性があります。詳細については、使用してい る OS のベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#754281 RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性 http://jvn.jp/cert/JVNVU%23754281/index.html JPCERT/CC Alert 2007-05-24 複数の Cisco 製品における DoS の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2007/at070013.txt RSAセキュリティ RSA BSAFE Cert-C http://www.rsa.com/japan/products/bsafe/cert-c.html RSAセキュリティ RSA BSAFE Crypto-C http://www.rsa.com/japan/products/bsafe/crypto-c.html 関連文書 (英語) Cisco Security Advisory: cisco-sa-20070522-crypto.shtml Vulnerability In Crypto Library http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c5d.shtml Cisco Applied Intelligence Response Identifying and Mitigating Exploitation of the Vulnerability In Crypto Library http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c96.html Cisco Security Advisory: cisco-sa-20070522-SSL Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c49.shtml Cisco Applied Intelligence Response Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c7e.html 【2】OPeNDAP BES に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#659148 OPeNDAP arbitrary command execution vulnerability http://www.kb.cert.org/vuls/id/659148 US-CERT Vulnerability Note VU#671028 OPeNDAP filesystem enumeration vulnerability http://www.kb.cert.org/vuls/id/671028 CIAC Bulletin R-244 OPeNDAP Vulnerability http://www.ciac.org/ciac/bulletins/r-244.shtml 概要 OPeNDAP 4 Data Server (別名 Hyrax) に含まれる BES には、複数の脆 弱性があります。結果として、遠隔の第三者が任意のコマンドを実行す るなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Hyrax 1.2.1 より前のバージョンに含まれる BES - BES 3.5.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに該当する製品を 更新することで解決します。 関連文書 (英語) OPeNDAP Data Server Security Information Security Messages 14 May 2007 http://www.opendap.org/security.html OPeNDAP Server4 Software OPeNDAP 4 Data Server (also known as Hyrax) http://www.opendap.org/download/hyrax.html OPeNDAP BES Software BES Software http://www.opendap.org/download/BES.html 【3】Microsoft Office Isolated Conversion Environment (MOICE) について 情報源 CIAC Technical Bulletin CIACTech07-001 MOICE - Microsoft Office Isolated Conversion Environment http://www.ciac.org/ciac/techbull/CIACTech07-001.shtml 概要 Microsoft は、第三者が任意のコードを埋め込んだ Microsoft Office (Word、Excel、PowerPoint) 文書をユーザに開かせる攻撃手法への対策 として、Microsoft Office Isolated Conversion Environment (MOICE) を公開しました。 このツールを導入すると、Microsoft Office (Word、Excel、 PowerPoint) 文書を開こうとしたとき、Office 文書がより安全な Office 2007 の Open XML 形式に変換され、新しいファイルとして一時 フォルダに格納され、適切な Office アプリケーションを使用して開か れます。 詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ アドバイザリ (937696) Microsoft Office Isolated Conversion Environment (MOICE) および Microsoft Office 向けファイル ブロック機能の公開 http://www.microsoft.com/japan/technet/security/advisory/937696.mspx マイクロソフト サポート技術情報 (935865) Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について http://support.microsoft.com/kb/935865 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○生体認証 (バイオメトリクス認証) その2 生体認証で利用する生体情報の種類には、指紋、虹彩、静脈、声紋、筆 跡のように多くの種類があります。また、これらを利用する生体認証デ バイスも数多く市場に普及しています。 生体認証デバイスの精度/性能は、以下のような数値で評価できます。 - 正しい利用者本人を拒否する確率: 本人拒否率 (FRR: False Reject Rate) - 他人を本人と認識してしまう確率: 他人受入率 (FAR: False Accept Rate) これらの精度評価は、国際的な標準化も進められていますが、現時点で は各メーカが独自に発表しています。生体認証デバイスを採用する際に は、実際に使用して評価検討することが重要です。また、採用するデバ イスで認証できない利用者に対する代替手段の検討も行っておくことを おすすめします。 参考文献 (日本語) 社団法人日本自動認識システム協会 BIOMETRICS http://www.jaisa.or.jp/action/group/bio/shoukai.html JPCERT/CC REPORT 2007-05-23 【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1 http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRlzaf4x1ay4slNTtAQGFFgQA1t/ewja4LDsv0aaKt07EOMkupYpa6RV4 otDRHtBljuVW31O4gpLnGSJkLXUOL03+aCOsN4vozYQrMVooRY/9xJcT06G4fc/g bPDrhAjr+EZkHjaUXJDB3EuEp1CgaG/Jq7OqQ0LTj4i1n7FBKF+13g9usP+IMshB xxphsRsfAyI= =Unv5 -----END PGP SIGNATURE-----