JPCERT-WR-2007-2001
2007-05-30
2007-05-20
2007-05-26
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
RSA BSAFE Cert-C および Crypto-C のライブラリには脆弱性がありま
す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う
可能性があります。
対象となる製品およびバージョンは以下の通りです。
- RSA BSAFE Cert-C 2.8 より前のバージョン
- RSA BSAFE Crypto-C 6.3.1 より前のバージョン
この問題は、RSA が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。
Cisco からは、この問題に対する修正済みのバージョンおよび回避策が
公開されております。その他、RSA BSAFE を使用するさまざまなベンダ
の製品も影響を受ける可能性があります。詳細については、使用してい
る OS のベンダや配布元が提供する情報を参照してください。
Japan Vulnerability Notes JVNVU#754281
RSA BSAFE Cert-C および Crypto-C にサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU%23754281/index.html
JPCERT/CC Alert 2007-05-24
複数の Cisco 製品における DoS の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070013.txt
RSAセキュリティ
RSA BSAFE Cert-C
http://www.rsa.com/japan/products/bsafe/cert-c.html
RSAセキュリティ
RSA BSAFE Crypto-C
http://www.rsa.com/japan/products/bsafe/crypto-c.html
Cisco Security Advisory: cisco-sa-20070522-crypto.shtml
Vulnerability In Crypto Library
http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c5d.shtml
Cisco Applied Intelligence Response
Identifying and Mitigating Exploitation of the Vulnerability In Crypto Library
http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c96.html
Cisco Security Advisory: cisco-sa-20070522-SSL
Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets
http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c49.shtml
Cisco Applied Intelligence Response
Identifying and Mitigating Exploitation of the Multiple Vulnerabilities in Cisco IOS While Processing SSL Packets
http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c7e.html
OPeNDAP BES に複数の脆弱性
OPeNDAP 4 Data Server (別名 Hyrax) に含まれる BES には、複数の脆
弱性があります。結果として、遠隔の第三者が任意のコマンドを実行す
るなどの可能性があります。
対象となる製品およびバージョンは以下の通りです。
- Hyrax 1.2.1 より前のバージョンに含まれる BES
- BES 3.5.0 より前のバージョン
この問題は、配布元が提供する修正済みのバージョンに該当する製品を
更新することで解決します。
OPeNDAP Data Server Security Information
Security Messages 14 May 2007
http://www.opendap.org/security.html
OPeNDAP Server4 Software
OPeNDAP 4 Data Server (also known as Hyrax)
http://www.opendap.org/download/hyrax.html
OPeNDAP BES Software
BES Software
http://www.opendap.org/download/BES.html
Microsoft Office Isolated Conversion Environment (MOICE) について
Microsoft は、第三者が任意のコードを埋め込んだ Microsoft Office
(Word、Excel、PowerPoint) 文書をユーザに開かせる攻撃手法への対策
として、Microsoft Office Isolated Conversion Environment (MOICE)
を公開しました。
このツールを導入すると、Microsoft Office (Word、Excel、
PowerPoint) 文書を開こうとしたとき、Office 文書がより安全な
Office 2007 の Open XML 形式に変換され、新しいファイルとして一時
フォルダに格納され、適切な Office アプリケーションを使用して開か
れます。
詳細については、下記関連文書を参照してください。
マイクロソフト セキュリティ アドバイザリ (937696)
Microsoft Office Isolated Conversion Environment (MOICE) および Microsoft Office 向けファイル ブロック機能の公開
http://www.microsoft.com/japan/technet/security/advisory/937696.mspx
マイクロソフト サポート技術情報 (935865)
Word/Excel/PowerPoint 2007 ファイル形式用 Microsoft Office 互換機能パックの Microsoft Office Isolated Conversion Environment の更新について
http://support.microsoft.com/kb/935865
生体認証 (バイオメトリクス認証) その2
生体認証で利用する生体情報の種類には、指紋、虹彩、静脈、声紋、筆
跡のように多くの種類があります。また、これらを利用する生体認証デ
バイスも数多く市場に普及しています。
生体認証デバイスの精度/性能は、以下のような数値で評価できます。
- 正しい利用者本人を拒否する確率: 本人拒否率 (FRR: False Reject Rate)
- 他人を本人と認識してしまう確率: 他人受入率 (FAR: False Accept Rate)
これらの精度評価は、国際的な標準化も進められていますが、現時点で
は各メーカが独自に発表しています。生体認証デバイスを採用する際に
は、実際に使用して評価検討することが重要です。また、採用するデバ
イスで認証できない利用者に対する代替手段の検討も行っておくことを
おすすめします。
社団法人日本自動認識システム協会
BIOMETRICS
http://www.jaisa.or.jp/action/group/bio/shoukai.html
JPCERT/CC REPORT 2007-05-23
【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1
http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo