-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-2101 JPCERT/CC 2007-06-06 <<< JPCERT/CC REPORT 2007-06-06 >>> ―――――――――――――――――――――――――――――――――――――― ■05/27(日)〜06/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】Apple QuickTime for Java に複数の脆弱性 【3】Apple 製品に複数の脆弱性 【4】file コマンドに整数アンダーフローの脆弱性 【5】Sun Java System Web Proxy Server に脆弱性 【6】Avast! にバッファオーバーフローの脆弱性 【7】Logitech VideoCall にバッファオーバーフローの脆弱性 【8】HP System Management Homepage にクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その3 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr072101.html http://www.jpcert.or.jp/wr/2007/wr072101.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA07-151A Mozilla Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-151A.html US-CERT Cyber Security Alert SA07-151A Mozilla Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA07-151A.html US-CERT Vulnerability Notes Database Search Results [mozilla_20070531] (全2件・2007年6月5日現在) http://www.kb.cert.org/vuls/byid?searchview&query=mozilla_20070531 CIAC Bulletin R-252 Mozilla Layout Engine Vulnerable http://www.ciac.org/ciac/bulletins/r-252.shtml CIAC Bulletin R-253 SeaMonkey Security Update http://www.ciac.org/ciac/bulletins/r-253.shtml CIAC Bulletin R-254 Thunderbird Security Update http://www.ciac.org/ciac/bulletins/r-254.shtml CIAC Bulletin R-255 Firefox Security Update http://www.ciac.org/ciac/bulletins/r-255.shtml 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が あります。結果として、遠隔の第三者が任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、使用している OS のベンダや配布元が提供する以下の修正 済みのバージョンに、該当する製品を更新することで解決します。 - Firefox 2.0.0.4 (またはそれ以降) - Firefox 1.5.0.12 (またはそれ以降) - Thunderbird 1.5.0.12 (またはそれ以降) - SeaMonkey 1.0.9 (またはそれ以降) - SeaMonkey 1.1.2 (またはそれ以降) なお、2007年6月5日現在、Thunderbird 2.0 系列では修正済みのバージョ ンは提供されていません。Mozilla の情報によると、修正済みのバージョ ンである Thunderbird 2.0.0.4 を準備しているとのことです。 また、Firefox 1.5 系列のサポートは 6月で終了するため、Firefox 2.0 系列へ更新することを推奨します。 詳細については、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Foundation セキュリティアドバイザリ 2007-12 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.12/1.8.1.4) http://www.mozilla-japan.org/security/announce/2007/mfsa2007-12.html Mozilla Foundation セキュリティアドバイザリ 2007-13 永続的な自動補完によるサービス妨害 http://www.mozilla-japan.org/security/announce/2007/mfsa2007-13.html Mozilla Foundation セキュリティアドバイザリ 2007-14 Cookie パスの不正利用 http://www.mozilla-japan.org/security/announce/2007/mfsa2007-14.html Mozilla Foundation セキュリティアドバイザリ 2007-15 APOP 認証に関するセキュリティ脆弱性 http://www.mozilla-japan.org/security/announce/2007/mfsa2007-15.html Mozilla Foundation セキュリティアドバイザリ 2007-16 addEventListener を利用したクロスサイトスクリプティング http://www.mozilla-japan.org/security/announce/2007/mfsa2007-16.html Mozilla Foundation セキュリティアドバイザリ 2007-17 XUL ポップアップの偽装 http://www.mozilla-japan.org/security/announce/2007/mfsa2007-17.html Japan Vulnerability Notes JVNTA07-151A Mozilla 製品における複数の脆弱性 http://jvn.jp/cert/JVNTA07-151A/index.html 関連文書 (英語) Red Hat Security Advisory RHSA-2007:0400-3 Critical: firefox security update http://rhn.redhat.com/errata/RHSA-2007-0400.html Red Hat Security Advisory RHSA-2007:0401-2 Critical: thunderbird security update http://rhn.redhat.com/errata/RHSA-2007-0401.html Red Hat Security Advisory RHSA-2007:0402-4 Critical: seamonkey security update http://rhn.redhat.com/errata/RHSA-2007-0402.html 【2】Apple QuickTime for Java に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#995836 Apple QuickTime for Java security bypass vulnerability http://www.kb.cert.org/vuls/id/995836 US-CERT Vulnerability Note VU#434748 Apple QuickTime for Java information disclosure vulnerability http://www.kb.cert.org/vuls/id/434748 CIAC Bulletin R-251 Apple QuickTime 7.1.6 Security Update http://www.ciac.org/ciac/bulletins/r-251.shtml 概要 QuickTime for Java には複数の脆弱性があります。結果として、遠隔 の第三者が細工した Web ページを利用して任意のコードを実行する可 能性があります。 対象となる製品およびバージョンは以下の通りです。 - QuickTime 7.1.6 for Windows - QuickTime 7.1.6 for Mac OS X この問題は、Apple が提供する Security Update (QuickTime 7.1.6) を適用することで解決します。 関連文書 (日本語) アップル - サポート Security Update (QuickTime 7.1.6) について http://docs.info.apple.com/article.html?artnum=305531-ja アップル - サポート - ダウンロード Security Update (QuickTime 7.1.6 for Windows) http://www.apple.com/jp/ftp-info/reference/securityupdatequicktime716forwindows.html アップル - サポート - ダウンロード Security Update (QuickTime 7.1.6 for Mac) http://www.apple.com/jp/ftp-info/reference/securityupdatequicktime716formac.html 【3】Apple 製品に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#221876 Apple Mac OS X mDNSResponder buffer overflow vulnerability http://www.kb.cert.org/vuls/id/221876 US-CERT Vulnerability Note VU#116100 Apple Mac OS X iChat UPnP buffer overflow http://www.kb.cert.org/vuls/id/116100 CIAC Bulletin R-247 Apple Security Update 2007-005 http://www.ciac.org/ciac/bulletins/r-247.shtml 概要 Mac OS X および Mac OS X Server には複数の脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、JPCERT/CC REPORT 2007-03-22号【3】で紹介した「BIND9 に複数の脆弱性」と同一の脆弱性を含んでいます。 対象となる製品およびバージョンは以下の通りです。 - Intel および PowerPC ベースのシステムで稼動する以下の製品および バージョン - Apple Mac OS X v10.3.9、v10.4.9 - Apple Mac OS X Server v10.3.9、v10.4.9 この問題は、Apple が提供する Security Update 2007-005 を適用する ことで解決します。詳細については Apple が提供する情報を参照して ください。 関連文書 (日本語) アップル - サポート Security Update 2007-005 について http://docs.info.apple.com/article.html?artnum=305530-ja アップル - サポート - ダウンロード Security Update 2007-005 v1.1 (PPC) http://www.apple.com/jp/ftp-info/reference/securityupdate2007005v11ppc.html アップル - サポート - ダウンロード Security Update 2007-005 v1.1 (Universal) http://www.apple.com/jp/ftp-info/reference/securityupdate2007005v11universal.html JPCERT/CC REPORT 2007-03-22 【3】BIND9 に複数の脆弱性 http://www.jpcert.or.jp/wr/2007/wr071101.html#3 【4】file コマンドに整数アンダーフローの脆弱性 情報源 CIAC Bulletin R-250 File Security Update http://www.ciac.org/ciac/bulletins/r-250.shtml 概要 ファイルの種別を判定する file コマンドには、整数アンダーフローの 脆弱性があります。結果として、第三者が、細工したファイルに対して file コマンドを実行させることで任意のコードを実行できる可能性が あります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに file コマンドを更新することで解決します。詳細につい てはベンダや配布元が提供する情報を参照してください。 関連文書 (英語) US-CERT Vulnerability Note VU#606700 file integer underflow vulnerability http://www.kb.cert.org/vuls/id/606700 Red Hat Security Advisory RHSA-2007:0391-3 Moderate: file security update https://rhn.redhat.com/errata/RHSA-2007-0391.html 【5】Sun Java System Web Proxy Server に脆弱性 情報源 US-CERT Vulnerability Note VU#746889 Sun Java System Web Proxy Server fails to properly process malformed packets http://www.kb.cert.org/vuls/id/746889 CIAC Bulletin R-248 Security Vulnerabilities in the SOCKS Module of Sun Java System Web Proxy http://www.ciac.org/ciac/bulletins/r-248.shtml 概要 Sun Java System Web Proxy Server の SOCKS モジュールには、バッファ オーバーフローの脆弱性があります。結果として、遠隔の第三者が Sun Java System Web Proxy Server を実行しているユーザの権限で任意の コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Sun Java System Web Proxy Server 4.0.4 およびそれ以前 この問題は、Sun が提供する修正済みのバージョン 4.0.5 またはそれ 以降に Sun Java System Web Proxy Server を更新することで解決しま す。 関連文書 (英語) Sun Alert Notification 102927 Security Vulnerabilities in the SOCKS Module of Sun Java System Web Proxy Server 4.0 http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102927-1 【6】Avast! にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#125868 Avast! antivirus buffer overflow vulnerability http://www.kb.cert.org/vuls/id/125868 CIAC Bulletin R-249 Avast! Antivirus Vulnerability http://www.ciac.org/ciac/bulletins/r-249.shtml 概要 ALWIL Software が提供するウィルス対策ソフトウェア Avast! には、 バッファオーバーフローの脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - Avast! 4.7.700 より前のバージョン この問題は、ALWIL Software が提供する修正済みのバージョンに Avast! を更新することで解決します。 関連文書 (英語) ALWIL Software avast! Managed Client Revision History http://www.avast.com/eng/adnm-management-client-revision-history.html 【7】Logitech VideoCall にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#330289 Logitech VideoCall multiple ActiveX controls contain stack buffer overflows http://www.kb.cert.org/vuls/id/330289 CIAC Bulletin R-256 Logitech VideoCall Vulnerabilities http://www.ciac.org/ciac/bulletins/r-256.shtml 概要 Logitech VideoCall に含まれる複数の ActiveX コントロールには、複 数のバッファオーバーフローの脆弱性があります。結果として、遠隔の 第三者が細工した HTML 文書を利用して任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 2007年6月5日現在、この問題に対する修正プログラムは確認されており ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま す。詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト サポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797 【8】HP System Management Homepage にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#19240523 HP System Management Homepage におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2319240523/index.html 概要 HP が提供する HP System Management Homepage (SMH) には、クロスサ イトスクリプティングの脆弱性があります。結果として、遠隔の第三者 がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - Linux および Windows 上で動作する以下のバージョン - HP System Management Homepage 2.1.2 より前のバージョン この問題は、HP が提供する修正済みのバージョンに SMH を更新するこ とで解決します。 なお、SMH の旧製品にあたる Compaq System Management Homepage に も同様の脆弱性があることが確認されています。Compaq System Management Homepage は現在提供されていないため、SMH へアップグレー ドすることが推奨されています。詳しくは HP が提供する情報を参照し てください。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#19240523 「HP System Management Homepage」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19240523.html 関連文書 (英語) SUPPORT COMMUNICATION - SECURITY BULLETIN c01056592 HPSBMA02216 SSRT071310 rev.1 - HP System Management Homepage (SMH) for Linux and Windows, Remote Cross Site Scripting (XSS) http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01056592 US-CERT Vulnerability Note VU#292457 HP System Management Homepage cross-site scripting vulnerability http://www.kb.cert.org/vuls/id/292457 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○生体認証 (バイオメトリクス認証) その3 生体認証の技術は他の認証方式と比較して歴史が浅く、現在も評価と改 良が続けられています。 生体認証では本人の身体的特徴や行動的特徴を利用するため、基本的に 認証情報の変更は困難です。このため、一度認証情報が漏えいすると、 その人は生涯リスクを負うことになります。他のシステムで同じ生体情 報を使用している場合、それらのシステムに影響が波及する可能性があ ります。 生体認証システムを構築運用する場合には、生体認証だけでなく、パス ワードやスマートカードなど他の認証方式と併用し(多要素認証)、認証 に利用する生体情報を適切に管理して、その管理方法をユーザに説明す ることを推奨します。 参考文献 (日本語) 金融庁: 偽造キャッシュカード問題に関するスタディグループ 金融取引における生体認証について http://www.fsa.go.jp/singi/singi_fccsg/gaiyou/f-20050415-singi_fccsg/02.pdf JPCERT/CC REPORT 2006-07-12 【今週の一口メモ】複数の認証を併用する http://www.jpcert.or.jp/wr/2006/wr062601.txt JPCERT/CC REPORT 2007-05-23 【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その1 http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo JPCERT/CC REPORT 2007-05-30 【今週のひとくちメモ】生体認証 (バイオメトリクス認証) その2 http://www.jpcert.or.jp/wr/2007/wr072001.html#Memo ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRmYUQYx1ay4slNTtAQFYBAQA0ZmCePhfe0egI+N4zw6uOl/OpI7aOV2d FNLGKrcfmDf7IUHERPBiCDQG6tUgLqjiOW/TDGwyR0tnNPFoXCQDUfAEl/WDDmWf 4K++Q2zgwV/331IRfLHwFXN+8yCZY5XgPG2brxeuDK5Xd+ptvLqZwY+NPpKwbklZ MXsCGRSexTc= =LVid -----END PGP SIGNATURE-----