-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-2801 JPCERT/CC 2007-07-25 <<< JPCERT/CC REPORT 2007-07-25 >>> ―――――――――――――――――――――――――――――――――――――― ■07/15(日)〜07/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】Oracle 製品に複数の脆弱性 【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報 【4】GIMP に複数の整数オーバーフローの脆弱性 【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性 【6】Nessus に脆弱性 【今週のひとくちメモ】PHP 4 のサポート終了 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr072801.html http://www.jpcert.or.jp/wr/2007/wr072801.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA07-199A Mozilla Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-199A.html US-CERT Cyber Security Alert SA07-199A Mozilla Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA07-199A.html US-CERT Vulnerability Notes Database Search Results [mozilla_20070717] (全2件・2007年7月24日現在) http://www.kb.cert.org/vuls/byid?searchview&query=mozilla_20070717 CIAC Bulletin R-309 Mozilla Products Security Update http://www.ciac.org/ciac/bulletins/r-309.shtml 概要 Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が あります。結果として、遠隔の第三者が細工した HTML 文書をユーザに 閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、JPCERT/CC REPORT 2007-07-19号【4】で紹介した 「FirefoxURL プロトコルハンドラの処理に脆弱性」と同一の脆弱性を 含んでいます。 対象となる製品は以下の通りです。 - Firefox - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可能 性があります。 この問題は、使用している OS のベンダや配布元が提供する以下の修正 済みのバージョンに、該当する製品を更新することで解決します。 - Firefox 2.0.0.5 - Thunderbird 2.0.0.5 詳細については、Mozilla が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Foundation セキュリティアドバイザリ: 2007 年 7 月 17 日 http://www.mozilla-japan.org/security/announce/ Mozilla Japan Firefox 2.0.0.5 リリースノート http://www.mozilla-japan.org/products/firefox/2.0.0.5/releasenotes/ Mozilla Japan Thunderbird 2.0.0.5 リリースノート http://www.mozilla-japan.org/products/thunderbird/2.0.0.5/releasenotes/ Japan Vulnerability Notes JVNTA07-199A Mozilla 製品における複数の脆弱性 http://jvn.jp/cert/JVNTA07-199A/index.html @police Firefox および Thunderbird の脆弱性について(7/20) http://www.cyberpolice.go.jp/important/2007/20070720_102407.html JPCERT/CC REPORT 2007-07-19 【4】FirefoxURL プロトコルハンドラの処理に脆弱性 http://www.jpcert.or.jp/wr/2007/wr072701.html#4 関連文書 (英語) Red Hat Security Advisory RHSA-2007:0724-4 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2007-0724.html Red Hat Security Advisory RHSA-2007:0723-4 Moderate: thunderbird security update https://rhn.redhat.com/errata/RHSA-2007-0723.html Red Hat Security Advisory RHSA-2007:0722-3 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2007-0722.html 【2】Oracle 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA07-200A Oracle Releases Patches for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-200A.html US-CERT Vulnerability Note VU#322460 Oracle Collaboration Suite denial of service vulnerability http://www.kb.cert.org/vuls/id/322460 CIAC Bulletin R-308 Oracle Critical Patch Update - July 2007 http://www.ciac.org/ciac/bulletins/r-308.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報 を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。なお、これらの影響は対象製品やコンポーネント、設定等によ り異なります。 対象となる製品は以下の通りです。 - Oracle Database - Oracle Application Express (旧称 HTML DB) - Oracle Secure Enterprise Search - Oracle Application Server - Oracle Collaboration Suite - Oracle E-Business Suite - Oracle PeopleSoft Enterprise PeopleTools - Oracle PeopleSoft Enterprise Human Capital Management - Oracle PeopleSoft Enterprise Customer Relationship Management 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用することで 解決します。 関連文書 (日本語) Oracle internet Support Center [CPUJul2007] Critical Patch Update - July 2007 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=125546 Japan Vulnerability Notes JVNTA07-200A Oracle 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA07-200A/index.html Oracle Technology Network Oracle Critical Patch Update - July 2007 http://otn.oracle.co.jp/security/070720_79/top.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update - July 2007 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html 【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報 情報源 CIAC Bulletin R-305 Tomcat Security Update http://www.ciac.org/ciac/bulletins/r-305.shtml 概要 JPCERT/CC REPORT 2007-06-20号【5】で紹介した「Apache Tomcat に複 数のクロスサイトスクリプティングの脆弱性」に関する追加情報です。 Apache Software Foundation は、この脆弱性に対する修正プログラムを 公開しました。 詳細については、使用している OS のベンダや配布元が提供する情報を 参照してください。 関連文書 (日本語) JPCERT/CC REPORT 2007-06-20 【5】Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性 http://www.jpcert.or.jp/wr/2007/wr072301.html#5 関連文書 (英語) Apache Tomcat Apache Tomcat 4.x vulnerabilities http://tomcat.apache.org/security-4.html Apache Tomcat Apache Tomcat 5.x vulnerabilities http://tomcat.apache.org/security-5.html Apache Tomcat Apache Tomcat 6.x vulnerabilities http://tomcat.apache.org/security-6.html Red Hat Security Advisory RHSA-2007:0569-2 Moderate: tomcat security update https://rhn.redhat.com/errata/RHSA-2007-0569.html 【4】GIMP に複数の整数オーバーフローの脆弱性 情報源 CIAC Bulletin R-310 Gimp Security Vulnerabilities http://www.ciac.org/ciac/bulletins/r-310.shtml 概要 GIMP には複数の整数オーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工したメディアファイルをユーザに開かせることで任 意のコードを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GIMP を更新することで解決します。 関連文書 (英語) GIMP: The GNU Image Manipulation Program Version 2.2 NEWS 2.2 http://developer.gimp.org/NEWS-2.2 Debian Security Advisory DSA-1335-1 gimp -- several vulnerabilities http://www.debian.org/security/2007/dsa-1335 【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#786920 Trillian Instant Messenger client fails to properly handle malformed URIs http://www.kb.cert.org/vuls/id/786920 CIAC Bulletin R-306 Trillian Instant Messenger Client Vulnerability http://www.ciac.org/ciac/bulletins/r-306.shtml 概要 Cerulean Studios の Trillian Instant Messenger には、URI の処理 においてバッファオーバーフローの脆弱性があります。結果として、遠 隔の第三者が細工した HTML 文書をユーザに Web ブラウザで開かせる ことで、ユーザの権限で任意のコードを実行する可能性があります。 対象となるバージョンについては Cerulean Studios が提供する情報を 参照してください。 この問題は、Cerulean Studios が提供する修正済みのバージョン 3.1.7.0 に Trillian Instant Messenger を更新することで解決します。 関連文書 (英語) Cerulean Studios' Blog Trillian 3.1.7.0 http://blog.ceruleanstudios.com/?p=170 【6】Nessus に脆弱性 情報源 Japan Vulnerability Notes JVN#34058672 Nessus のレポート出力機能において任意のスクリプトが実行される脆弱性 http://jvn.jp/jp/JVN%2334058672/index.html 概要 Tenable Network Security が提供する脆弱性スキャナである Nessus のレポート出力機能には脆弱性があります。結果として、出力された HTML ファイルを閲覧した際に、任意のスクリプトが実行される可能性 があります。 対象となるバージョンは以下の通りです。 - Nessus 3.0.5 for Microsoft Windows およびそれ以前 詳細については、Tenable Network Security が提供する情報を参照し てください。 この問題は、Tenable Network Security が提供する修正済みのバージョ ン 3.0.6 に Nessus を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#34058672 「Nessus」のレポート出力機能において任意のスクリプトが実行される脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_34058672.html 関連文書 (英語) Nessus 26th June, 2007: Nessus 3.0.6 released http://www.nessus.org/news/#56 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○PHP 4 のサポート終了 PHP 4 のサポートが 2007年12月31日で終了します。PHP 4 を利用して いるサーバ管理者及び PHP 4 で稼働するプログラムの開発者は、PHP 5 への移行を検討することをおすすめします。 なお、The PHP Group からは「PHP 4 から PHP 5 への移行」のマニュ アルが提供されています。詳細については、以下の情報を参照してくだ さい。 参考文献 (日本語) PHP マニュアル 付録 D. PHP 4 から PHP 5 への移行 http://jp.php.net/manual/ja/migration5.php 参考文献 (英語) PHP: News Archive - 2007 PHP 4 end of life announcement http://jp.php.net/archive/2007.php#2007-07-13-1 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRqah7Yx1ay4slNTtAQF6WAP+PjFbw9dDFD6mlebbocc3YFnBQsnlxCpN Algv34cdAqe5PViPUb8Svgfe3IpaKVqMi1FJjC50EeIdDfNCMlwp4iV8a6H6B+V2 mKe0P2MWEEZoih1OoHMEVHY5aOXkXvQ+rsD/wmavFg71ETYGIDm7zPIMJYF2c+Y9 9OjX4dyHQlc= =0yMm -----END PGP SIGNATURE-----