JPCERT-WR-2007-3801
2007-10-03
2007-09-23
2007-09-29
Linux カーネルに権限昇格の脆弱性
Linux カーネルには、権限昇格の脆弱性があります。結果として、ロー
カルユーザが root 権限を取得する可能性があります。
対象となるバージョンは以下の通りです。
- バージョン 2.4.35.3 以前の Linux kernel 2.4.x 系
- バージョン 2.6.22.7 以前の Linux kernel 2.6.x 系
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。
Linux
Linux Kernel ChangeLog 2.6.22.7
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.7
Linux
Linux Kernel ChangeLog 2.4.35.3
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.35.3
Red Hat Security Advisory RHSA-2007:0936-2
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2007-0936.html
Debian セキュリティ勧告 DSA-1378-2
linux-2.6 -- 複数の脆弱性
http://www.debian.org/security/2007/dsa-1378.ja.html
Aipo にセッション固定の脆弱性
株式会社エイムラックが提供するグループウェア Aipo には、セッショ
ン固定の脆弱性があります。結果として、遠隔の第三者が、ユーザのロ
グイン時に特定のセッション ID を使わせることで、ユーザになりすま
す可能性があります。
対象となるバージョンは以下の通りです。
- Aipo V3.0.1.0 およびそれ以前
- Aipo ASP版 V3.0.1.0 およびそれ以前
この問題は、株式会社エイムラックが提供するアップデートプログラム
を適用することで解決します。詳細については、株式会社エイムラック
が提供する情報を参照してください。
株式会社エイムラック
アップデートプログラム
http://aipo.aimluck.com/download/update.html
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#70075625 「Aipo」におけるセッション固定の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_70075625.html
インターネットセキュリティの歴史 第9回 「重要インフラのサイバーテロ対策に係る特別行動計画策定」
2000年12月15日、内閣により「重要インフラのサイバーテロ対策に係る
特別行動計画」が策定されました。同年 1月に、中央省庁のウェブペー
ジが次々と書き換えられた事件をきっかけに、日本政府としてはじめて、
サイバーテロ対策のための行動計画を策定したものです。
対象とする重要インフラ分野は、策定当初 7分野でしたが、その後の見
直しにより 3分野が追加され、情報通信、金融、航空、鉄道、電力、ガ
ス、政府・行政サービス (地方公共団体を含む)、医療、水道、物流の
10分野となっています。
この重要インフラのサイバーテロ対策を含む情報セキュリティ政策は、
情報セキュリティセンター (NISC、設置当時の名称は「情報セキュリティ
対策推進室」) により、推進されています。
内閣官房情報セキュリティセンター
重要インフラ対策チーム
http://www.nisc.go.jp/active/infra/index.html
内閣官房情報セキュリティセンター
重要インフラ防護のためのサイバーテロ対策
http://www.nisc.go.jp/active/sisaku/terro-taisaku.html