JPCERT-WR-2007-3901
2007-10-11
2007-09-30
2007-10-06
Java Runtime Environment (JRE) に脆弱性
Java Runtime Environment (JRE) には、脆弱性があります。結果とし
て、遠隔の第三者が細工したアプレットをユーザに読み込ませることで、
ネットワーク内の他のリソースにアクセスする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- JDK and JRE 6 Update 2 およびそれ以前
- JDK and JRE 5.0 Update 12 およびそれ以前
- SDK and JRE 1.4.2_15 およびそれ以前
- SDK and JRE 1.3.1_20 およびそれ以前
この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
更新することで解決します。
Japan Vulnerability Notes JVNVU#336105
JRE (Java Runtime Environment) に遠隔の第三者がネットワークリソースへ接続可能な脆弱性
http://jvn.jp/cert/JVNVU%23336105/index.html
Sun Alert Notification 103079
Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103079-1
OpenSSL にバッファオーバーフローの脆弱性
OpenSSL の libssl ライブラリには、バッファオーバーフローの脆弱性
があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻
撃を行ったり、任意のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- OpenSSL 0.9.7l および 0.9.8d
また、libssl ライブラリを使用するアプリケーションも影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL を更新するすることで解決します。詳細について
は、ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1379-1
openssl -- off-by-one エラー / バッファオーバフロー
http://www.debian.org/security/2007/dsa-1379.ja.html
OpenSSL
Welcome to the OpenSSL Project
http://openssl.org/
「Apple QuickTime に脆弱性」に関する追加情報
JPCERT/CC REPORT 2007-09-20 号【1】で紹介した「Apple QuickTime に
脆弱性」に関する追加情報です。
Apple は、この脆弱性に対するセキュリティアップデートを公開しまし
た。詳細については、Apple が提供する情報を参照してください。
アップル - サポート
QuickTime 7.2 のセキュリティアップデートについて
http://docs.info.apple.com/article.html?artnum=306560-ja
JPCERT/CC REPORT 2007-09-20
【1】Apple QuickTime に脆弱性
http://www.jpcert.or.jp/wr/2007/wr073602.html#1
@police
QuickTime の脆弱性について(10/5)
http://www.cyberpolice.go.jp/important/2007/20071005_152642.html
Webmin に OS コマンドインジェクションの脆弱性
Web ベースのシステム管理ツール Webmin の Windows 版には、OS コマ
ンドインジェクションの脆弱性があります。結果として、Webmin ユー
ザが細工した URL を入力することで、ローカルシステム権限で任意の
OS コマンドを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Windows 版 Webmin 1.360 およびそれ以前
この問題は、配布元が提供する修正済みのバージョン 1.370 に Webmin
を更新することで解決します。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#61208749 「Webmin」における OS コマンド・インジェクションの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61208749.html
独立行政法人 情報処理推進機構 セキュリティセンター
「Webmin」におけるセキュリティ上の弱点(脆弱性)の注意喚起について
http://www.ipa.go.jp/security/vuln/200710_Webmin.html
Webmin
Security Alerts
http://www.webmin.com/security.html
Webmin
Change Log
http://www.webmin.com/changes.html
Google Gmail にクロスサイトリクエストフォージェリの脆弱性
Google Gmail には、クロスサイトリクエストフォージェリの脆弱性があ
りました。結果として、遠隔の第三者が細工したメールフィルタを作成
して、メールを任意のアドレスに転送する可能性がありました。
この問題は、Google は既に修正済みと報告しています。ただし、修正
前に被害を受けてしまったユーザは、作成されたフィルタを削除しない
限り、メールを転送してしまう可能性があります。メールフィルタに不
審な設定がないか確認し、見覚えのない設定がある場合は削除してくだ
さい。
PowerArchiver にバッファオーバーフローの脆弱性
ConeXware 社が提供するファイル圧縮・展開ソフト PowerArchiver に
は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が細工したアーカイブをユーザに展開させることで、ユーザの権
限で任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- PowerArchiver 10.20.21 より前のバージョン
この問題は、ConeXware 社が提供する修正済みのバージョンに
PowerArchiver を更新することで解決します。詳細については、
ConeXware 社が提供する情報を参照してください。
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#61323184 「PowerArchiver」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61323184.html
PowerArchiver 2007
Security Fix for BlackHole Archives
http://www.powerarchiver.com/news/
PowerArchiver 2007
Download
http://www.powerarchiver.com/download/
National Cyber Security Awareness Month
米国では、毎年 10月を "National Cyber Security Awareness Month"
として、インターネットの安全性を高めるための啓発活動を展開してい
ます。この活動には、米国国土安全省、NCSA (National Cyber
Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業
などが参加しており、 様々なユーザ層に向けた活動が行われています。
今年は 10月1日の NCSA Summit を皮切りに全米各地の大学で関連した
啓発イベントなどが開催されています。
National Cyber Security Alliance
National Cyber Security Awareness Month 2007
http://www.staysafeonline.org/events/index2007b.html
US-CERT
October is National Cyber Security Awareness Month
http://www.us-cert.gov/press_room/ncsamonth.html
SANS Internet Storm Center
Cyber Security Awareness Month - Daily Topics
http://isc.sans.org/diary.html?storyid=3429