-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-4301 JPCERT/CC 2007-11-07 <<< JPCERT/CC REPORT 2007-11-07 >>> ―――――――――――――――――――――――――――――――――――――― ■10/28(日)〜11/03(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】RealPlayer 製品に複数の脆弱性 【2】CUPS にバッファオーバーフローの脆弱性 【3】SonicWall NetExtender の NELaunchCtrl ActiveX コントロールにスタックバッファオーバーフローの脆弱性 【4】Internet Week 2007 のお知らせ 【今週のひとくちメモ】夏時間 (Daylight Saving Time) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr074301.html http://www.jpcert.or.jp/wr/2007/wr074301.xml ============================================================================ 【1】RealPlayer 製品に複数の脆弱性 情報源 RealNetworks Customer Support RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/10252007_player/ja/ 概要 RealNetworks のマルチメディアプレーヤー RealPlayer には、複数の ファイル形式の処理においてバッファオーバフローの脆弱性があります。 結果として、遠隔の第三者が細工したマルチメディアファイルをユーザ に開かせることで、ユーザの権限で任意のコードを実行する可能性があ ります。 対象となる製品およびバージョンについては RealNetworks の提供する 情報を参照してください。なお Windows, Mac OS X, Linux の全てのプ ラットフォームで影響を受ける製品が存在します。 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。詳細については、RealNetworks が提供する情報を参照してください。 なお、本件は JPCERT/CC REPORT 2007-10-24 号【2】で紹介した 「RealPlayer 製品に脆弱性」とは別の問題です。 関連文書 (日本語) @police RealPlayer の脆弱性について(10/29) http://www.cyberpolice.go.jp/important/2007/20071029_111937.html 【2】CUPS にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#446897 CUPS buffer overflow vulnerability http://www.kb.cert.org/vuls/id/446897 CIAC Bulletin S-032 CUPS Security Update and Bug Fix Update http://www.ciac.org/ciac/bulletins/s-032.shtml 概要 CUPS には、バッファオーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工をした IPP リクエストを CUPS サーバに処理させ ることで、CUPS サーバを実行しているユーザの権限で任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - CUPS 1.3.3 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに CUPS を更新することで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#446897 CUPS におけるバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU%23446897/index.html 関連文書 (英語) Common UNIX Printing System Article #508: Common UNIX Printing System 1.3.4 http://www.cups.org/articles.php?L508 Red Hat Security Advisory RHSA-2007:1020-3 Important: cups security and bug fix update https://rhn.redhat.com/errata/RHSA-2007-1020.html 【3】SonicWall NetExtender の NELaunchCtrl ActiveX コントロールにスタックバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#298521 SonicWall NetExtender NELaunchCtrl ActiveX control stack buffer overflow http://www.kb.cert.org/vuls/id/298521 概要 SonicWall NetExtender の NELaunchCtrl ActiveX コントロールには、 スタックバッファオーバーフローの脆弱性があります。結果として、遠 隔の第三者が細工した HTML 文書をユーザに閲覧させることで、ユーザ の権限で任意のコードを実行する可能性があります。なお、本件に関し ては攻撃方法に関する情報が公開されています。 対象となる製品およびバージョンは以下の通りです。 - SonicWall SSL-VPN 2000 シリーズおよび 4000 シリーズのバージョン 2.5 以前のファームウェアに含まれている NetExtender モジュール - SonicWall SSL-VPN 200 シリーズの 2.1 Patch Build 以前のファーム ウェアに含まれている NetExtender モジュール この問題は、SonicWall が提供する修正済みのバージョンに、該当する 製品のファームウェアを更新することで解決します。なお、クライアン トは、該当する製品に接続して修正済みの ActiveX コントロールを取得 する必要があります。詳細については、SonicWall が提供する情報を参 照してください。 関連文書 (日本語) SonicWall サポート http://www.sonicwall.com/japan/support/index.html 関連文書 (英語) SonicWall (登録が必要です) http://www.sonicwall.com/us/643.htm SonicWall File Info & Download - Release Note SonicWALL SSL VPN 2.5 Release Notes http://www.sonicwall.com/downloads/SonicWALL_SSL-VPN_2.5_Release_Notes.pdf SonicWall File Info & Download - Release Note SonicWALL SSL-VPN 200 2.1 http://www.sonicwall.com/downloads/232-001177-00_Rev_A_SSL-VPN_200_2.1_Release_Notes.pdf 【4】Internet Week 2007 のお知らせ 情報源 Internet Week 2007 http://internetweek.jp/ 概要 2007年11月19日(月) より 11月22日(木) まで、秋葉原コンベンション ホールにおいて JPNIC 主催の Internet Week 2007 が開催されます。 JPCERT/CC は以下のプログラムで講演いたします。 - 11月21日 C4: 事業者がやってよいこと悪いことを考えよう 16:00-17:00 (5) 違法・有害情報対策 phishing や自殺サイトなど緊急性を要する場合のオペレーションに ついて語ります。 - 11月22日 C5: IP Meeting/Internet Forum 2007  11:10-11:50 (3) セキュリティ 今年のホットなセキュリティ issue について述べます。 参加登録申込みについては、以下の Web ページをご参照ください。 事前申込締切は 11月9日(金) までとなっています。この期間にお申し 込みいただきますと、事前割引料金でご参加いただけます。 関連文書 (日本語) Internet Week 2007 お申し込みに関して http://internetweek.jp/timetable/apply.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○夏時間 (Daylight Saving Time) 夏時間 (Daylight Saving Time) は国や地域により導入状況が異なりま す。米国においては今年から夏時間の期間が延長され、各種 OS ベンダ やソフトウェアベンダから対応パッチが提供されています。 今年から米国における夏時間は、開始日が 3週間早い 3月の第2日曜日、 終了日が 1週間遅い 11月の第1日曜日となりました。今年の夏時間は 3 月11日から 11月4日までとなります。 コンピュータシステムの時計はログの記録の時刻情報をはじめ、さまざ まな場面で重要な役割を果たします。この機会に、お使いのシステムの 時刻情報の管理体制やタイムゾーンの設定が正しく行なわれているかを 確認することをお勧めします。 参考文献 (日本語) Microsoft サポートオンライン 2007 年の米国の夏時間を構成する方法 http://support.microsoft.com/kb/914387/ja Microsoft サポートオンライン Microsoft Windows オペレーティングシステム用の 2007 年 8 月の累積的なタイムゾーン更新プログラム http://support.microsoft.com/?scid=kb%3Bja%3B933360 Java.com 一般的な質問 米国夏時間調整の開始終了日変更 (2007 年) に伴う Java Runtime Environment への影響 http://www.java.com/ja/download/faq/dst.xml 参考文献 (英語) SANS Internet Storm Center Daylight Saving Time Reminder for the USA and Canada http://isc.sans.org/diary.html?storyid=3571 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRzEVS4x1ay4slNTtAQGStAQAtCESd7tXLv0K6rnbM0vBD16DmNXs+AI2 OKwVnO6PQ8C+i2xP4P8gr9Rmif1oLlULS9TMYbHlcTVPUrI/OaSqXl9zaC4yEhiC jVYJTBsYHXRDNJA5fZLVt3vpZ2/ZAyjncDY4OsepZzCSEA1ox+2n07J7qusBwN2l j+GnzUMgWXM= =GmFK -----END PGP SIGNATURE-----