JPCERT-WR-2008-0101
2008-01-09
2007-12-23
2008-01-05
Flash オーサリングツールが生成する Flash ファイルにクロスサイトスクリプティングの脆弱性
US-CERT Vulnerability Note VU#249337
Flash authoring tools create Flash files that contain cross-site scripting vulnerabilities
http://www.kb.cert.org/vuls/id/249337
CIAC Bulletin S-101
Flash Authoring Tool Vulnerability
http://www.ciac.org/ciac/bulletins/s-101.shtml
多くの Flash オーサリングツールが生成する Flash ファイルには、ク
ロスサイトスクリプティングの脆弱性があります。結果として、遠隔の
第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があ
ります。
すでに対策が行われている製品としては以下が挙げられています。
- Adobe Dreamweaver
- Adobe Acrobat Connect
- InfoSoft FusionCharts
- Techsmith Camtasia
- Autodemo
この問題は、各ベンダが提供する提供する修正済みのバージョンに、該
当する製品を更新することで解決します。詳細については、各ベンダが
提供する情報を参照してください。
また、脆弱性のある Flash ファイル使用しているサイトは、対策済み
の製品を使って該当する Flash ファイルを生成しなおす必要があるこ
とにご注意ください。
あわせて、お使いの Flash Player が最新版であることをご確認くださ
い。
JPCERT/CC REPORT 2007-12-27
Adobe Flash Player に複数の脆弱性
http://www.jpcert.or.jp/wr/2007/wr075001.html#1
Adobe Security bulletin APSA07-06
Vulnerabilities in some SWF files could allow cross-site scripting
http://www.adobe.com/support/security/advisories/apsa07-06.html
Adobe - Developer Center
Creating more secure SWF web applications
http://www.adobe.com/devnet/flashplayer/articles/secure_swf_apps.html
Wireshark (旧 Ethereal) に複数の脆弱性
CIAC Bulletin S-103
Wireshark Vulnerabilities
http://www.ciac.org/ciac/bulletins/s-103.shtml
Wireshark (旧 Ethereal) には、複数の脆弱性があります。結果として、
遠隔の第三者が細工したパケットを処理させることで、サービス運用妨
害 (DoS) 攻撃を行う可能性があります。
対象となるバージョンは以下の通りです。
- Wireshark (旧 Ethereal) 0.8.16 から 0.99.6
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Wireshark を更新することで解決します。
Debian セキュリティ勧告 DSA-1446-1
wireshark -- 複数の脆弱性
http://www.debian.org/security/2008/dsa-1446.ja.html
Wireshark: wnpa-sec-2007-03
Multiple problems in Wireshark(R) (formerly Ethereal(R)) versions 0.8.16 to 0.99.5
http://www.wireshark.org/security/wnpa-sec-2007-03.html
GNU Tar に複数の脆弱性
CIAC Bulletin S-100
GNU Tar Vulnerabilities
http://www.ciac.org/ciac/bulletins/s-100.shtml
GNU Tar には、複数の脆弱性があります。結果として、第三者が細工し
たアーカイブファイルを処理させることで、任意のコードを実行する可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GNU Tar を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。なお、JPCERT/CC
REPORT 2007-12-27号【2】で紹介した Apple が提供するセキュリティ
アップデートにも、この問題に対する修正が含まれています。
Debian セキュリティ勧告 DSA-1438-1
tar -- 複数の脆弱性
http://www.debian.org/security/2007/dsa-1438.ja.html
JPCERT/CC REPORT 2007-12-27
Apple 製品に複数の脆弱性
http://www.jpcert.or.jp/wr/2007/wr075001.html#2
The FreeBSD Project Security Advisory FreeBSD-SA-07:10.gtar
gtar directory traversal vulnerability
http://security.freebsd.org/advisories/FreeBSD-SA-07:10.gtar.asc
OpenSSL の FIPS Object Module に脆弱性
US-CERT Vulnerability Note VU#150249
OpenSSL FIPS Object Module fails to properly generate random seeds
http://www.kb.cert.org/vuls/id/150249
OpenSSL の FIPS Object Module には、生成される乱数値が推測可能な
脆弱性があります。
対象となるバージョンは以下の通りです。
- OpenSSL FIPS Object Module v1.1.1
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenSSL FIPS Object Module を更新することで解決しま
す。詳細については、ベンダや配布元が提供する情報を参照してくださ
い。
OpenSSL Security Advisory [29-Nov-2007]
OpenSSL FIPS Object Module Vulnerabilities
http://www.openssl.org/news/secadv_20071129.txt
GreaseKit および Creammonkey に許可されていない関数が実行される脆弱性
JP Vendor Status Notes JVN#33044255
GreaseKit および Creammonkey における許可されていない関数が実行される脆弱性
http://jvn.jp/jp/JVN%2333044255/index.html
Apple Webkit を利用しているソフトウェア上で、ユーザスクリプトを
実行可能にするための機能拡張ソフトウェア GreaseKit および
Creammonkey には、許可されていない関数が実行される脆弱性がありま
す。結果として、遠隔の第三者が細工した Web ページを閲覧させるこ
とで、任意のサイトへ HTTP リクエストを送信したり、ユーザスクリプ
トの設定値を読み書きしたりする可能性があります。
対象となる製品およびバージョンは以下の通りです。
- GreaseKit 1.2 から 1.3 まで
- Creammonkey 0.9 から 1.1 まで
この問題は、配布元が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。なお、Creammonkey を使用している場合
は、後継ソフトウェアである最新版の GreaseKit に更新することが推
奨されています。
8-p.info
GreaseKit および Creammonkey の GM 関数に関する脆弱性
http://8-p.info/greasekit/vuln/20071226-ja.html
HP-UX に脆弱性
CIAC Bulletin S-098
HP-UX Running rpc.yppasswdd Vulnerability
http://www.ciac.org/ciac/bulletins/s-098.shtml
rpc.yppasswdd が動作する HP-UX には、脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があり
ます。
対象となるバージョンは以下の通りです。
- HP-UX B.11.11
- HP-UX B.11.23
- HP-UX B.11.31
この問題は、HP が提供するパッチを HP-UX に適用することで解決しま
す。
HP Support document c01294324
HPSBUX02295 SSRT071333 rev.1 - HP-UX Running rpc.yppasswdd, Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01294324
WinAce にバッファオーバーフローの脆弱性
JP Vendor Status Notes JVN#44736880
WinAce におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2344736880/index.html
e-merge GmbH が提供するファイル圧縮・展開ソフト WinAce には、バッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工したファイルを展開処理させることで、そのユーザの権限で任意の
コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- WinAce 2.6.5 およびそれ以前
この問題は、e-merge GmbH が提供する修正済みのバージョンに WinAce
を更新することで解決します。
winace.com
NEW: WinAce 2.69 is available for download
http://www.winace.com/
PeerCast にヒープオーバーフローの脆弱性
CIAC Bulletin S-099
PeerCast Vulnerability
http://www.ciac.org/ciac/bulletins/s-099.shtml
PeerCast には、ヒープオーバーフローの脆弱性があります。結果とし
て、遠隔の第三者が細工した SOURCE リクエストを処理させることで、
サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したり
する可能性があります。
対象となるバージョンは以下の通りです。
- 0.1217 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに PeerCast を更新することで解決します。詳細については、
ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1441-1
peercast -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1441.ja.html
peercast.org
PeerCast P2P Broadcasting
http://www.peercast.org/
Mortbay Jetty に脆弱性
US-CERT Vulnerability Note VU#553235
Jetty fails to properly process URLs that contain double / characters
http://www.kb.cert.org/vuls/id/553235
Java ベースの Web サーバ、Mortbay Jetty には、脆弱性があります。
結果として、遠隔の第三者が細工した URL を処理させることで、機密
情報を取得する可能性があります。
対象となるバージョンは以下の通りです。
- Mortbay Jetty 6.1.6 およびそれ以前
この問題は、配布元が提供するバージョン 6.1.7 に Mortbay Jetty を
更新することで解決します。
Mortbay
jetty6 - Jetty WebServer
http://jetty.mortbay.org/
Mortbay
jetty-6.1.7 - 22 December 2007
http://svn.codehaus.org/jetty/jetty/trunk/VERSION.txt
Netscape ウェブブラウザのサポート終了
Netscape ウェブブラウザのサポート終了が AOL から告知されています。
2008年2月1日をもって全てのバージョンの Netscape ウェブブラウザの
サポートが終了するとのことです。Netscape Blog では、Netscape ユー
ザは Mozilla Firefox へ移行することを推奨しています。
Netscape Blog
End of Support for Netscape web browsers
http://blog.netscape.com/2007/12/28/end-of-support-for-netscape-web-browsers/