JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2008 > Weekly Report 2008-01-23号

最終更新: 2008-01-23

Weekly Report 2008-01-23号


JPCERT-WR-2008-0301
JPCERT/CC
2008-01-23

<<< JPCERT/CC WEEKLY REPORT 2008-01-23 >>>

■01/13(日)〜01/19(土) のセキュリティ関連情報

目 次

【1】Apple QuickTime に複数の脆弱性

【2】2008年1月 Oracle Critical Patch Update について

【3】複数のデバイスに UPnP に起因する脆弱性

【4】Linux カーネルの VFS に脆弱性

【5】apt-listchanges に脆弱性

【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報

【今週のひとくちメモ】Internet Explorer 7 の自動更新による配布

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr080301.txt
https://www.jpcert.or.jp/wr/2008/wr080301.xml

【1】Apple QuickTime に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-016A.html

US-CERT Cyber Security Alert SA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-016A.html

概要

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を閲覧させることで、任意のコードを実行
したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま
す。

対象となる製品は以下の通りです。

- Apple Mac OS X 版 QuickTime 7.4 より前のバージョン
- Microsoft Windows 版 QuickTime 7.4 より前のバージョン 

なお、iTunes など QuickTime を使用するソフトウェアをインストール
している場合も影響を受けます。詳細については、Apple が提供する情
報を参照してください。

この問題は、Apple が提供する修正済みのバージョン 7.4 に、
QuickTime を更新することで解決します。なお、JPCERT/CC REPORT
2008-01-17号【2】で紹介した脆弱性に関して Apple からは言及されて
いません。

関連文書 (日本語)

Japan Vulnerability Notes JVNTA08-016A
Apple Quicktime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-016A/index.html

@police
QuickTime の脆弱性について(1/17)
http://www.cyberpolice.go.jp/important/2008/20080117_135357.html

JPCERT/CC REPORT 2008-01-17
Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2008/wr080201.html#2

関連文書 (英語)

Apple - Support
About the security content of QuickTime 7.4
http://docs.info.apple.com/article.html?artnum=307301

【2】2008年1月 Oracle Critical Patch Update について

情報源

US-CERT Technical Cyber Security Alert TA08-017A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-017A.html

CIAC Bulletin S-117
Oracle Critical Patch Update - January 2008
http://www.ciac.org/ciac/bulletins/s-117.shtml

概要

Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報
を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。なお、これらの影響は対象製品やコンポーネント、設定等に
より異なります。

詳細については Oracle が提供する情報を参照してください。

この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。

なお、次回の Oracle Critical Patch Update は、2008年4月にリリー
スされる予定です。

関連文書 (日本語)

Oracle internet Support Center
[CPUJan2008] Critical Patch Update - January 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127343

Oracle Technology Network
Critical Patch Update - January 2008
http://otn.oracle.co.jp/security/080118_81/top.html

Japan Vulnerability Notes JVNTA08-017A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-017A/index.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html

【3】複数のデバイスに UPnP に起因する脆弱性

情報源

US-CERT Vulnerability Note VU#347812
UPnP enabled by default in multiple devices
http://www.kb.cert.org/vuls/id/347812

CIAC Bulletin S-120
Universal Plug and Play Vulnerability
http://www.ciac.org/ciac/bulletins/s-120.shtml

概要

複数のベンダの UPnP (Universal Plug and Play)をサポートするデバ
イスには、UPnP プロトコルに起因する脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書を閲覧させることで、UPnP が有効
になっているデバイスを操作したり、設定を変更したりする可能性があ
ります。なお、本件に関しては攻撃方法に関する情報が公開されていま
す。

2008年1月22日現在、この問題に対する解決策は提供されていません。

回避策としては、デバイスなどの UPnP 機能を無効にしたり、Mozilla
Firefox では、NoScript 拡張によりスクリプトやプラグインの実行を
許可するサイトを限定したりする方法などがあります。例えば、
Microsoft Windows XP で UPnP サービスを無効にする方法については、
下記関連文書 MS07-019 に記載されている回避策を参照してください。

関連文書 (日本語)

マイクロソフト セキュリティ情報
ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-019.mspx

関連文書 (英語)

UPnP Forum
Welcome to the UPnP Forum!
http://www.upnp.org/

【4】Linux カーネルの VFS に脆弱性

情報源

CIAC Bulletin S-121
VFS Vulnerability
http://www.ciac.org/ciac/bulletins/s-121.shtml

概要

Linux カーネルの VFS には、脆弱性があります。結果として、ローカ
ルユーザが任意のファイルにアクセスしたり、権限を昇格したりする可
能性があります。

対象となるバージョンは以下の通りです。

- バージョン 2.6.22.16 以前の Linux kernel
- バージョン 2.6.23.14 以前の Linux kernel 2.6.23.x 系

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。

関連文書 (英語)

Linux
Linux Kernel ChangeLog Linux 2.6.22.16
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16

Linux
Linux Kernel ChangeLog Linux 2.6.23.14
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14

【5】apt-listchanges に脆弱性

情報源

CIAC Bulletin S-119
apt-listchanges Vulnerability
http://www.ciac.org/ciac/bulletins/s-119.shtml

概要

Debian のパッケージ変更履歴通知ツール apt-listchanges には、脆弱
性があります。結果として、ローカルユーザが任意のコードを実行する
可能性があります。

対象となるバージョンは以下の通りです。

- apt-listchanges 2.82 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに apt-listchanges を更新することで解決します。詳細に
ついては、ベンダや配布元が提供する情報を参照してください。

関連文書 (日本語)

Debian セキュリティ勧告 DSA-1465-2
apt-listchanges -- プログラムミス
http://www.debian.org/security/2008/dsa-1465.ja.html

関連文書 (英語)

Debian Project
apt-listchanges (2.82)
http://packages.debian.org/changelogs/pool/main/a/apt-listchanges/apt-listchanges_2.82/changelog

【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報

情報源

CIAC Bulletin S-116
HP-UX Running X Font Server (xfs) Software
http://www.ciac.org/ciac/bulletins/s-116.shtml

概要

JPCERT/CC REPORT 2007-10-17 号【6】で紹介した「X Font Server に
整数オーバーフローの脆弱性」に関する追加情報です。

HP が HP-UX に関して修正済みのバージョンを公開しました。詳細につ
いては、HP が提供する情報を参照してください。

関連文書 (日本語)

JPCERT/CC REPORT 2007-10-17号
【6】X Font Server に整数オーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2007/wr074001.html#6

関連文書 (英語)

HP Support document c01323725
HPSBUX02303 SSRT071468 rev.1 - HP-UX Running X Font Server (xfs) Software, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01323725

■今週のひとくちメモ

○Internet Explorer 7 の自動更新による配布

Microsoft は 2008年2月13日から、Internet Explorer 7 (IE7) 日本語
版の自動更新による配布を開始すると発表しています。

業務アプリケーションなどで Internet Explorer を使用している場合
は、事前に IE7 で動作を確認することをおすすめします。

動作が確認できないなどの理由により IE7 に自動更新したくない場合
は、Microsoft が提供する自動配布の無効化ツールキットを使用して、
IE7 への自動更新をブロックすることが可能です。

参考文献 (日本語)

Microsoft TechNet
Internet Explorer 7 の自動更新による配布
http://www.microsoft.com/japan/technet/updatemanagement/windowsupdate/ie7announcement.mspx

Microsoft ダウンロードセンター
自動配布の無効化ツールキット (Blocker Toolkit)
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C12D92F-808D-4C21-96CA-DC191A0A8E41&displaylang=ja

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english