JPCERT-WR-2008-0301
2008-01-23
2008-01-13
2008-01-19
Apple QuickTime に複数の脆弱性
US-CERT Technical Cyber Security Alert TA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-016A.html
US-CERT Cyber Security Alert SA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-016A.html
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を閲覧させることで、任意のコードを実行
したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま
す。
対象となる製品は以下の通りです。
- Apple Mac OS X 版 QuickTime 7.4 より前のバージョン
- Microsoft Windows 版 QuickTime 7.4 より前のバージョン
なお、iTunes など QuickTime を使用するソフトウェアをインストール
している場合も影響を受けます。詳細については、Apple が提供する情
報を参照してください。
この問題は、Apple が提供する修正済みのバージョン 7.4 に、
QuickTime を更新することで解決します。なお、JPCERT/CC REPORT
2008-01-17号【2】で紹介した脆弱性に関して Apple からは言及されて
いません。
Japan Vulnerability Notes JVNTA08-016A
Apple Quicktime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-016A/index.html
@police
QuickTime の脆弱性について(1/17)
http://www.cyberpolice.go.jp/important/2008/20080117_135357.html
JPCERT/CC REPORT 2008-01-17
Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2008/wr080201.html#2
Apple - Support
About the security content of QuickTime 7.4
http://docs.info.apple.com/article.html?artnum=307301
2008年1月 Oracle Critical Patch Update について
US-CERT Technical Cyber Security Alert TA08-017A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-017A.html
CIAC Bulletin S-117
Oracle Critical Patch Update - January 2008
http://www.ciac.org/ciac/bulletins/s-117.shtml
Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報
を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。なお、これらの影響は対象製品やコンポーネント、設定等に
より異なります。
詳細については Oracle が提供する情報を参照してください。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。
なお、次回の Oracle Critical Patch Update は、2008年4月にリリー
スされる予定です。
Oracle internet Support Center
[CPUJan2008] Critical Patch Update - January 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127343
Oracle Technology Network
Critical Patch Update - January 2008
http://otn.oracle.co.jp/security/080118_81/top.html
Japan Vulnerability Notes JVNTA08-017A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-017A/index.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
複数のデバイスに UPnP に起因する脆弱性
US-CERT Vulnerability Note VU#347812
UPnP enabled by default in multiple devices
http://www.kb.cert.org/vuls/id/347812
CIAC Bulletin S-120
Universal Plug and Play Vulnerability
http://www.ciac.org/ciac/bulletins/s-120.shtml
複数のベンダの UPnP (Universal Plug and Play)をサポートするデバ
イスには、UPnP プロトコルに起因する脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書を閲覧させることで、UPnP が有効
になっているデバイスを操作したり、設定を変更したりする可能性があ
ります。なお、本件に関しては攻撃方法に関する情報が公開されていま
す。
2008年1月22日現在、この問題に対する解決策は提供されていません。
回避策としては、デバイスなどの UPnP 機能を無効にしたり、Mozilla
Firefox では、NoScript 拡張によりスクリプトやプラグインの実行を
許可するサイトを限定したりする方法などがあります。例えば、
Microsoft Windows XP で UPnP サービスを無効にする方法については、
下記関連文書 MS07-019 に記載されている回避策を参照してください。
マイクロソフト セキュリティ情報
ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-019.mspx
UPnP Forum
Welcome to the UPnP Forum!
http://www.upnp.org/
Linux カーネルの VFS に脆弱性
CIAC Bulletin S-121
VFS Vulnerability
http://www.ciac.org/ciac/bulletins/s-121.shtml
Linux カーネルの VFS には、脆弱性があります。結果として、ローカ
ルユーザが任意のファイルにアクセスしたり、権限を昇格したりする可
能性があります。
対象となるバージョンは以下の通りです。
- バージョン 2.6.22.16 以前の Linux kernel
- バージョン 2.6.23.14 以前の Linux kernel 2.6.23.x 系
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。
Linux
Linux Kernel ChangeLog Linux 2.6.22.16
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16
Linux
Linux Kernel ChangeLog Linux 2.6.23.14
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14
apt-listchanges に脆弱性
CIAC Bulletin S-119
apt-listchanges Vulnerability
http://www.ciac.org/ciac/bulletins/s-119.shtml
Debian のパッケージ変更履歴通知ツール apt-listchanges には、脆弱
性があります。結果として、ローカルユーザが任意のコードを実行する
可能性があります。
対象となるバージョンは以下の通りです。
- apt-listchanges 2.82 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに apt-listchanges を更新することで解決します。詳細に
ついては、ベンダや配布元が提供する情報を参照してください。
Debian セキュリティ勧告 DSA-1465-2
apt-listchanges -- プログラムミス
http://www.debian.org/security/2008/dsa-1465.ja.html
Debian Project
apt-listchanges (2.82)
http://packages.debian.org/changelogs/pool/main/a/apt-listchanges/apt-listchanges_2.82/changelog
「X Font Server に整数オーバーフローの脆弱性」に関する追加情報
CIAC Bulletin S-116
HP-UX Running X Font Server (xfs) Software
http://www.ciac.org/ciac/bulletins/s-116.shtml
JPCERT/CC REPORT 2007-10-17 号【6】で紹介した「X Font Server に
整数オーバーフローの脆弱性」に関する追加情報です。
HP が HP-UX に関して修正済みのバージョンを公開しました。詳細につ
いては、HP が提供する情報を参照してください。
JPCERT/CC REPORT 2007-10-17号
【6】X Font Server に整数オーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2007/wr074001.html#6
HP Support document c01323725
HPSBUX02303 SSRT071468 rev.1 - HP-UX Running X Font Server (xfs) Software, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01323725
Internet Explorer 7 の自動更新による配布
Microsoft は 2008年2月13日から、Internet Explorer 7 (IE7) 日本語
版の自動更新による配布を開始すると発表しています。
業務アプリケーションなどで Internet Explorer を使用している場合
は、事前に IE7 で動作を確認することをおすすめします。
動作が確認できないなどの理由により IE7 に自動更新したくない場合
は、Microsoft が提供する自動配布の無効化ツールキットを使用して、
IE7 への自動更新をブロックすることが可能です。
Microsoft TechNet
Internet Explorer 7 の自動更新による配布
http://www.microsoft.com/japan/technet/updatemanagement/windowsupdate/ie7announcement.mspx
Microsoft ダウンロードセンター
自動配布の無効化ツールキット (Blocker Toolkit)
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C12D92F-808D-4C21-96CA-DC191A0A8E41&displaylang=ja