JPCERT-WR-2008-1403
2008-04-09
2008-03-30
2008-04-05
Apple QuickTime に複数の脆弱性
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した画像やメディアファイルを閲覧させることで、任意の
コードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可
能性があります。
対象となる製品は以下の通りです。
- Apple Mac OS X 版 QuickTime 7.4.5 より前のバージョン
- Microsoft Windows 版 QuickTime 7.4.5 より前のバージョン
なお、iTunes など QuickTime を使用するソフトウェアをインストール
している場合も影響を受けます。詳細については、Apple が提供する情
報を参照してください。
この問題は、Apple が提供する修正済みのバージョン 7.4.5 に
QuickTime を更新することで解決します。
Apple - サポート
QuickTime 7.4.5 のセキュリティコンテンツについて
http://support.apple.com/kb/HT1241?viewlocale=ja_JP
Apple - サポート
QuickTime
http://www.apple.com/jp/support/quicktime/
Japan Vulnerability Notes JVNTA08-094A
Apple QuickTime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-094A/index.html
Cisco Unified Communications 製品ファミリに認証を回避される脆弱性
Cisco Unified Communications 製品ファミリの Disaster Recovery
Framework (DRF) には、認証を回避される脆弱性があります。結果とし
て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったり、管理者
権限で任意のコマンドを実行したりする可能性があります。
対象となる製品は次のとおりです。
- Cisco Unified Communications Manager (CUCM) 5.x および 6.x
- Cisco Unified Communications Manager Business Edition
- Cisco Unified Precense 1.x および 6.x
- Cisco Emergency Responder 2.x
- Cisco Mobility Manager 2.x
この問題は、Cisco が提供する修正済みのバージョンに、該当する製品
を更新することで解決します。詳細については、Cisco が提供する情報
を参照してください。
Cisco Security Advisory 101129
Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a008096fd9a.shtml
gcc がオーバーフロー検査のコードを省略する問題
gcc 4.2 およびそれ以降のバージョンでは、ポインタの加減算を行うコー
ドブロックがコンパイラの最適化により省略されてしまう問題がありま
す。結果として、オーバーフロー検査を行うオブジェクトコードが実行
プログラムに含まれないケースが発生する可能性があります。
2008年4月8日現在、この問題に対する修正プログラムは確認されており
ません。
回避策としては、整数オーバーフロー検査をポインタ演算の前に行う、
型変換を使用する、該当するバージョンの gcc を使用しない、適切な
コンパイラオプションを使用するなどの方法があります。詳細について
は、上記情報源および下記関連文書を参照してください。
CERT Secure Coding
ARR38-C. Do not add or subtract an integer to a pointer if the resulting value does not refer to an element within the array
https://www.securecoding.cert.org/confluence/x/SgHm
OpenSSH の X11 転送機能に脆弱性
OpenSSH には、X11 転送接続をローカルユーザにハイジャックされる脆
弱性があります。
対象となる製品は次のとおりです。
- OpenSSH 4.9/4.9p1 及びそれ以前
この問題は、OpenSSH が提供する修正済みのバージョン 5.0/5.0p1 に、
OpenSSH を更新することで解決します。
CVE
CVE - CVE-2008-1483 (under review)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-1483
HP OpenVMS TCP/IP Services の SSH サーバに脆弱性
HP OpenVMS TCP/IP Services の SSH サーバには、脆弱性があります。
結果として、遠隔の第三者がサーバに不正にアクセスする可能性があり
ます。
対象となるプラットフォーム、製品およびバージョンは以下のとおりで
す。
- HP Alpha 向け OpenVMS の
TCP/IP Services for OpenVMS v5.4 ECO 7 より前のバージョン
- HP Integrity または HP Alpha 向け OpenVMS の
TCP/IP Services for OpenVMS v5.5 ECO 3 より前のバージョン
- HP Integrity または HP Alpha 向け OpenVMS の
TCP/IP Services for OpenVMS v5.6 ECO 2 より前のバージョン
この問題は、HP が提供するアップデートキットを適用することで解決
します。詳細については、HP が提供する情報を参照してください。
HP Support document c01414022
HPSBOV02278 SSRT071479 rev.1 - HP OpenVMS SSH Using TCP/IP Services for OpenVMS, Remote Unauthorized Access
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01414022
「SQL インジェクションによる Web サイト改ざんについて」に関する追加情報
JPCERT/CC REPORT 2008-03-19 で紹介した「SQL インジェクションによ
る Web サイト改ざんについて」に関する追加情報です。
JPCERT/CC は、4月初から攻撃に使用されるドメインが変更されたこと
を確認しています。この攻撃によって改ざんされた Web サイトを国内
外で複数確認されています。引き続き一連の攻撃が行われている可能性
がありますので、Web サイトの閲覧には十分ご注意下さい。
注意喚起 【LAC|ラック】
日本をターゲットとしたSQLインジェクションによるホームページ改ざん行為と、同行為により改ざんされたページへのアクセスによるマルウェア感染について
http://www.lac.co.jp/news/press20080312.html
US-CERT Current Activity
Compromised Websites Redirect Users to Malicious Websites
http://www.us-cert.gov/current/archive/2008/03/13/archive.html#website_compromises_facilitating_exploitation_of
インターネットセキュリティの歴史 第15回 「『電子認証』関連法制度−電子署名・認証業法」
2000年5月、「電子署名及び認証業務に関する法律」(電子署名・認証業
法) が成立し、翌 2001年4月から施行されました。
わが国においては、紙の文書にする署名や押印に関する一般的な法的要
件を定めた法令は存在しないため、諸外国の電子署名法のように、電子
署名に手書きの署名と同等の法的効果を与えるための法律が存在しなく
ても、電子署名が付された電磁的記録を手書き署名や押印のある文書と
同等に扱うことに問題はありませんでした。わが国の法令において、手
書きの署名または押印のある文書に法的効果を与える唯一の規定であっ
た、民事訴訟法の「文書の真正な成立の推定効」 (A さんの署名がされ
ている文書は、それを覆す別の証拠がでてくるまでは、訴訟において、
A さんが自分の意思で作成した文書として取り扱われるという効果) に
ついても、何が署名であり、何が押印であるかについての規定は存在し
ないことから、電磁的記録についても、裁判官が署名の付された準文書
であるとの心証を形成することができれば足り、電磁的記録に契約書等
の文書と同等の効力を与えるために立法が不可欠であるという状況では
ありませんでした。
しかしながら、当時の国際的な動向として、特に、手書きの署名等の要
件や効果が法定されている国々を中心に、電子署名に手書きの署名と同
等の法的効果を与えるための電子署名法の立法が相次いで行われていた
ため、わが国において電子署名法の立法を行わない場合は、日本では電
子署名が手書き署名と同等に扱われないのではないかという誤解を生み、
国境を超えて行われる電子商取引の分野等においてわが国企業等の競争
的地位によくない影響が生じることが懸念されました。また、電子署名
を署名と同等に扱うことに法令上の障害が存在しないとしても、訴訟に
おいて裁判官がどのような判断をするかの予見ができにくい状況では、
企業等が電磁的記録による契約等に二の足を踏んでしまうことも心配さ
れました。
そこで、わが国の法令において、手書きの署名または押印に法的効果を
与える唯一の規定であった、民事訴訟法の「文書の真正な成立」の推定
効を、電子署名がされた電磁的記録にも与えることを内容とすることで
電子署名法の立法が行われたものです。
また、どのような電子署名がこのような推定効を与えられ得るかに関す
る利用者の予見可能性の向上や、信頼できる電子証明書の発行業務(認
証業務)の基準を明らかにすることによる電子署名の利用促進を目的と
して、「その方式に従って本人にしかできない電子署名」の要件や、認
証業務の認定制度が併せて規定されています。このため、わが国の電子
署名法は、「電子署名・認証業法」という略称でも分かるとおり、電子
署名の効果、要件のほかに、電子認証業務に関する規定が多く盛り込ま
れたものとなっています。
高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)
http://www.kantei.go.jp/jp/singi/it2/index.html
電子署名及び認証業務に関する法律の概要
http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf
電子署名・電子認証ホームページ
http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html