JPCERT-WR-2008-1601
2008-04-23
2008-04-13
2008-04-19
Mozilla 製品群に脆弱性
US-CERT Vulnerability Note VU#441529
Mozilla Firefox JavaScript engine fails to properly handle garbage collection
http://www.kb.cert.org/vuls/id/441529
Mozilla Firefox をはじめとする Mozilla 製品群の JavaScript エン
ジンには、脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性
があります。
対象となる製品は以下の通りです。
- Firefox
- SeaMonkey
- Thunderbird
その他に Mozilla コンポーネントを用いている製品も影響を受ける可
能性があります。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに、該当する製品を更新することで解決します。Mozilla か
らは、この問題の修正として以下のバージョンが公開されています。
- Firefox 2.0.0.14
なお、2008年4月22日現在、SeaMonkey および Thunderbird の修正プロ
グラムは提供されていません。詳細については、OS のベンダ、配布元
が提供する情報を参照してください。
Mozilla Japan
Foundation セキュリティアドバイザリ: 2008 年 4 月 16 日
http://www.mozilla-japan.org/security/announce/
Mozilla Japan
Firefox 2.0.0.14 の新機能と改良点
http://www.mozilla-japan.org/products/firefox/2.0.0.14/releasenotes/
Red Hat Security Advisory RHSA-2008:0222-2
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0222.html
Red Hat Security Advisory RHSA-2008:0223-3
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0223.html
Safari に複数の脆弱性
US-CERT Vulnerability Note VU#529441
Apple Safari fails to properly handle a file name
http://www.kb.cert.org/vuls/id/529441
US-CERT Vulnerability Note VU#705529
Apple Safari WebKit fails to properly handle a crafted URL
http://www.kb.cert.org/vuls/id/705529
Safari には、複数の脆弱性があります。結果として、遠隔の第三者が
任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを
実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- Safari 3.1 for Windows
- Safari 3.1 for Mac OS X
この問題は、Apple が提供する修正済みのバージョン Safari 3.1.1 に
更新することで解決します。
Apple Support
About the security content of Safari 3.1.1
http://support.apple.com/kb/HT1467
Apple Support Download
Safari 3.1.1
http://www.apple.com/support/downloads/safari311.html
2008年4月 Oracle Critical Patch Update について
CERT/CC Current Activity Archive
Oracle Releases Critical Patch Update for April 2008
http://www.us-cert.gov/current/archive/2008/04/17/archive.html#oracle_releases_critical_patch_update2
CIAC Bulletin S-264
Oracle Critical Patch Update - April 2008
http://www.ciac.org/ciac/bulletins/s-264.shtml
Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が認証を回避するなどの可能性がありま
す。なお、これらの影響は対象製品やコンポーネント、設定等により異
なります。
詳細については Oracle が提供する情報を参照してください。
この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。
なお、次回の Oracle Critical Patch Update は、2008年7月にリリー
スされる予定です。
Oracle internet Support Center
[CPUApr2008] Oracle Critical Patch Update Advisory - April 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127788
Oracle Technology Network
Critical Patch Update - April 2008
http://www.oracle.com/technology/global/jp/security/080418_82/top.html
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html
HP Support document c00727143
HPSBMA02133 SSRT061201 rev.8 - HP Oracle for OpenView (OfO) Critical Patch Update
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143
HP OpenView Network Node Manager に複数の脆弱性
CIAC Bulletin S-266
HP OpenView Network Node Manager (OV NNM) Running Apache
http://www.ciac.org/ciac/bulletins/s-266.shtml
HP OpenView Network Node Manager には、複数の脆弱性があります。
結果として、遠隔の第三者が任意のコードを実行したり、サービス運用
妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプト
を実行したりする可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- HP-UX、Solaris および Linux の Apache 上で実行する以下のバージョン
- HP OpenView Network Node Manager v6.41、v7.01、v7.51
この問題は、HP が提供するパッチを HP OpenView Network Node
Manager に適用することで解決します。詳細については、HP が提供す
る情報を参照してください。
HP Support document c01428449
HPSBMA02328 SSRT071293 rev.2 - HP OpenView Network Node Manager (OV NNM) Running Apache, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Execute Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01428449
Ruby の WEBrick ライブラリにディレクトリトラバーサルの脆弱性
US-CERT Vulnerability Note VU#404515
Ruby WEBrick vulnerable to directory traversal
http://www.kb.cert.org/vuls/id/404515
Ruby の WEBrick ライブラリには、ディレクトリトラバーサルの脆弱性
があります。結果として、公開を意図していないリソースに遠隔の第三
者がアクセスする可能性があります。
対象となるバージョンは以下の通りです。
- Ruby 1.8 系の以下のバージョン
- Ruby 1.8.4 およびそれ以前のバージョン
- Ruby 1.8.5-p114 およびそれ以前のバージョン
- Ruby 1.8.6-p113 およびそれ以前のバージョン
- Ruby 1.9 系の以下のバージョン
- Ruby 1.9.0-1 およびそれ以前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Ruby を更新することで解決します。詳細については、各
ベンダや配布元が提供する情報を参照してください。
オブジェクト指向スクリプト言語 Ruby
WEBrickの非公開ファイルにアクセスされる脆弱性について
http://www.ruby-lang.org/ja/news/2008/03/03/webrick-file-access-vulnerability/
インターネットセキュリティの歴史 第16回 「『電子認証』関連法制度−IT 書面一括法、e-文書法」
2000年11月、「書面の交付等に関する情報通信の技術の利用のための関
係法律の整備に関する法律」(IT 書面一括法) が成立し、翌 2001年4月
から施行されました。また、2004年11月には「民間事業者等が行う書面
の保存等における情報通信の技術の利用に関する法律」と「同法施行に
伴う関係法律の整備等に関する法律」(e-文書法)が成立し、翌 2005年4
月から施行されました。
IT 書面一括法においては、証券取引法、薬事法、保険業法など法律 50
法を対象に、書面の交付あるいは書面による手続を義務としていた部分
について、電子的手段による交付を容認することとされ、e-文書法にお
いては、書面の保存等が法令上義務付けられている場合について、原則
として当該書面に係る電磁的記録による保存等を行うことを可能にする
こととされました。
電子署名法を含めたこれらの法整備により、法制度上、紙媒体を想定し
ていた多くの場面で、電子データを用いることができるようになりまし
た。日常生活に関わる様々な場面で紙媒体から電子データへの移行が進
められていることから、電子データを安全に正しく扱うことがより重要
になってきています。
高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)
http://www.kantei.go.jp/jp/singi/it2/index.html
経済産業省
文書の電子化・活用ガイド
http://www.meti.go.jp/policy/it_policy/e-doc/guide/index.html
総務省
電子署名及び認証業務に関する法律の概要
http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf
総務省
電子署名・電子認証ホームページ
http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html