JPCERT-WR-2008-2001 2008-05-28 2008-05-18 2008-05-24

Debian JP Project - 最近の話題 http://www.debian.or.jp/blog/openssl_problem_qanda.html

JPCERT/CC REPORT 2008-05-21 号【2】で紹介した「Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性」 に関する追加情報です。 Debian JP Project は、この問題に関して、OpenSSL パッケージの脆弱 性と他の環境への影響についての情報を公開しています。詳細について は、Debian JP Project が提供する情報を参照してください。

JPCERT/CC REPORT 2008-05-21 http://www.jpcert.or.jp/wr/2008/wr081901.html#2

CIAC Bulletin S-296 http://www.ciac.org/ciac/bulletins/s-296.shtml

GnuTLS には、複数の脆弱性があります。結果として、遠隔の第三者が 細工したメッセージを処理させることで任意のコードを実行したり、サー ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - GnuTLS 2.2.5 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GnuTLS パッケージを更新することで解決します。

Debian セキュリティ勧告 DSA-1581-1 http://www.debian.org/security/2008/dsa-1581.ja.html GNU http://lists.gnu.org/archive/html/gnutls-devel/2008-05/msg00051.html GNU http://lists.gnu.org/archive/html/gnutls-devel/2008-05/msg00060.html CERT-FI http://www.cert.fi/haavoittuvuudet/advisory-gnutls.html Red Hat Security Advisory RHSA-2008:0489-5 https://rhn.redhat.com/errata/RHSA-2008-0489.html

CIAC Bulletin S-295 http://www.ciac.org/ciac/bulletins/s-295.shtml

HP-UX の Apache および PHP を含むパッケージには、脆弱性がありま す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行っ たり、権限を昇格したりする可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - HP-UX B.11.11、B.11.23、B11.31 の Apache 2.18 で動作する PHP 5.2.4 またはそれ以前 この問題は、HP が提供する修正済みのバージョンにパッケージを更新 することで解決します。

HP Support document c01438646 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01438646

CIAC Bulletin S-297 http://www.ciac.org/ciac/bulletins/s-297.shtml

libxslt には、XSL の処理に起因する脆弱性があります。結果として、 遠隔の第三者が細工したファイルを処理させることで任意のコードを実 行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり ます。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに libxslt パッケージを更新することで解決します。詳細 については、OS のベンダや配布元が提供する情報を参照してください。

xmlsoft.org http://xmlsoft.org/XSLT/ Red Hat Security Advisory RHSA-2008:0287-2 https://rhn.redhat.com/errata/RHSA-2008-0287.html

US-CERT Vulnerability Note VU#906907 http://www.kb.cert.org/vuls/id/906907

Mozilla Firefox 向けの拡張機能である FireFTP には、ディレクトリ トラバーサルの脆弱性があります。結果として、遠隔の第三者が Firefox 実行中の PC の任意の場所に、ユーザの権限でファイルを書き 込む可能性があります。 対象となるバージョンは以下の通りです。 - FireFTP 0.97.1 およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに FireFTP を更 新することで解決します。

FireFTP :: Firefox Add-ons https://addons.mozilla.org/ja/firefox/addon/684 FireFTP Developer Information http://fireftp.mozdev.org/developers.html

US-CERT Vulnerability Note VU#406937 http://www.kb.cert.org/vuls/id/406937

PhotoStockPlus ActiveX コントロールには、バッファオーバーフロー の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書 を閲覧させることで、そのユーザの権限で任意のコードを実行する可能 性があります。 2008年5月27日現在、この問題に対する修正プログラムは確認されてお りません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法があり ます。詳細については、下記関連文書を参照してください。

マイクロソフト サポートオンライン http://support.microsoft.com/kb/240797/ja PhotStockPlus.com http://www.photostockplus.com/

安全が確認できていない Web サイトを閲覧する際には Javascript 機 能を無効にすることが推奨されます。 Windows 版 Opera の場合、「ツール」→「クイック設定」と辿ったメ ニューに「Javascript を有効にする」チェックがあり、デフォルトで ON になっています。この項目を選択することで Javascript 機能の ON/OFF を行なうことができます。 Windows 版 Safari の場合、「編集」→「設定」→「セキュリティ」と 辿ったメニューに「Javascript を有効にする」チェックがあり、デフォ ルトで ON になっています。 Safari において、より簡単に Javascript 機能の ON/OFF をするため には、メニューバーに[開発]メニューを表示させると便利です。「編集」 →「設定」→「詳細」と辿ったメニューで「メニューバーに[開発]メ ニューを表示」にチェックを入れることにより「開発」メニューを表示 させることができます。「開発」メニューのなかに「Javascript を無 効にする」という項目があり、この項目を選択することで Javascript 機能の ON/OFF を行なうことができます。 CERT/CC Tech Tips http://www.cert.org/tech_tips/securing_browser/