JPCERT-WR-2008-2601 2008-07-09 2008-06-29 2008-07-05

US-CERT Vulnerability Note VU#361043 http://www.kb.cert.org/vuls/id/361043

Mac OS X、Mac OS X Server および Safari には複数の脆弱性がありま す。結果として、遠隔の第三者が任意のコードを実行したり、サービス 運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリ プトを実行したりするなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Apple Mac OS X 10.4.11 およびそれ以前 - Apple Mac OS X 10.5.3 およびそれ以前 - Apple Mac OS X Server 10.4.11 およびそれ以前 - Apple Mac OS X Server 10.5.3 およびそれ以前 - Apple Safari の 3.1.2 より前のバージョン (Mac OS X および Windows 向け) この問題は、Apple が提供する修正済みのバージョンに、該当する製品 を更新することで解決します。詳細については Apple が提供する情報 を参照してください。

Apple - サポート http://www.apple.com/jp/ftp-info/ Apple Support HT2163 http://support.apple.com/kb/HT2163 Apple security-announce Mailing List http://lists.apple.com/archives/security-announce/2008/Jun/msg00003.html Apple security-announce Mailing List http://lists.apple.com/archives/security-announce/2008/Jun/msg00002.html Apple security-announce Mailing List http://lists.apple.com/archives/security-announce/2008/Jun/msg00001.html

US-CERT Vulnerability Note VU#607267 http://www.kb.cert.org/vuls/id/607267

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性 があります。結果として、遠隔の第三者が任意のコードを実行したり、 任意のファイルをアップロードしたり、権限を昇格したり、ユーザのブ ラウザ上で任意のスクリプトを実行したりする可能性があります。 対象となる製品は以下の通りです。 - Firefox - SeaMonkey - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 2.0.0.15 - SeaMonkey 1.1.10 なお、2008年7月8日現在、Thunderbird の修正プログラムは提供されて いません。また、Firefox 3.0 ではこの問題の影響を受けません。詳細 については、OS のベンダや配布元が提供する情報を参照してください。

Mozilla Japan http://www.mozilla-japan.org/security/announce/ Mozilla Japan http://mozilla.jp/firefox/2.0.0.15/releasenotes/ SeaMonkey Project http://www.seamonkey-project.org/releases/seamonkey1.1.10/ Red Hat Security Advisory RHSA-2008:0569-16 https://rhn.redhat.com/errata/RHSA-2008-0569.html Red Hat Security Advisory RHSA-2008:0547-5 https://rhn.redhat.com/errata/RHSA-2008-0547.html

Japan Vulnerability Notes JVN#77432756 http://jvn.jp/jp/JVN77432756/index.html

Wiki 機能を提供するソフトウェア FreeStyle Wiki には、クロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が Internet Explorer 上で任意のスクリプトを実行する可能性があります。 なお、Internet Explorer のエンジンを使用しているブラウザも影響を 受ける可能性があります。 対象となるバージョンは以下の通りです。 - FreeStyle Wiki 3.6.2 およびそれ以前 - FreeStyle Wiki 3.6.3 dev3 およびそれ以前の開発版 この問題は、配布元が提供する修正済みのバージョンに FreeStyle Wiki を更新することで解決します。

FreeStyle Wiki http://fswiki.org/wiki.pl?page=%CD%FA%CE%F2%2F2008%2D7%2D3

JPCERT/CC http://www.jpcert.or.jp/announce.html

JPCERT/CC REPORT の配信を行っているメーリングリストにおいて、特 定のメールサービスへの配送に遅延が発生しています。現在調査を行っ ていますが、下記 JPCERT/CC RSS による購読なども検討してください。

JPCERT/CC http://www.jpcert.or.jp/rss/

ソフトウェア製品は開発元が公開している他に各種 OS ベンダなどが独 自にパッケージ化して提供していることがあります。 このようなソフトウェア製品について脆弱性対応が行われたとき、開発 元からの対策版提供とは別に、独自パッケージ配布元において、対策版 パッケージが提供されることがあります。 配布元の開発・提供ポリシーに関係しますが、ソフトウェア製品はバー ジョンによって機能の違いもありうるため、旧版に対して脆弱性対応を 行なって提供している例が多くあります。このような場合、パッケージ のバージョンには脆弱性を指摘された旧バージョン番号が使われている こととなります。 例えば、OpenSSH に関する CVE-2008-1483 という問題では、OpenSSH チームからは対策版として OpenSSH-5.0 が提供されています。これに 対し OS 配布元における対応例として Debian GNU/Linux が OpenSSH 1.4.3 を元にした openssh-client 1.4.3p2-9etch1 を独自パッケージ として提供しています。 このように独自パッケージにおいては、開発元が提供している対策バー ジョンよりも前のバージョンに対して対策がなされていることがあり、 システム管理者は配布元のこのような提供ポリシーについて把握してお くことが必要です。 JPCERT/CC REPORT では開発元が提供している対策済みバージョンを記 載する代わりに「使用している OS のベンダや配布元が提供する修正済 みのバージョンに更新することで解決します。」といった記述を多く用 いています。