-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-3001 JPCERT/CC 2008-08-06 <<< JPCERT/CC REPORT 2008-08-06 >>> ―――――――――――――――――――――――――――――――――――――― ■07/27(日)〜08/02(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】RealNetworks RealPlayer に複数の脆弱性 【2】Oracle Weblogic Apache Connector プラグインにバッファオーバーフローの脆弱性 【3】Ruby に複数の脆弱性 【4】複数のパナソニック コミュニケーションズ製ネットワークカメラにクロスサイトスクリプティングの脆弱性 【今週のひとくちメモ】インターネットセキュリティの歴史 第19回 「個人情報保護法」(下) ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr083001.html http://www.jpcert.or.jp/wr/2008/wr083001.xml ============================================================================ 【1】RealNetworks RealPlayer に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#461187 RealPlayer file deletion overflow vulnerability http://www.kb.cert.org/vuls/id/461187 US-CERT Vulnerability Note VU#298651 RealNetworks RealPlayer Shockwave Flash (SWF) file vulnerability http://www.kb.cert.org/vuls/id/298651 概要 RealNetworks RealPlayer には、複数の脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意 のコードを実行する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Windows 用 RealPlayer 11 (11.0.0 - 11.0.2 ビルド 6.0.14.738 - 6.0.14.802) - Windows 用 RealPlayer 10.5 (6.0.12.1040-6.0.12.1663、 6.0.12.1698、6.0.12.1741) - Windows 用 RealPlayer Enterprise - Windows 用 RealPlayer 10 - Mac 用 RealPlayer 10.1 (10.0.0.396 - 10.0.0.503) - Mac 用 RealPlayer 10 (10.0.0.305 - 352) - Linux 用 RealPlayer 10 この問題は、RealNetworks が提供する修正済みのバージョンに、該当 する製品を更新することで解決します。なお、Windows 用の RealPlayer については、JPCERT/CC REPORT 2008-03-19 号【4】で紹介 した問題に対する修正も含まれます。 関連文書 (日本語) RealNetworks RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/07252008_player/ja/ Japan Vulnerability Notes JVNVU#461187 Realnetworks RealPlayer の rjbdll.dll にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU461187/index.html Japan Vulnerability Notes JVNVU#298651 RealNetworks RealPlayer の Shockwave Flash (SWF) ファイルの処理にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU298651/index.html JPCERT/CC REPORT 2008-03-19 【4】RealPlayer の複数の ActiveX コントロールに脆弱性 http://www.jpcert.or.jp/wr/2008/wr081101.html#4 【2】Oracle Weblogic Apache Connector プラグインにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#716387 Oracle Weblogic Apache connector vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/716387 概要 Oracle Weblogic (旧 BEA Weblogic) Server および Weblogic Express で使用される Apache Connector プラグインには、バッファオーバーフ ローの脆弱性があります。結果として、遠隔の第三者が細工した POST リクエストを処理させることで任意のコードを実行する可能性がありま す。なお、本脆弱性に関する検証コードが公開されています。 対象となる製品およびバージョンは以下のとおりです。 - WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前 - WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前 - WebLogic Server 9.1 - WebLogic Server 9.0 - WebLogic Server 8.1 Service Pack 6 およびそれ以前 - WebLogic Server 7.0 Service Pack 7 およびそれ以前 - WebLogic Server 6.1 Service Pack 7 およびそれ以前 2008年8月5日現在、この問題に対する修正パッチが Oracle から提供さ れています。また、回避策としては、Apache の設定を変更する方法や、 mod_security モジュールを導入する方法などがあります。詳細につい ては、Oracle が提供する情報を参照してください。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#716387 Oracle Weblogic Apache connector プラグインにバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU716387/index.html 関連文書 (英語) Oracle SECURITY ADVISORY (CVE-2008-3257) Security vulnerability in WebLogic plug-in for Apache https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html 【3】Ruby に複数の脆弱性 情報源 CIAC Bulletin S-344 Ruby Security Update http://www.ciac.org/ciac/bulletins/s-344.shtml 概要 Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が細 工した Ruby プログラムを実行させることで、任意のコードを実行した り、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - Ruby 1.8.4 およびそれ以前のバージョン - Ruby 1.8.5-p230 およびそれ以前のバージョン - Ruby 1.8.6-p229 およびそれ以前のバージョン - Ruby 1.8.7-p21 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9.0-1 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) オブジェクト指向スクリプト言語 Ruby 任意のコードが実行される脆弱性について http://www.ruby-lang.org/ja/news/2008/06/20/arbitrary-code-execution-vulnerabilities/ Debian セキュリティ勧告 DSA-1612-1 ruby1.8 -- 複数の脆弱性 http://www.debian.org/security/2008/dsa-1612.ja.html Debian セキュリティ勧告 DSA-1618-1 ruby1.9 -- 複数の脆弱性 http://www.debian.org/security/2008/dsa-1618.ja.html 関連文書 (英語) Red Hat Security Advisory RHSA-2008:0561-7 Moderate: ruby security update https://rhn.redhat.com/errata/RHSA-2008-0561.html 【4】複数のパナソニック コミュニケーションズ製ネットワークカメラにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#33706820 複数のパナソニック コミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN33706820/index.html 概要 複数のパナソニック コミュニケーションズ製ネットワークカメラには、 クロスサイトスクリプティングの脆弱性があります。結果として、遠隔 の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性が あります。 対象となる製品およびバージョンは以下の通りです。 - BL-C111 Ver.3.14R02 およびそれ以前 - BL-C131 Ver.3.14R03 およびそれ以前 - BB-HCM511 Ver.3.20R01 およびそれ以前 - BB-HCM531 Ver.3.20R01 およびそれ以前 - BB-HCM580 Ver.3.21R00 およびそれ以前 - BB-HCM581 Ver.3.21R00 およびそれ以前 - BB-HCM527 Ver.3.30R00 およびそれ以前 - BB-HCM515 Ver.3.20R01 およびそれ以前 この問題は、パナソニック コミュニケーションズが提供する修正済み のバージョンに、該当する製品のファームウェアを更新することで解決 します。詳細については、パナソニック コミュニケーションズが提供 する情報を参照してください。 関連文書 (日本語) パナソニック コミュニケーションズ ネットワークカメラ関連商品 サポート情報 http://panasonic.biz/netsys/netwkcam/support/info_xxs_s.html パナソニック コミュニケーションズ ホームネットワーク関連商品 サポート情報 http://panasonic.co.jp/pcc/products/hnetwk/support/info_xxs_c.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第19回 「個人情報保護法」(下) 日本では 1999年頃から、以下のような状況を背景に、本格的な個人情 報保護法制度の検討がはじまりました。 - インターネット社会の進展 - 住民基本台帳ネットワークの構築 - EU 個人情報保護指令 (1995年採択) への対応 - 個人情報漏洩事件の多発 2001年に提出された個人情報保護法案は、メディア規制法案であるとの 反対意見が次々と公表されたことなどもあって廃案となりました。2003 年に再度提出された法案は、「表現の自由に配慮する」旨の修正が加え られた上で、行政機関の保有する個人情報の保護に関する法律の改正法 を含む関連 4法と合わせて同年 5月に成立、2年の準備期間を経て 2005 年4月に施行されました。 この 2年の準備期間中の 2004年には、「個人情報の保護に関する基本 方針」が閣議決定され、この指針に基づいて各分野におけるガイドライ ンや指針が制定されています。 法施行直後に発生した JR 福知山線脱線事故では死傷者情報が個人情報 であることを理由としてメディアに提供されなかったり、個人情報保護 法のために学校の緊急連絡網が作れなくなったりという、いわゆる過剰 反応に関する問題も報道されました。 しかし、個人情報保護法制が整備されることで、様々な分野における個 人情報の取り扱いに関するガイドラインがこの法制にもとづいて定めら れ、国際間での情報のやり取りを含めて個人情報の取り扱いが統一的な 理念のもとに行われるようになっています。 参考文献 (日本語) 内閣府 個人情報保護トップページ http://www5.cao.go.jp/seikatsu/kojin/index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSJj+Wox1ay4slNTtAQiEzwQAxtc9AT928RnPblV+C0A5eA1T4Q9xRo9l zsCmOOidN525A1BDwXpDPRq8MuA6GAcwk8fezO/pzpmjqXBTQwXpLZvPUkOsZfIW QLZu35ZCD2/L733yK/0YVi6m6vokti1FuWYR8QkjWDSDJxjs8dWtPNj2jrHR2qVY izu/K489vp4= =qbZp -----END PGP SIGNATURE-----