RealNetworks RealPlayer に複数の脆弱性

JPCERT-WR-2008-3001 2008-08-06 2008-07-27 2008-08-02

RealNetworks RealPlayer に複数の脆弱性 US-CERT Vulnerability Note VU#461187 RealPlayer file deletion overflow vulnerability http://www.kb.cert.org/vuls/id/461187 US-CERT Vulnerability Note VU#298651 RealNetworks RealPlayer Shockwave Flash (SWF) file vulnerability http://www.kb.cert.org/vuls/id/298651

RealNetworks RealPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、任意のコードを実行する可能性があります。対象となる製品およびバージョンは以下の通りです。 - Windows 用 RealPlayer 11 (11.0.0 - 11.0.2 ビルド 6.0.14.738 - 6.0.14.802) - Windows 用 RealPlayer 10.5 (6.0.12.1040-6.0.12.1663、 6.0.12.1698、6.0.12.1741) - Windows 用 RealPlayer Enterprise - Windows 用 RealPlayer 10 - Mac 用 RealPlayer 10.1 (10.0.0.396 - 10.0.0.503) - Mac 用 RealPlayer 10 (10.0.0.305 - 352) - Linux 用 RealPlayer 10 この問題は、RealNetworks が提供する修正済みのバージョンに、該当する製品を更新することで解決します。なお、Windows 用の RealPlayer については、JPCERT/CC REPORT 2008-03-19 号【4】で紹介した問題に対する修正も含まれます。

RealNetworks RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/07252008_player/ja/ Japan Vulnerability Notes JVNVU#461187 Realnetworks RealPlayer の rjbdll.dll にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU461187/index.html Japan Vulnerability Notes JVNVU#298651 RealNetworks RealPlayer の Shockwave Flash (SWF) ファイルの処理にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU298651/index.html JPCERT/CC REPORT 2008-03-19 【4】RealPlayer の複数の ActiveX コントロールに脆弱性 http://www.jpcert.or.jp/wr/2008/wr081101.html#4

Oracle Weblogic Apache Connector プラグインにバッファオーバーフローの脆弱性 US-CERT Vulnerability Note VU#716387 Oracle Weblogic Apache connector vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/716387

Oracle Weblogic (旧 BEA Weblogic) Server および Weblogic Express で使用される Apache Connector プラグインには、バッファオーバーフローの脆弱性があります。結果として、遠隔の第三者が細工した POST リクエストを処理させることで任意のコードを実行する可能性があります。なお、本脆弱性に関する検証コードが公開されています。対象となる製品およびバージョンは以下のとおりです。 - WebLogic Server 10.0 Maintenance Pack 1 およびそれ以前 - WebLogic Server 9.2 Maintenance Pack 3 およびそれ以前 - WebLogic Server 9.1 - WebLogic Server 9.0 - WebLogic Server 8.1 Service Pack 6 およびそれ以前 - WebLogic Server 7.0 Service Pack 7 およびそれ以前 - WebLogic Server 6.1 Service Pack 7 およびそれ以前 2008年8月5日現在、この問題に対する修正パッチが Oracle から提供されています。また、回避策としては、Apache の設定を変更する方法や、 mod_security モジュールを導入する方法などがあります。詳細については、Oracle が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#716387 Oracle Weblogic Apache connector プラグインにバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU716387/index.html Oracle SECURITY ADVISORY (CVE-2008-3257) Security vulnerability in WebLogic plug-in for Apache https://support.bea.com/application_content/product_portlets/securityadvisories/2793.html

Ruby に複数の脆弱性 CIAC Bulletin S-344 Ruby Security Update http://www.ciac.org/ciac/bulletins/s-344.shtml

Ruby には、複数の脆弱性があります。結果として、遠隔の第三者が細工した Ruby プログラムを実行させることで、任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - Ruby 1.8.4 およびそれ以前のバージョン - Ruby 1.8.5-p230 およびそれ以前のバージョン - Ruby 1.8.6-p229 およびそれ以前のバージョン - Ruby 1.8.7-p21 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9.0-1 およびそれ以前のバージョンこの問題は、使用している OS のベンダや配布元が提供する修正済みのバージョンに Ruby を更新することで解決します。詳細については、各ベンダや配布元が提供する情報を参照してください。

オブジェクト指向スクリプト言語 Ruby 任意のコードが実行される脆弱性について http://www.ruby-lang.org/ja/news/2008/06/20/arbitrary-code-execution-vulnerabilities/ Debian セキュリティ勧告 DSA-1612-1 ruby1.8 -- 複数の脆弱性 http://www.debian.org/security/2008/dsa-1612.ja.html Debian セキュリティ勧告 DSA-1618-1 ruby1.9 -- 複数の脆弱性 http://www.debian.org/security/2008/dsa-1618.ja.html Red Hat Security Advisory RHSA-2008:0561-7 Moderate: ruby security update https://rhn.redhat.com/errata/RHSA-2008-0561.html

複数のパナソニックコミュニケーションズ製ネットワークカメラにクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#33706820 複数のパナソニックコミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN33706820/index.html

複数のパナソニックコミュニケーションズ製ネットワークカメラには、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となる製品およびバージョンは以下の通りです。 - BL-C111 Ver.3.14R02 およびそれ以前 - BL-C131 Ver.3.14R03 およびそれ以前 - BB-HCM511 Ver.3.20R01 およびそれ以前 - BB-HCM531 Ver.3.20R01 およびそれ以前 - BB-HCM580 Ver.3.21R00 およびそれ以前 - BB-HCM581 Ver.3.21R00 およびそれ以前 - BB-HCM527 Ver.3.30R00 およびそれ以前 - BB-HCM515 Ver.3.20R01 およびそれ以前この問題は、パナソニックコミュニケーションズが提供する修正済みのバージョンに、該当する製品のファームウェアを更新することで解決します。詳細については、パナソニックコミュニケーションズが提供する情報を参照してください。

パナソニックコミュニケーションズネットワークカメラ関連商品サポート情報 http://panasonic.biz/netsys/netwkcam/support/info_xxs_s.html パナソニックコミュニケーションズホームネットワーク関連商品サポート情報 http://panasonic.co.jp/pcc/products/hnetwk/support/info_xxs_c.html

インターネットセキュリティの歴史第19回「個人情報保護法」(下) 日本では 1999年頃から、以下のような状況を背景に、本格的な個人情報保護法制度の検討がはじまりました。 - インターネット社会の進展 - 住民基本台帳ネットワークの構築 - EU 個人情報保護指令 (1995年採択) への対応 - 個人情報漏洩事件の多発 2001年に提出された個人情報保護法案は、メディア規制法案であるとの反対意見が次々と公表されたことなどもあって廃案となりました。2003 年に再度提出された法案は、「表現の自由に配慮する」旨の修正が加えられた上で、行政機関の保有する個人情報の保護に関する法律の改正法を含む関連 4法と合わせて同年 5月に成立、2年の準備期間を経て 2005 年4月に施行されました。この 2年の準備期間中の 2004年には、「個人情報の保護に関する基本方針」が閣議決定され、この指針に基づいて各分野におけるガイドラインや指針が制定されています。法施行直後に発生した JR 福知山線脱線事故では死傷者情報が個人情報であることを理由としてメディアに提供されなかったり、個人情報保護法のために学校の緊急連絡網が作れなくなったりという、いわゆる過剰反応に関する問題も報道されました。しかし、個人情報保護法制が整備されることで、様々な分野における個人情報の取り扱いに関するガイドラインがこの法制にもとづいて定められ、国際間での情報のやり取りを含めて個人情報の取り扱いが統一的な理念のもとに行われるようになっています。内閣府個人情報保護トップページ http://www5.cao.go.jp/seikatsu/kojin/index.html