-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2008-4701
                                                                   JPCERT/CC
                                                                  2008-12-03

                 <<< JPCERT/CC REPORT 2008-12-03 >>>

――――――――――――――――――――――――――――――――――――――
■11/23(日)〜11/29(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】iPhone OS および iPhone OS for iPod touch OS に複数の脆弱性
【2】Symantec Backup Exec に複数の脆弱性
【3】アイ・オー・データの HDL-F シリーズにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第23回「ハードディスクレコーダを踏み台にしたコメントスパム」

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/2008/wr084701.html
        http://www.jpcert.or.jp/wr/2008/wr084701.xml
============================================================================


【1】iPhone OS および iPhone OS for iPod touch OS に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Apple Releases iPhone OS 2.2 and iPhone OS for iPod touch 2.2
      http://www.us-cert.gov/current/archive/2008/11/25/archive.html#apple_releases_os_2_2

      Apple - Support HT3318
       About the security content of iPhone OS 2.2 and iPhone OS for iPod touch 2.2
      http://support.apple.com/kb/HT3318

    概要
      iPhone OS および iPhone OS for iPod touch には、複数の脆弱性があ
      ります。結果として、遠隔の第三者が任意のコードを実行したり、任意
      の番号に電話をかけたり、サービス運用妨害 (DoS) 攻撃を行ったりす
      る可能性があります。

      対象となるプラットフォームおよびバージョンは以下の通りです。

      - iPhone OS 1.0 から 2.1 まで
      - iPhone OS for iPod touch 1.1 から 2.1 まで

      この問題は、Apple が提供する修正済みのバージョンに、該当するプラッ
      トフォームを更新することで解決します。詳細については Apple が提
      供する情報を参照してください。

    関連文書 (日本語)
      Apple - サポート HT3318
      iPhone OS 2.2 および iPhone OS for iPod touch 2.2 のセキュリティコンテンツについて
      http://support.apple.com/kb/HT3318?viewlocale=ja_JP

    関連文書 (英語)
      Apple security-announce Mailing List
      APPLE-SA-2008-11-20 iPhone OS 2.2 and iPhone OS for iPod touch 2.2
      http://lists.apple.com/archives/security-announce//2008/Nov/msg00002.html

【2】Symantec Backup Exec に複数の脆弱性

    情報源
      US-CERT Current Activity Archive
      Symantec Releases Security Advisory for Backup Exec
      http://www.us-cert.gov/current/archive/2008/11/25/archive.html#symantec_releases_security_advisory_for

    概要
      Symantec Backup Exec には、複数の脆弱性があります。結果として、
      遠隔の第三者が認証を回避し、情報を取得または削除したり、サービス
      運用妨害 (DoS) 攻撃を行ったりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Symantec Backup Exec 12.5 revision 2213
      - Symantec Backup Exec 12 revision 1364
      - Symantec Backup Exec 11d revision 7170
      - Symantec Backup Exec 11d revision 6235

      なお、この脆弱性は、メディアサーバおよびリモートサーバ双方に
      存在するリモートエージェントに影響します。

      この問題は、Symantec が提供するアップデートを適用することで解決
      します。詳細については、Symantec が提供する情報を参照してくださ
      い。

    関連文書 (日本語)
      Symantec Security Response SYM08-021
      Symantec Backup Exec の認証回避およびバッファオーバーフローが発生する脆弱性
      http://www.symantec.com/region/jp/avcenter/security/content/2008.11.19.html

【3】アイ・オー・データの HDL-F シリーズにクロスサイトリクエストフォージェリの脆弱性

    情報源
      Japan Vulnerability Notes JVN#70599814
      アイ・オー・データ製 HDL-F シリーズにおけるクロスサイトリクエストフォージェリの脆弱性
      http://jvn.jp/jp/JVN70599814/index.html

    概要
      アイ・オー・データが提供する HDL-F シリーズの Web 管理画面には、
      クロスサイトリクエストフォージェリの脆弱性があります。結果として、
      遠隔の第三者が細工した Web ページを管理者に読み込ませることで、
      ハードディスク上のデータを削除したり、設定を変更したりする可能性
      があります。

      対象となる製品は以下の通りです。

      - HDL-F シリーズ

      この問題は、アイ・オー・データが提供する修正済みのバージョンに、
      該当する製品のファームウェアを更新することで解決します。

    関連文書 (日本語)
      アイ・オー・データ
      LAN接続型ハードディスク「HDL-Fシリーズ」ご愛用のお客様へ大切なお知らせ
      http://www.iodata.jp/news/2008/important/hdl-f.htm


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○インターネットセキュリティの歴史 第23回「ハードディスクレコーダを踏み台にしたコメントスパム」

      Web を閲覧できる機能をもつテレビや、遠隔地から録画予約が可能なビ
      デオレコーダなどに代表される、インターネットにアクセス可能な家電
      を「ネット家電」と呼びます。

      2004年9月、東芝のハードディスクレコーダ RD シリーズをインターネッ
      トからアクセス可能な状態にしておくと、匿名プロキシサーバとして使
      われてしまう問題が明らかになりました。実際にこの問題を使ってブロ
      グに大量のコメントスパムが書き込まれるという被害が発生しました。

      これをきっかけに「ネット家電」のセキュリティ問題が大きく注目され
      るようになりました。

    参考文献 (日本語)
      Japan Vulnerability Notes JVN#E7DDE712
      東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能
      http://jvn.jp/jp/JVNE7DDE712/index.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        http://www.jpcert.or.jp/form/

以上。
__________

2008 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQCUAwUBSTXiFYx1ay4slNTtAQhZIAPzBvAqO+i+FEepXZPt92LSRrp2nwKr+CPd
G/742q5hemdii50T96P4T1OZjKt8EgJTPJn5DDVLwZa/SIrYRvVx1/Mu5hQhLlVI
AVxh6ET8ynkhfgm9aDUChExcTTM8WLVQurTBjrkJD1A74LNPBP8sfxQiai4ZZpXa
EKB+RvvqNg==
=/1gb
-----END PGP SIGNATURE-----