JPCERT コーディネーションセンター

Weekly Report 2006-09-06号

JPCERT-WR-2006-3401
JPCERT/CC
2006-09-06

<<< JPCERT/CC WEEKLY REPORT 2006-09-06 >>>

■08/27(日)〜09/02(土) のセキュリティ関連情報

目 次

【1】複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性

【2】サイボウズ Office 6 における情報漏洩の脆弱性

【3】Webmin および Usermin に複数の脆弱性

【4】「TCP 139番ポートへのスキャン増加に関する注意喚起」を更新

【5】JPCERT/CC REPORT XML 版および HTML 版試験提供のお知らせ

【今週のひとくちメモ】個人契約のメールサービスを業務に使用しない

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2006/wr063401.txt
https://www.jpcert.or.jp/wr/2006/wr063401.xml

【1】複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性

情報源

JP Vendor Status Notes JVN#90420168
複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN%2390420168/index.html

概要

複数のサイボウズ製品には、ディレクトリトラバーサルの脆弱性があり
ます。サイボウズ製品が設置されている環境により異なりますが、結果
として、遠隔の第三者によりサーバ内の特定のファイルを閲覧される可
能性があります。

対象となる製品およびバージョンは以下の通りです。

- サイボウズ Office 6.5 (1.2) およびそれ以前
- サイボウズ ガルーン 1.5 (4.0) およびそれ以前
    集中管理システム 1.5 (4.0) およびそれ以前
    ワークグループシステム 1.5 (4.0) およびそれ以前
    掲示板サーバー 1.0 (0.6) およびそれ以前
    ファイル管理サーバー 1.0 (0.6) およびそれ以前
    施設予約サーバー 1.0 (0.6) およびそれ以前
    ワークフロー 1.0 (1.0) およびそれ以前
- サイボウズ メールワイズ 3.0 (0.2) およびそれ以前
- サイボウズ コラボレックス 1.5 (0.5) およびそれ以前
- サイボウズ AG 1.2 (1.4) およびそれ以前
- サイボウズ AG ポケット 5.2 (0.7) およびそれ以前
- Share360 2.5 (0.2) およびそれ以前

詳しくは、ベンダの提供する情報を確認してください。

この問題は、サイボウズが提供する改修プログラムを適用することで解
決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#90420168:複数のサイボウズ製品におけるディレクトリ・トラバーサルの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_90420168_Cybozu.html

セキュリティに関するお知らせ
サイボウズ製品の脆弱性について
http://cybozu.co.jp/products/dl/notice_060901/

【2】サイボウズ Office 6 における情報漏洩の脆弱性

情報源

JP Vendor Status Notes JVN#31125599
サイボウズ Office 6 における情報漏洩の脆弱性
http://jvn.jp/jp/JVN%2331125599/index.html

概要

サイボウズ Office 6.5 (1.2) およびそれ以前には、情報漏洩の脆弱性
があります。結果として、遠隔の第三者により登録されているユーザお
よびグループに関する情報を閲覧される可能性があります。

詳しくは、ベンダの提供する情報を確認してください。

この問題は、サイボウズが提供する改修プログラムを適用することで解
決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#31125599:「サイボウズ Office 6」における情報漏洩の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_31125599_Cybozu.html

セキュリティに関するお知らせ
サイボウズ製品の脆弱性について
http://cybozu.co.jp/products/dl/notice_060901/

【3】Webmin および Usermin に複数の脆弱性

情報源

JP Vendor Status Notes JVN#99776858
Webmin および Usermin にクロスサイトスクリプティングを含む複数の脆弱性
http://jvn.jp/jp/JVN%2399776858/index.html

概要

ウェブベースのシステム管理ツールである Webmin および Usermin に
は、アクセス制限を回避したファイルの実行やクロスサイトスクリプティ
ングを含む複数の脆弱性があります。結果として、遠隔の第三者により
ユーザのブラウザ上で任意のスクリプトを実行されるなど、様々な問題
が生じる可能性があります。

対象となるバージョンは以下の通りです。

- Webmin Version 1.290 およびそれ以前
- Usermin Version 1.220 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに Webmin または Usermin を更新することで解決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#99776858:「Webmin」および「Usermin」にクロスサイト・スクリプティングを含む複数の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_99776858_webmin.html

関連文書 (英語)

Security Alerts
Remote source code access and XSS bug
http://www.webmin.com/security.html

【4】「TCP 139番ポートへのスキャン増加に関する注意喚起」を更新

情報源

TCP 139番ポートへのスキャン増加に関する注意喚起
http://www.jpcert.or.jp/at/2006/at060012.txt

概要

2006年8月24日に公開した「TCP 139番ポートへのスキャン増加に関する
注意喚起」に関して、注意喚起公開以降も継続的に TCP 139番ポートの
スキャンの増加傾向を観測しているため、注意喚起を更新しました。

詳しくは、当該注意喚起文書を参照してください。

【5】JPCERT/CC REPORT XML 版および HTML 版試験提供のお知らせ

情報源

JPCERT/CCレポート
http://www.jpcert.or.jp/wr/

概要

JPCERT/CC REPORT は、従来テキスト形式のみ提供しておりましたが、
読者の皆様から頂いたご意見・ご要望を検討した結果、本号 
(2006-09-06号) より XML 形式および HTML 形式での試験提供を開始い
たしました。

なお、試験提供の形式および形態は変更される可能性があります。予め
ご了承ください。

また、2006年8月30日以前発行分の HTML 形式および XML 形式の提供予
定は未定です。

読者の皆様のご意見、ご感想をお待ちしております。

関連文書 (日本語)

JPCERT/CC REPORT 2006-09-06 号 (XML 形式)
http://www.jpcert.or.jp/wr/2006/wr063401.xml

JPCERT/CC REPORT 2006-09-06 号 (XML 形式) の PGP 署名
http://www.jpcert.or.jp/wr/2006/wr063401.xml.asc

JPCERT/CC REPORT 2006-09-06 号 (HTML 形式)
http://www.jpcert.or.jp/wr/2006/wr063401.html

JPCERT/CC REPORT 2006-09-06 号 (HTML 形式) の PGP 署名
http://www.jpcert.or.jp/wr/2006/wr063401.html.asc

JPCERT/CC REPORT DTD
http://www.jpcert.or.jp/wr/wr.dtd

■今週のひとくちメモ

○個人契約のメールサービスを業務に使用しない

個人で契約したメールサービスを業務上の機密情報の取り扱いに使用す
ることは、情報管理の面で非常に大きなリスクがあります。情報管理責
任者等から特別に許可を得ていない限りは、個人で契約したメールサー
ビスを業務で使用しないことをお勧めします。

- 使用するサービスによっては、「情報」を第三者に提供する場合があ
  る。
  → 機密情報や個人情報の漏洩につながる可能性がある。

- 企業と契約関係にない第三者の管理するサーバ上で機密情報や個人情
  報を管理することになる。
  → 情報漏洩の際、責任の所在が不明瞭になり、組織としての対応が
     遅れる可能性がある。

参考文献 (日本語)

JPCERT/CC REPORT 2004-12-08号の「一口メモ」
電子メールクライアントの選択
http://www.jpcert.or.jp/wr/2004/wr044801.txt

JPCERT/CC REPORT 2005-05-11号の「一口メモ」
フリーメールサービス
http://www.jpcert.or.jp/wr/2005/wr051801.txt

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter