JPCERT コーディネーションセンター

Weekly Report 2006-10-25号

JPCERT-WR-2006-4101
JPCERT/CC
2006-10-25

<<< JPCERT/CC WEEKLY REPORT 2006-10-25 >>>

■10/15(日)〜10/21(土) のセキュリティ関連情報

目 次

【1】Oracle 製品に複数の脆弱性

【2】kdelibs パッケージに整数オーバーフローの脆弱性

【3】一太郎にバッファオーバーフローの脆弱性

【4】NEC MultiWriter1700C/7500C の FTP サーバに脆弱性

【5】NEC MultiWriter1700C の Web サーバに認証回避の脆弱性

【6】JPCERT/CC 訳『C/C++セキュアコーディング』刊行のお知らせ

【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内

【今週のひとくちメモ】National CSIRT の連絡網を活用する

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2006/wr064101.txt
https://www.jpcert.or.jp/wr/2006/wr064101.xml

【1】Oracle 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA06-291A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA06-291A.html

US-CERT Vulnerability Note VU#395412
Apache mod_rewrite contains off-by-one error in ldap scheme handling
http://www.kb.cert.org/vuls/id/395412

US-CERT Vulnerability Note VU#744929
mod_ssl fails to properly enforce client certificates authentication
http://www.kb.cert.org/vuls/id/744929

US-CERT Vulnerability Note VU#716964
Oracle PREPARE_UNBOUNDED_VIEW procedure vulnerable to PL/SQL injection
http://www.kb.cert.org/vuls/id/716964

US-CERT Vulnerability Note VU#717140
Oracle ENABLE_HIERARCHY_INTERNAL procedure vulnerable to PL/SQL injection
http://www.kb.cert.org/vuls/id/717140

概要

Oracle 製品およびそのコンポーネントに複数の脆弱性があります。結果
として、遠隔の第三者に任意のコマンドやコードを実行されたり、情報
漏洩、サービス運用妨害(DoS)攻撃が行われたりする可能性がありま
す。なお、これらの影響は対象製品やコンポーネント、設定等により異
なります。

対象となるシステムは以下の通りです。

- Oracle10g Database
- Oracle9i Database
- Oracle8i Database
- Oracle Application Express (従来の Oracle HTML DB)
- Oracle Application Server 10g
- Oracle Collaboration Suite 10g
- Oracle9i Collaboration Suite
- Oracle E-Business Suite Release 11i
- Oracle E-Business Suite Release 11.0
- Oracle Pharmaceutical Applications
- Oracle PeopleSoft Enterprise Portal Solutions
- Oracle PeopleSoft Enterprise PeopleTools
- JD Edwards EnterpriseOne Tools
- JD Edwards OneWorld Tools
- Oracle Reports Developer client-only installations
- Oracle Containers for J2EE client-only installations

上記以外の複数の製品あるいはコンポーネントも影響を受ける可能性が
あります。詳細についてはベンダが提供する情報を参照してください。

この問題は、ベンダが提供するパッチを適用することで解決します。

関連文書 (日本語)

JP Vendor Status Notes JVNTA06-291A
Oracle 製品に複数の脆弱性
http://jvn.jp/cert/JVNTA06-291A/index.html

Oracle Technology Network
セキュリティアラート
http://otn.oracle.co.jp/security/

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update - October 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

【2】kdelibs パッケージに整数オーバーフローの脆弱性

情報源

CIAC Bulletin R-019
kdelibs Security Update
http://www.ciac.org/ciac/bulletins/r-019.shtml

概要

kdelibs パッケージには、整数オーバーフローの脆弱性があります。結
果として、遠隔の第三者により、任意のコードを実行されるなどの影響
を受ける可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
パッケージに kdelibs を更新することで解決します。

関連文書 (英語)

Red Hat Security Advisory RHSA-2006:0720-5
Critical: kdelibs security update
https://rhn.redhat.com/errata/RHSA-2006-0720.html

【3】一太郎にバッファオーバーフローの脆弱性

情報源

JP Vendor Status Notes JVN#90815371
一太郎におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2390815371/index.html

概要

ワープロソフトウエアの一太郎シリーズの一部には、バッファオーバー
フローの脆弱性があります。遠隔の第三者によって細工された一太郎の
文章ファイルを送付され、それを利用者が閲覧し特定の操作を行なうこ
とにより任意のコードを実行される可能性があります。

対象となる製品は以下の通りです。

- 一太郎 2006
- 一太郎 2006 体験版
- 一太郎ガバメント 2006

詳細についてはベンダが提供する情報を参照してください。

この問題は、ベンダが提供するセキュリティ更新モジュールを導入する
ことで解決します。

関連文書 (日本語)

一太郎 2006 セキュリティ更新モジュールの公開
http://www.justsystem.co.jp/info/pd6004.html

@police
ジャストシステム社ワープロソフト一太郎の脆弱性について
http://www.cyberpolice.go.jp/important/2006/20061018_205336.html

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#90815371「一太郎」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_90815371_ichitaro.html

【4】NEC MultiWriter1700C/7500C の FTP サーバに脆弱性

情報源

JP Vendor Status Notes JVN#85996645
NEC MultiWriter1700C/7500C の FTP サーバにおける脆弱性
http://jvn.jp/jp/JVN%2385996645/index.html

概要

NEC 製プリンタには、内蔵の FTP サーバを経由して他の FTP サーバに
接続できるという脆弱性があります。結果として、遠隔の第三者により
FTP バウンス攻撃に利用される可能性があります。

対象となる製品は以下の通りです。

- NEC MultiWriter 1700C (型番:PR-L1700C)
- ネットワーク拡張カード PR-L1700C-MC
- NEC ColorMultiWriter 7500C (型番:PR-L7500C)

詳細についてはベンダが提供する情報を参照してください。

この問題は、ベンダが提供するファームウェアのアップデートをインス
トールすることで解決します。なお、早急にファームウェアをアップデー
トすることが不可能な場合の回避策として、FTP の起動を「停止」に設
定する方法があります。

関連文書 (日本語)

NEC 製品セキュリティ情報 NV06-005
NEC MultWriter1700C/7500CのFTPサーバに関する脆弱性
http://www.sw.nec.co.jp/psirt/secinfo/nv06-005.html

【5】NEC MultiWriter1700C の Web サーバに認証回避の脆弱性

情報源

JP Vendor Status Notes JVN#63999575
NEC MultiWriter1700C の Web サーバに認証回避の脆弱性
http://jvn.jp/jp/JVN%2363999575/index.html

概要

NEC 製プリンタに内蔵されている Web サーバには、非認証ユーザによっ
てシステムの設定が変更される脆弱性があります。結果として、遠隔の
第三者により、プリンタに内蔵された Web サーバのシステム設定が変
更される可能性があります。

対象となる製品は以下の通りです。

- NEC MultiWriter 1700C (型番: PR-L1700C)
- ネットワーク拡張カード PR-L1700C-MC

詳細についてはベンダが提供する情報を参照してください。

この問題は、ベンダが提供するファームウェアのアップデートをインス
トールすることで解決します。なお、早急にファームウェアをアップデー
トすることが不可能な場合の回避策として、プリンタの設定で
CentreWare Internet Services の起動を「停止」に設定する方法があ
ります。

関連文書 (日本語)

NEC 製品セキュリティ情報 NV06-006
NEC MultiWriter1700CのWebサーバに関する脆弱性
http://www.sw.nec.co.jp/psirt/secinfo/nv06-006.html

【6】JPCERT/CC 訳『C/C++セキュアコーディング』刊行のお知らせ

情報源

株式会社アスキー
C/C++セキュアコーディング
http://www.ascii.co.jp/books/books/detail/4-7561-4823-9.shtml

概要

Robert C. Seacord 著、JPCERT コーディネーションセンター訳の
『C/C++セキュアコーディング』(定価 3,990円 (税込)、B5 変形 368ペー
ジ、ISBN4-7561-4823-9) が、2006年11月7日 (火) に発売されます。

今日、深刻な脆弱性が生じやすいプログラミング言語の上位に間違いな
くランクインするであろう C/C++。C/C++ を使ってセキュアなプログラ
ムを開発するには、たとえば、整数 (int) の内部表現にまつわるいく
ぶん突っ込んだ仕様を理解し、C における「文字型」配列を操作する上
での落とし穴について熟知していることが肝要です。

このようなセキュアプログラミング上の問題に精通した CERT/CC の脆
弱性担当上席アナリスト、Robert C. Seacord 氏による本書では、脆弱
性の原因となりやすい問題点について詳細に検討し、脅威を緩和する具
体的な手法を紹介しています。

C/C++ の深層に触れたいプログラマや C/C++ のエキスパートを目指す
プログラマはもちろん、セキュリティに関心のある他言語のプログラマ
にもお勧め。

【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内

情報源

JPCERT/CC
脆弱性のない安全なプログラムを開発するために
http://www.jpcert.or.jp/seminar.html

概要

JPCERT コーディネーションセンターは、C/C++ 言語で脆弱性を含まな
い安全なプログラムをコーディングする具体的なテクニックとノウハウ
を学んでいただくためのセミナーを開催します。

******************************************************************
本セミナーで使用する「C/C++ セキュアコーディング」を翻訳、監修し
た JPCERT/CC 代表理事 歌代和正は

「C のプログラマはもちろんなんですが、基本的な仕組みがきっちり解
説してあるので、コンピュータアーキテクチャの勉強にもなる」と語っ
た。

また、本書のまえがきでは「本書で引用されているデータを信用すれば、
2010年には10万件の脆弱性が発見されるという。毎日300件近くの新た
な脆弱性を処理することは、どう考えても不可能である。だとすれば、
そのような脆弱性が作り込まれないような対策をとらなければならな 
い。<中略> C の使われる場面がなくなることはないだろう。PC で動作
するアプリケーションも、開発環境自身も、それらを支えるオペレーティ
ングシステムもみな C で記述されているのだ。情報家電の脆弱性も問
題に なってきているため、組み込み系のソフトウェアも今後の大きな
課題である。」と述べている。
******************************************************************

従来のプログラミング教育は、基本的なアルゴリズムをどのようにコー
ディングするかが主なものでした。そのため、基本的な C/C++ 言語に
よるプログラミングは、予期せぬ脆弱性を多く含む結果を招いています。
このセミナーを受講することにより、ソフトウエアの脆弱性によるリス
クの把握ができるようになり、安全なソフトウエア開発への投資の意義
が理解できるようになります。特定のアプリケーションに限らず C/C++ 
言語を使って安全なプログラムを開発する業務に携わる全ての方を対象
としています。

    詳細については  http://www.jpcert.or.jp/seminar.html

なお、早期割引の申込みが 10月26日(木) までとなっております。
受講ご希望の方はお早めにお申し込みください。

【講  師】ロバート・C・シーコード  ( Robert C. Seacord ) 氏
【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラ
          ムマネージャ
【開催日】(1) 2006年11月 9日(木) 9:30 - 18:00
          (2) 2006年11月10日(金) 9:30 - 18:00
          ※セミナーは同内容です。いずれか 1日をお選びください。
【受講料】10月26日まで早期割引  40,000円(税込)
          10月27日から通常価格  50,000円(税込)
          ※昼食は含まれません
【申込方法】 アスキービジネス オンラインサイトよりお申し込みください
             http://ascii-business.com/abiz/jpcert/form.html

■今週のひとくちメモ

○National CSIRT の連絡網を活用する

インシデント対応の調整を National CSIRT に依頼することで、インシ
デントの当事者との連絡が可能となる場合があります。

インシデント対応の過程で、インシデントの当事者に連絡する必要があ
りながら、当事者の連絡先が不明であったり、連絡内容や要望を適切に
伝達できなかったり、連絡しても応答が無い場合などがあります。特に
インシデントの当事者が国外に存在する場合は、そのような状況に遭遇
する可能性が高くなります。また、各国、各地域における法的な制限を
はじめとした事情を把握していないと、不適切な、または実行できない
対応を要望してしまい、結果として効果的なインシデント対応につなが
らない可能性があります。

インターネットが普及している国では、それぞれの地域を代表する
National CSIRT が存在することが多く、特に FIRST やAPCERT に加盟
している National CSIRT は、その地域の事情に詳しく、かつ適切な連
絡先を把握していることが期待できます。JPCERT/CC も FIRST および
APCERT に加盟しています。

参考文献 (日本語)

JPNIC・JPCERT/CC Security Seminar 2005 講演資料
インシデントレスポンス概論
http://www.jpcert.or.jp/present/2005/IncidentResponseOverview2005.pdf

JPCERT/CC REPORT 2006-10-18号 [今週の一口メモ]
CSIRT の活動内容の制限について
http://www.jpcert.or.jp/wr/2006/wr064002.txt

参考文献 (英語)

FIRST (Forum of Incident Reponse and Security Teams)
Alphabetical list of FIRST Members
http://www.first.org/members/teams/

APCERT (Asia Pacific Computer Emergency Response Team)
Member Teams
http://www.apcert.org/about/structure/members.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter