<<< JPCERT/CC WEEKLY REPORT 2006-11-01 >>>
■10/22(日)〜10/28(土) のセキュリティ関連情報
目 次
【1】desknet's にバッファオーバーフローの脆弱性
【2】Clam AntiVirus に複数の脆弱性
【3】Symantec 製品に含まれるデバイスドライバに権限昇格の脆弱性
【4】Sun Java System および iPlanet の Messaging Server にクロスサイトスクリプティングの脆弱性
【5】CruiseWorks に複数の脆弱性
【6】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
【今週のひとくちメモ】ソフトウェアのサポート期限に注意する
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2006/wr064201.txt
https://www.jpcert.or.jp/wr/2006/wr064201.xml
【1】desknet's にバッファオーバーフローの脆弱性
情報源
JP Vendor Status Notes JVN#07235355
desknet's におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2307235355/index.html
概要
ウェブベースのグループウェアである desknet's には、バッファオーバ ーフローの脆弱性があります。結果として、遠隔の第三者により、任意 のコマンドを実行される可能性があります。また、サービス運用妨害 (DoS) 攻撃を受ける可能性があります。 対象となるバージョンは以下の通りです。 - バージョン V4.5J R2.4 およびそれ以前 詳細についてはベンダが提供する情報を参照してください。 この問題は、ベンダが提供する修正済みのバージョンに desknet's を 更新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#07235355「desknet's」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_07235355_desknets.htmldesknet's(デスクネッツ):ダウンロード
http://www.desknets.com/standard/download/index.html
【2】Clam AntiVirus に複数の脆弱性
情報源
CIAC Bulletin R-022
ClamAV
http://www.ciac.org/ciac/bulletins/r-022.shtml
概要
Clam AntiVirus (ClamAV) には、ヒープオーバーフローを含む複数の脆 弱性があります。結果として、遠隔の第三者により任意のコードを実行 されるなどの可能性があります。 詳細については上記情報源および下記関連文書を参照してください。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Clam AntiVirus を更新することで解決します。
関連文書 (英語)
Debian Security Advisory DSA-1196-1
clamav -- several vulnerabilities
http://www.debian.org/security/2006/dsa-1196ClamAV
Project News
http://www.clamav.net/
【3】Symantec 製品に含まれるデバイスドライバに権限昇格の脆弱性
情報源
CIAC Bulletin R-024
Symantec Device Driver Elevation of Privilege
http://www.ciac.org/ciac/bulletins/r-024.shtml
概要
Symantec AntiVirus Corporate Edition および Symantec Client Security に含まれるデバイスドライバに権限昇格の脆弱性があります。 結果として、ローカルユーザにより任意のコードを実行される可能性が あります。 対象となるバージョンは以下の通りです。 - Symantec AntiVirus Corporate Edition 8.1 - Symantec AntiVirus Corporate Edition 9.0.3 およびそれ以前 - Symantec Client Security 1.1 - Symantec Client Security 2.0.3 およびそれ以前 この問題は、Symantec が提供している更新プログラムを適用すること で解決します。
関連文書 (日本語)
Symantec Security Response SYM06-022
シマンテックのデバイス・ドライバに特権昇格の脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2006.10.23.html
【4】Sun Java System および iPlanet の Messaging Server にクロスサイトスクリプティングの脆弱性
情報源
CIAC Bulletin R-025
Security Vulnerability in Webmail
http://www.ciac.org/ciac/bulletins/r-025.shtml
概要
Sun Java System Messaging Server および iPlanet Messaging Server にクロスサイトスクリプティングの脆弱性があります。結果として、遠 隔の第三者によりユーザのブラウザ上で任意のスクリプトを実行された り、セッション・ハイジャックが行われたりする可能性があります。 対象となるバージョンは以下の通りです。 - Sun Java System Messaging Server 6.0 - iPlanet Messaging Server 5.2 この問題は Sun が提供するパッチを適用することで解決します。対象と なる Solaris のバージョンなど、詳細についてはベンダが提供する情報 を参照してください。
関連文書 (英語)
Sun Alert Notification 102497
Security Vulnerability in Webmail May Allow Messages Embedded With Javascript to be Executed in End User's Browser
http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102497-1
【5】CruiseWorks に複数の脆弱性
情報源
JP Vendor Status Notes JVNVU#338652
CruiseWorks にバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23338652/index.htmlJP Vendor Status Notes JVNVU#176908
CruiseWorks にディレクトリトラバーサルの脆弱性
http://jvn.jp/cert/JVNVU%23176908/index.html
概要
グループウェア CruiseWorks には、バッファオーバーフローおよびディ レクトリトラバーサルの脆弱性があります。結果として、サーバ上で任 意のコードが実行されたり、サーバ上のファイルを閲覧されたりする可 能性があります。 対象となるバージョンは以下の通りです。 - CruiseWorks 1.09c、1.09d およびそれ以前 詳細についてはベンダが提供する情報を参照してください。 この問題は、ベンダが提供する改修プログラムを適用することで解決し ます。
関連文書 (日本語)
CruiseWorks(クルーズワークス) 改修版(Ver.1-09e)ダウンロード専用サイト
クルーズワークスの脆弱性について
http://www.kynos.co.jp/cruise/cws/cwsdownload_upinfo1_09e.html
【6】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
情報源
JPCERT/CC
脆弱性のない安全なプログラムを開発するために
http://www.jpcert.or.jp/seminar.html
概要
JPCERT/CC REPORT 2006-10-18 号および 2006-10-25 号で紹介した JPCERT/CC 主催 C/C++ セキュアコーディングセミナーの早期割引が、 お問合せ多数につき 11月2日 (木) まで期間延長されました。早期割引 は受講費用が 20% 割引となります。是非、ご検討ください。 また、優秀な若い人材の育成に役立てていただくため、学生割引も新た にご用意しました。学生の方は、受講費用が半額の 25,000円 (税込) となります (セミナー当日に受付で学生証をご提示ください)。 受講ご希望の方は、この機会にぜひ、お早めにお申し込みいただきます ようお勧めいたします。 詳細については http://www.jpcert.or.jp/seminar.html 【講 師】ロバート・C・シーコード ( Robert C. Seacord ) 氏 【対象者】C/C++ 言語による開発、メンテナンスに携わる方、プログラ ムマネージャ 【開催日】(1) 2006年11月 9日(木) 9:30 - 18:00 (2) 2006年11月10日(金) 9:30 - 18:00 ※セミナーは同内容です。いずれか 1日をお選びください。 【受講料】11月 2日まで早期割引 40,000円 (税込) 11月 3日から通常価格 50,000円 (税込) 学生割引 25,000円 (税込) (セミナー当日に受付で学生証をご提示ください) ※昼食は含まれません 【申込方法】 アスキービジネス オンラインサイトよりお申し込みください http://ascii-business.com/abiz/jpcert/ なお、本イベントは Trusted CPE イベントとして認定されております (クレジット「7ポイント」付与)。
関連文書 (日本語)
JPCERT/CC REPORT 2006-10-18号
【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
http://www.jpcert.or.jp/wr/2006/wr064002.html#7JPCERT/CC REPORT 2006-10-25号
【7】JPCERT/CC 主催 C/C++ セキュアコーディングセミナーのご案内
http://www.jpcert.or.jp/wr/2006/wr064101.html#7
■今週のひとくちメモ
○ソフトウェアのサポート期限に注意する
ソフトウェアのベンダによっては、配布しているソフトウェアのバージョ ンごとにサポート期限を予め定めています。サポート期限の過ぎたソフ トウェアを使用し続ける場合、期限が過ぎた後に脆弱性が発見されても セキュリティパッチ等が提供されないため、脆弱性への直接的な対策が 取れずインシデントが発生する可能性が高くなります。 そのため使用しているソフトウェアにサポート期限があるかどうかを確 認するようお勧めします。もし、サポート期限が近づいていたり過ぎて いたりした場合は、最新版への置き換えを検討してください。 何らかの理由により最新版のソフトウェアへの置き換えが困難な場合は、 当該ソフトウェアの脆弱性に関する情報を収集し、使用しているシステ ムがどのような状況であるか、また、発見された脆弱性がシステムに対 してどのような影響を及ぼすかを把握し、インシデントを防ぐための回 避策を検討することが必要となります。
参考文献 (日本語)
Microsoft サポート オンライン
Windows XP SP1 および SP1a のセキュリティ更新プログラムのサポートを 2006 年 10 月 11 日に終了しました
http://support.microsoft.com/gp/lifean19Microsoft サポート オンライン
マイクロソフト プロダクト サポート ライフサイクル FAQ
http://support.microsoft.com/gp/lifepolicyサン・マイクロシステムズ
Solaris オペレーティングシステムに対するサンのライフサイクルモデル
http://jp.sun.com/products/software/solaris/fcc/lifecycle.htmlレッドハット
Red Hat Enterprise Linuxのサポートポリシー
http://www.jp.redhat.com/software/rhel/support_policy_jp.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/