US-CERT Technical Cyber Security Alert TA07-005A
Apple QuickTime RTSP Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA07-005A.html

US-CERT Vulnerability Note VU#442497
Apple QuickTime RTSP buffer overflow
http://www.kb.cert.org/vuls/id/442497

CIAC Bulletin R-095
Apple QuickTime RTSP buffer overflow
http://www.ciac.org/ciac/bulletins/r-095.shtml

概要

Apple QuickTime の Real Time Streaming Protocol (RTSP) の処理に
は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
第三者が任意のコードを実行するなどの可能性があります。

対象となる製品は以下の通りです。

- QuickTime for Windows PC
- QuickTime for Mac OS X

なお、iTunes のように QuickTime を利用するソフトウェアも影響を受
けます。詳細については、今後ベンダが提供する情報を参照してくださ
い。

2007年1月10日現在、セキュリティアップデートは提供されていません。
回避策としては以下の方法があります。

- QuickTime ActiveX コントロールを無効にする
- ブラウザの QuickTime プラグインを無効にする
- QuickTime ファイルへのアプリケーションの関連付けを無効にする
- JavaScript を無効にする
- 信頼できないサイトの QuickTime ファイルにはアクセスしない

【2】Adobe 製品の Acrobat プラグインにクロスサイトスクリプティングの脆弱性

情報源

US-CERT Vulnerability Note VU#815960
Adobe Acrobat Plug-In cross domain violation
http://www.kb.cert.org/vuls/id/815960

CIAC Bulletin R-096
PDF XSS vulnerability announced at CCC
http://www.ciac.org/ciac/bulletins/r-096.shtml

概要

Windows または Linux で動作する Adobe 製品の Acrobat プラグイン
には、クロスサイトスクリプティングの脆弱性があります。結果として、
遠隔の第三者が任意のコードを実行するなどの可能性があります。

対象となる製品とバージョンは以下の通りです。

- Adobe Reader 7.0.8 およびそれ以前
- Adobe Acrobat Standard、Professional および Elements 7.0.8 およ
  びそれ以前
- Adobe Acrobat 3D

この問題は、配布元や使用している OS のベンダが提供する修正済みの
バージョンにそれぞれの製品を更新することで解決します。詳細につい
ては上記情報源やベンダが提供する情報を参照してください。

【3】Opera Web ブラウザに複数の脆弱性

情報源

CIAC Bulletin R-099
Opera Web Browser Heap Corruption Vulnerability
http://www.ciac.org/ciac/bulletins/r-099.shtml

CIAC Bulletin R-100
Opera Web Browser Object Typecasting Vulnerability
http://www.ciac.org/ciac/bulletins/r-100.shtml

概要

Opera Web ブラウザには、複数の脆弱性があります。結果として、遠隔
の第三者が任意のコードを実行したり、Opera Web ブラウザをクラッシュ
させたりするなどの可能性があります。

対象となるバージョンは以下の通りです。

- Opera 9.02 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョン 9.10 (またはそれ以降) に Opera Web ブラウザを更新する
ことで解決します。

【4】OpenOffice.org にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#220288
OpenOffice fails to properly process WMF and EMF files
http://www.kb.cert.org/vuls/id/220288

CIAC Bulletin R-098
OpenOffice.org Security Update
http://www.ciac.org/ciac/bulletins/r-098.shtml

概要

OpenOffice.org には、複数のバッファオーバーフローの脆弱性があり
ます。結果として、遠隔の第三者が任意のコードを実行する可能性があ
ります。

対象となるバージョンは以下の通りです。

- OpenOffice.org 2.0.4 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに OpenOffice.org を更新することで解決します。

【5】Cisco Clean Access に複数の脆弱性

情報源

CIAC Bulletin R-097
Multiple Vulnerabilities in Cisco Clean Access
http://www.ciac.org/ciac/bulletins/r-097.shtml

概要

Cisco Clean Access (CCA) には、複数の脆弱性があります。結果とし
て、遠隔の第三者が任意のコードを実行したり、情報が漏えいしたりす
るなどの可能性があります。

対象となるバージョンは以下の通りです。

- CCA releases 3.5.x - 3.5.9
- CCA releases 3.6.x - 3.6.4.2
- CCA releases 4.0.x - 4.0.3.2

この問題は、Cisco が提供する修正済みのバージョンに Cisco Clean
Access を更新することで解決します。

【6】pnamazu にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#02729869
pnamazu におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2302729869/index.html

概要

全文検索システム pnamazu には、クロスサイトスクリプティングの脆弱
性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意
のスクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- pnamazu-2006.02.28 およびそれ以前

詳細については、配布元が提供する情報を参照してください。

この問題は、配布元が提供する修正済みのバージョン 2006.12.23 (ま
たはそれ以降) にpnamazu を更新することで解決します。

【7】Joomla! にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#45006961
Joomla! におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2345006961/index.html

概要

コンテンツ管理システム Joomla! には、クロスサイトスクリプティン
グの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ
上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ
たりする可能性があります。

対象となるバージョンは以下の通りです。

- Joomla! 1.0.11 およびそれ以前

この問題は、配布元が提供する修正済みのバージョン 1.0.12 (または
それ以降) に Joomla! を更新することで解決します。

【8】tDiary に脆弱性

情報源

JP Vendor Status Notes JVN#31185550
tDiary における任意の Ruby スクリプトを実行される脆弱性
http://jvn.jp/jp/JVN%2331185550/index.html

概要

Web 日記支援システム tDiary には、脆弱性があります。結果として、
tDiary が設置されている Web サーバ上で遠隔の第三者が任意の Ruby
スクリプトを実行する可能性があります。

対象となるバージョンは以下の通りです。

- tDiary 2.0.3 (安定版)
- tDiary 2.1.4.20061127 (開発版)

詳細については、配布元が提供する情報を参照してください。

この問題は、配布元が提供する修正済みのバージョンに tDiary を更新
することで解決します。

【9】sb および Serene Bach にクロスサイトスクリプティングの脆弱性

情報源

JP Vendor Status Notes JVN#65500885
Serene Bach におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2365500885/index.html

概要

ウェブログ管理システム sb および Serene Bach には、クロスサイト
スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー
ザのブラウザ上で任意のスクリプトを実行したり、情報が漏えいしたり
する可能性があります。

対象となるバージョンは以下の通りです。

- Serene Bach ver 2.05R およびそれ以前
- Serene Bach ver 2.08D およびそれ以前
- sb 1.18R およびそれ以前
- sb 1.13D およびそれ以前

この問題は、配布元が提供する修正済みのバージョン sb 1.19R (また
はそれ以降) もしくは Serene Bach 2.09R (またはそれ以降) に sb も
しくは Serene Bach を更新することで解決します。

■今週のひとくちメモ

○暗号関連技術の第三者評価を活用する

暗号関連技術を用いてセキュリティを確保する機器やソフトウェアには、
様々な暗号の要素技術 (アルゴリズム) が用いられています。これらの
機器やソフトウェアを安全に使用するためには、機器やソフトウェアで
使用されている暗号の要素技術が客観的に評価され、実務上安全である
ことを確認する必要があります。しかし、このような評価は、暗号の専
門家以外にとっては困難な作業となります。

暗号関連技術を用いた機器やソフトウェアを導入・運用する際は、アメ
リカや日本などの政府機関等によって提供されている暗号関連技術の第
三者評価を参考に検討することをお勧めします。詳しくは、下記参考文
献などを参照してください。

参考文献 (日本語)

CRYPTREC
技術報告書
http://www.cryptrec.jp/estimation.html

CRYPTREC
電子政府推奨暗号の仕様書
http://www.cryptrec.jp/method.html

独立行政法人情報処理推進機構セキュリティセンター
暗号技術
http://www.ipa.go.jp/security/ipg/crypt.html

参考文献 (英語)

National Institute of Standards and Technology
Cryptographic Standards and Validation Programs at NIST
http://csrc.nist.gov/cryptval/

National Institute of Standards and Technology
Recommendation on Key Management
http://csrc.nist.gov/publications/nistpubs/index.html#sp800-57

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2007-01-11号

<<< JPCERT/CC WEEKLY REPORT 2007-01-11 >>>

■12/24(日)〜01/06(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○暗号関連技術の第三者評価を活用する

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次