US-CERT Technical Cyber Security Alert TA07-050A
Sourcefire Snort DCE/RPC Preprocessor Buffer Overflow
http://www.us-cert.gov/cas/techalerts/TA07-050A.html

US-CERT Vulnerability Note VU#196240
Sourcefire Snort DCE/RPC preprocessor does not properly reassemble fragmented packets
http://www.kb.cert.org/vuls/id/196240

CIAC Bulletin R-146
Vulnerability in Snort DCE/RPC Preprocessor
http://www.ciac.org/ciac/bulletins/r-146.shtml

概要

Snort の DCE/RPC プリプロセッサにはバッファオーバーフローの脆弱
性があります。結果として、遠隔の第三者が Snort の実行権限で任意
のコマンドを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Snort 2.6.1、2.6.1.1、2.6.1.2
- Snort 2.7.0 beta 1
- Sourcefire Intrusion Sensors version 4.1.x、4.5.x、4.6.x の 
  SEU 64 より前のバージョン
- Sourcefire Intrusion Sensors for Crossbeam version 4.1.x、
  4.5.x、4.6.x の SEU 64 より前のバージョン

また、Snort のコンポーネントを使用している他の製品も影響を受ける
可能性があります。

この問題は、該当する製品を配布元やベンダが提供する修正済みのバー
ジョンに更新することで解決します。

なお、最新版へアップデートができない場合は、DCE/RPC プリプロセッ
サを使用しないことで本脆弱性の影響を回避することができます。

【2】Cisco Unified IP Conference Station および IP Phone に権限昇格の脆弱性

情報源

CIAC Bulletin R-153
Cisco Unified IP Conference Station and IP Phone Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-153.shtml

概要

Cisco Unified IP Conference Station および IP Phone には権限昇格
の脆弱性があります。結果として、遠隔の第三者が管理者権限を取得す
る可能性があります。

対象となる製品は以下の通りです。

- Cisco Unified IP Conference Station 7935
  - ファームウェアのバージョン 3.2(15) またはそれ以前
- Cisco Unified IP Conference Station 7936
  - ファームウェアのバージョン 3.3(12) またはそれ以前
- Cisco Unified IP Phone 7906G、7911G、7941G、7961G、7970G およ
  び 7971G
  - ファームウェアのバージョン 8.0(4)SR1 またはそれ以前

この問題は、該当する機器のファームウェアを Cisco が提供する修正
済みのバージョンに更新することで解決します。

【3】McAfee Virex に脆弱性

情報源

US-CERT Vulnerability Note VU#345233
McAfee Virex fails to properly authenticate the source of updates
http://www.kb.cert.org/vuls/id/345233

CIAC Bulletin R-160
McAfee Virex Vulnerability
http://www.ciac.org/ciac/bulletins/r-160.shtml

概要

Mac OS X 向けのウイルス対策ソフトウェアである McAfee Virex には、
更新時に接続先が正しく認証されない脆弱性があります。結果として、
遠隔の第三者が任意のコマンドを実行する可能性があります。

対象となるバージョンは以下の通りです。

- McAfee Virex 7.x

この問題は、McAfee が提供するパッチを適用することで解決します。
詳細については McAfee が提供する情報を参照してください。

【4】Cisco Firewall Services Module に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#430969
Cisco Firewall Services Module vulnerable to DoS via inspection of malformed SIP messages
http://www.kb.cert.org/vuls/id/430969

CIAC Bulletin R-147
Multiple Vulnerabilities in Firewall Services Module
http://www.ciac.org/ciac/bulletins/r-147.shtml

概要

Cisco Firewall Services Module には複数の脆弱性があります。結果
として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性が
あります。

対象となる製品は以下の通りです。

- Cisco Catalyst 6500 シリーズのスイッチ、Cisco 7600 シリーズの
  ルータ、Cisco PIX 500 シリーズのセキュリティアプライアンス、お
  よび Cisco ASA 5500 シリーズセキュリティアプライアンスで動作す
  る、下記のバージョンのソフトウェア
  - 2.3.x シリーズについては 2.3 (4.12) よりも前のすべてのバージョ
    ン
  - 3.x シリーズについては 3.1 (3.24) よりも前のすべてのバージョ
    ン

この問題は、該当する製品を Cisco が提供する修正済みのバージョン
に更新することで解決します。詳細については Cisco が提供する情報
を参照してください。

【5】Cisco Secure Services Client に複数の脆弱性

情報源

CIAC Bulletin R-154
Multiple Vulnerabilities in 802.1X Supplicant
http://www.ciac.org/ciac/bulletins/r-154.shtml

概要

Cisco Secure Services Client (CSSC) および CSSC の lightweight
version には複数の脆弱性があります。結果として、遠隔の第三者が権
限を昇格したりパスワードを取得したりする可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Cisco Secure Services Client 4.x
- Cisco Trust Agent 1.x および 2.x
- Meetinghouse AEGIS SecureConnect Client (Windows プラットフォー
  ム版)
- Cisco Security Agent (CSA) バンドル 5.0 および 5.1

なお CSSC は、Cisco Trust Agent あるいは Cisco Trust Agent を使
用している製品に含まれている場合があります。詳細についてはベンダ
が提供する情報を参照してください。

この問題は、該当する製品を Cisco が提供する修正済みのバージョン
に更新することで解決します。

【6】トレンドマイクロ OfficeScan の ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#784369
Trend Micro OfficeScan Web-Deployment SetupINICtrl ActiveX control buffer overflows
http://www.kb.cert.org/vuls/id/784369

CIAC Bulletin R-149
Buffer Overflow in OfficeScan Clients
http://www.ciac.org/ciac/bulletins/r-149.shtml

概要

トレンドマイクロ OfficeScan クライアントの Web インストールに使
用される ActiveX コントロールにはバッファオーバーフローの脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行する可能
性があります。

対象となる製品とバージョンは以下の通りです。

- OfficeScan 7.3、7.0、6.5、5.58
- Client / Server / Messaging Security 3.5、3.0、2.0

なお、Web deployment メソッドによるインストールを行っていない 
OfficeScan クライアントには影響しません。

この問題は、該当する製品に トレンドマイクロが提供するセキュリティ
パッチを適用することで解決します。詳細については、トレンドマイク
ロが提供する情報を参照してください。

【7】トレンドマイクロの ServerProtect に複数のバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#730433
Trend Micro ServerProtect CMON_NetTestConnection() stack buffer overflow
http://www.kb.cert.org/vuls/id/730433

US-CERT Vulnerability Note VU#349393
Trend Micro ServerProtect ENG_SendEMail() stack buffer overflow
http://www.kb.cert.org/vuls/id/349393

US-CERT Vulnerability Note VU#466609
Trend Micro ServerProtect STCommon stack buffer overflow
http://www.kb.cert.org/vuls/id/466609

US-CERT Vulnerability Note VU#630025
Trend Micro ServerProtect fails ENG_SetRealTimeScanConfigInfo() stack buffer overflow
http://www.kb.cert.org/vuls/id/630025

CIAC Bulletin R-156
Buffer Overflow in ServerProtect
http://www.ciac.org/ciac/bulletins/r-156.shtml

概要

トレンドマイクロの ServerProtect には複数のバッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- ServerProtect for Windows 5.58
- ServerProtect for EMC 5.58
- ServerProtect for Network Appliance Filer 5.61 および 5.62

この問題は、該当する製品にトレンドマイクロが提供するセキュリティ
パッチを適用することで解決します。詳細については、トレンドマイク
ロが提供する情報を参照してください。

【8】Macrovision (旧 InstallShield) ActiveX コントロールに複数のバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#847993
Macrovision FLEXnet Connect / InstallShield Update Service Agent ActiveX control buffer overflow
http://www.kb.cert.org/vuls/id/847993

US-CERT Vulnerability Note VU#181041
Macrovision / InstallShield InstallFromTheWeb buffer overflows
http://www.kb.cert.org/vuls/id/181041

CIAC Bulletin R-157
Macrovision FLEXnet Connect / InstallShield Update Service Agent
http://www.ciac.org/ciac/bulletins/r-157.shtml

CIAC Bulletin R-159
Macrovision / InstallShield InstallFromTheWeb
http://www.ciac.org/ciac/bulletins/r-159.shtml

概要

Macrovision (旧 InstallShield) の ActiveX コントロールには複数の
バッファオーバーフローの脆弱性があります。結果として、遠隔の第三
者が任意のコードを実行する可能性があります。

対象となる製品は以下の通りです。

- InstallShield InstallFromTheWeb
- InstallShield Update Service
- Macrovision FLEXnet Connect

2007年2月27日現在、この問題に対する修正プログラムの有無は不明で
す。

Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。詳細については、下記関連文書を参照してください。

【9】ベリサインの ActiveX コントロールにバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#308087
VeriSign Managed PKI Configuration Checker ActiveX control stack buffer overflow
http://www.kb.cert.org/vuls/id/308087

CIAC Bulletin R-158
VeriSign Managed PKI Configuration Checker
http://www.ciac.org/ciac/bulletins/r-158.shtml

概要

ベリサインのマネージド PKI サービスで使用されている ActiveX コン
トロール vscnfchk.dll にはバッファオーバーフローの脆弱性がありま
す。結果として、遠隔の第三者が任意のコードを実行する可能性があり
ます。

影響を受けるシステムは以下の通りです。

- Internet Explorer でベリサインのマネージド PKI サービスによる
  電子証明書を申請・更新・再取得したことのあるコンピュータ

この問題は、下記関連文書に記載されている脆弱性対応策を実施するこ
とで回避できます。

【10】GnomeMeeting の書式指定文字列処理に脆弱性

情報源

CIAC Bulletin R-151
GnomeMeeting Security Update
http://www.ciac.org/ciac/bulletins/r-151.shtml

概要

GnomeMeeting 1.0.2 およびそれ以前には書式指定文字列の処理に脆弱
性があります。結果として、遠隔の第三者が、ユーザの権限で任意のコー
ドを実行できる可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GnomeMeeting を更新することで解決します。

なお、GnomeMeeting はバージョン 2.0 より Ekiga に名称が変更され
ています。

【11】SupportSoft の ActiveX コントロールに脆弱性

情報源

US-CERT Vulnerability Note VU#441785
SupportSoft ActiveX controls contain multiple buffer overflows
http://www.kb.cert.org/vuls/id/441785

CIAC Bulletin R-161
Stack Overflow in Third-Party ActiveX Controls
http://www.ciac.org/ciac/bulletins/r-161.shtml

概要

SupportSoft の ActiveX コントロールには脆弱性があります。結果と
して、遠隔の第三者が任意のコードを実行する可能性があります。

ISP や PC 製造者などが、遠隔サポート支援のために SupportSoft の 
ActiveX コントロールを自社のツールに組み込んで提供している場合が
あります。お使いの製品に SupportSoft の ActiveX コントロールが含
まれているか確認するよう推奨します。なお、Symantec 製品の一部に 
SupportSoft の ActiveX コントロールが含まれていることが確認され
ています。詳細については下記関連文書を参照してください。

この問題は、配布元または各ベンダが提供する修正プログラムを適用す
ることで解決します。

【12】KOffice の PPT ファイル処理機能に整数オーバーフローの脆弱性

情報源

CIAC Bulletin R-152
KOffice Security Update
http://www.ciac.org/ciac/bulletins/r-152.shtml

概要

KOffice の PPT ファイル (PowerPoint ファイル) 処理機能には整数オー
バーフローの脆弱性があります。結果として、遠隔の第三者が任意のコー
ドを実行する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに KOffice を更新することで解決します。

【13】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#551436
Mozilla Firefox SVG viewer vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/551436

US-CERT Vulnerability Note VU#885753
Mozilla browsers "location.hostname" cross-domain vulnerability
http://www.kb.cert.org/vuls/id/885753

US-CERT Vulnerability Note VU#393921
Mozilla Firefox fails to properly handle JavaScript onUnload events
http://www.kb.cert.org/vuls/id/393921

CIAC Bulletin R-162
Mozilla Firefox has a Memory Corruption
http://www.ciac.org/ciac/bulletins/r-162.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性
があります。結果として、遠隔の第三者が任意のコードを実行する可能
性があります。

この問題は、該当する製品を、使用している OS のベンダや配布元が提
供する以下の修正済みのバージョンに更新することで解決します。

- Firefox 2.0.0.2 (またはそれ以降)
- Firefox 1.5.0.10 (またはそれ以降)
- Thunderbird 1.5.0.10 (またはそれ以降)
- SeaMonkey 1.0.8 (またはそれ以降)
- NSS 3.11.5 (またはそれ以降)

【14】Symantec AntiVirus 製品のウイルス定義による誤検知

情報源

Symantec Technical Support Knowledge Base 20070220163738949
2007年2月19日付けのウイルス定義で一部の Office ファイルがBloodhound.Exploit.128 に感染していると検出される
http://service1.symantec.com/support/inter/entsecurityjapanesekb.nsf/jp_docid/20070220163738949?Open&dtype=corp

概要

Symantec が配布した 2007年2月19日付け (rev. 20) のウイルス定義ファ
イルを Symantec AntiVirus 製品向けに適用した場合、Office ファイ
ルがウイルスに感染していると誤検出される可能性があります。

この問題は、Symantec が提供する2007年2月19日付け (rev. 53) (また
はそれ以降) のウイルス定義ファイルを適用することで解決します。

【15】JPNIC・JPCERT/CC セキュリティセミナー2007 参加申込受付中

情報源

JPCERT/CC
JPNIC・JPCERT/CC セキュリティセミナー2007
http://www.jpcert.or.jp/event/sec-seminar.html

概要

JPCERT/CC REPORT 2007-02-21号の【12】で紹介した JPNIC・JPCERT/CC 
セキュリティセミナー2007 は、残席数が僅かとなりました。今までの
セキュリティセミナーの集大成として、特に人気の高かった内容を集め
ておりますので、早めの参加登録をお勧めいたします。

【日      時】2007年3月13日(火) 10:00〜17:45
【場      所】ベルサール九段 Room4
              (東京都千代田区九段北1-8-10 住友不動産九段ビル 4階)
【対  象  者】システム・ネットワークの運用や保守に携わる方
              システム・ネットワークの企画、設計、または開発に携わる方
【参加登録費】JPNIC 会員        7,000円 (税込)
              一般              10,000円 (税込)

詳細については、上記情報源および下記関連文書を参照してください。

■今週のひとくちメモ

○リムーバブルメディアの自動実行機能を無効にする

PC にリムーバブルメディアを挿入・接続したときに、メディア内のファ
イルを自動実行する機能が働くことがあります。この機能は、意図に反
してファイルを実行する可能性につながるため、特に必要がない限り無
効に設定することを推奨します。また、何らかの理由でリムーバブルメ
ディア自動実行機能を無効にできない場合は、PC に不審なメディアを
挿入・接続しないよう推奨します。

なお、リムーバブルメディアの自動実行機能を使用して拡散するワーム
の存在が、過去に複数確認されています。

参考文献 (日本語)

マイクロソフトサポートオンライン
CD-ROM の自動実行機能を有効または無効にする方法
http://support.microsoft.com/kb/155217/ja

Windows XP エキスパートゾーン
プログラム CD の自動再生をオフにする
http://www.microsoft.com/japan/windowsxp/expertzone/tips/february/knox1.mspx

トレンドマイクロウイルスデータべース
WORM_QQPASS.ADH
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_QQPASS.ADH&VSect=T

Symantec Security Response
W32.Falgna
http://www.symantec.co.jp/region/jp/avcenter/venc/data/jp-w32.falgna.html

参考文献 (英語)

msdn
Enabling and Disabling AutoRun
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/shellcc/platform/shell/programmersguide/shell_basics/shell_basics_extending/autorun/autoplay_reg.asp

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2007-02-28号

<<< JPCERT/CC WEEKLY REPORT 2007-02-28 >>>

■02/18(日)〜02/24(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

情報源

概要

関連文書 (日本語)

○リムーバブルメディアの自動実行機能を無効にする

参考文献 (日本語)

参考文献 (英語)

■JPCERT/CC からのお願い

目　次