<<< JPCERT/CC WEEKLY REPORT 2007-10-03 >>>
■09/23(日)〜09/29(土) のセキュリティ関連情報
目 次
【1】Linux カーネルに権限昇格の脆弱性
【2】Aipo にセッション固定の脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第9回 「重要インフラのサイバーテロ対策に係る特別行動計画策定」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr073801.txt
https://www.jpcert.or.jp/wr/2007/wr073801.xml
【1】Linux カーネルに権限昇格の脆弱性
情報源
CIAC Bulletin R-360
Kernel Security Update
http://www.ciac.org/ciac/bulletins/r-360.shtml
概要
Linux カーネルには、権限昇格の脆弱性があります。結果として、ロー カルユーザが root 権限を取得する可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 2.4.35.3 以前の Linux kernel 2.4.x 系 - バージョン 2.6.22.7 以前の Linux kernel 2.6.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1378-2
linux-2.6 -- 複数の脆弱性
http://www.debian.org/security/2007/dsa-1378.ja.html
関連文書 (英語)
Linux
Linux Kernel ChangeLog 2.6.22.7
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.7Linux
Linux Kernel ChangeLog 2.4.35.3
http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.35.3Red Hat Security Advisory RHSA-2007:0936-2
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2007-0936.html
【2】Aipo にセッション固定の脆弱性
情報源
Japan Vulnerability Notes JVN#70075625
Aipo におけるセッション固定の脆弱性
http://jvn.jp/jp/JVN%2370075625/index.html
概要
株式会社エイムラックが提供するグループウェア Aipo には、セッショ ン固定の脆弱性があります。結果として、遠隔の第三者が、ユーザのロ グイン時に特定のセッション ID を使わせることで、ユーザになりすま す可能性があります。 対象となるバージョンは以下の通りです。 - Aipo V3.0.1.0 およびそれ以前 - Aipo ASP版 V3.0.1.0 およびそれ以前 この問題は、株式会社エイムラックが提供するアップデートプログラム を適用することで解決します。詳細については、株式会社エイムラック が提供する情報を参照してください。
関連文書 (日本語)
株式会社エイムラック
アップデートプログラム
http://aipo.aimluck.com/download/update.html独立行政法人 情報処理推進機構 セキュリティセンター
JVN#70075625 「Aipo」におけるセッション固定の脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_70075625.html
■今週のひとくちメモ
○インターネットセキュリティの歴史 第9回 「重要インフラのサイバーテロ対策に係る特別行動計画策定」
2000年12月15日、内閣により「重要インフラのサイバーテロ対策に係る 特別行動計画」が策定されました。同年 1月に、中央省庁のウェブペー ジが次々と書き換えられた事件をきっかけに、日本政府としてはじめて、 サイバーテロ対策のための行動計画を策定したものです。 対象とする重要インフラ分野は、策定当初 7分野でしたが、その後の見 直しにより 3分野が追加され、情報通信、金融、航空、鉄道、電力、ガ ス、政府・行政サービス (地方公共団体を含む)、医療、水道、物流の 10分野となっています。 この重要インフラのサイバーテロ対策を含む情報セキュリティ政策は、 情報セキュリティセンター (NISC、設置当時の名称は「情報セキュリティ 対策推進室」) により、推進されています。
参考文献 (日本語)
内閣官房情報セキュリティセンター
重要インフラ対策チーム
http://www.nisc.go.jp/active/infra/index.html内閣官房情報セキュリティセンター
重要インフラ防護のためのサイバーテロ対策
http://www.nisc.go.jp/active/sisaku/terro-taisaku.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/