JPCERT コーディネーションセンター

Weekly Report 2007-11-07号

JPCERT-WR-2007-4301
JPCERT/CC
2007-11-07

<<< JPCERT/CC WEEKLY REPORT 2007-11-07 >>>

■10/28(日)〜11/03(土) のセキュリティ関連情報

目 次

【1】RealPlayer 製品に複数の脆弱性

【2】CUPS にバッファオーバーフローの脆弱性

【3】SonicWall NetExtender の NELaunchCtrl ActiveX コントロールにスタックバッファオーバーフローの脆弱性

【4】Internet Week 2007 のお知らせ

【今週のひとくちメモ】夏時間 (Daylight Saving Time)

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr074301.txt
https://www.jpcert.or.jp/wr/2007/wr074301.xml

【1】RealPlayer 製品に複数の脆弱性

情報源

RealNetworks Customer Support
RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/10252007_player/ja/

概要

RealNetworks のマルチメディアプレーヤー RealPlayer には、複数の
ファイル形式の処理においてバッファオーバフローの脆弱性があります。
結果として、遠隔の第三者が細工したマルチメディアファイルをユーザ
に開かせることで、ユーザの権限で任意のコードを実行する可能性があ
ります。

対象となる製品およびバージョンについては RealNetworks の提供する
情報を参照してください。なお Windows, Mac OS X, Linux の全てのプ
ラットフォームで影響を受ける製品が存在します。

この問題は、RealNetworks が提供する修正済みのバージョンに、該当
する製品を更新することで解決します。詳細については、RealNetworks 
が提供する情報を参照してください。

なお、本件は JPCERT/CC REPORT 2007-10-24 号【2】で紹介した
「RealPlayer 製品に脆弱性」とは別の問題です。

関連文書 (日本語)

@police
RealPlayer の脆弱性について(10/29)
http://www.cyberpolice.go.jp/important/2007/20071029_111937.html

【2】CUPS にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#446897
CUPS buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/446897

CIAC Bulletin S-032
CUPS Security Update and Bug Fix Update
http://www.ciac.org/ciac/bulletins/s-032.shtml

概要

CUPS には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工をした IPP リクエストを CUPS サーバに処理させ
ることで、CUPS サーバを実行しているユーザの権限で任意のコードを
実行する可能性があります。

対象となるバージョンは以下の通りです。

- CUPS 1.3.3 およびそれ以前

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに CUPS を更新することで解決します。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#446897
CUPS におけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23446897/index.html

関連文書 (英語)

Common UNIX Printing System
Article #508: Common UNIX Printing System 1.3.4
http://www.cups.org/articles.php?L508

Red Hat Security Advisory RHSA-2007:1020-3
Important: cups security and bug fix update
https://rhn.redhat.com/errata/RHSA-2007-1020.html

【3】SonicWall NetExtender の NELaunchCtrl ActiveX コントロールにスタックバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#298521
SonicWall NetExtender NELaunchCtrl ActiveX control stack buffer overflow
http://www.kb.cert.org/vuls/id/298521

概要

SonicWall NetExtender の NELaunchCtrl ActiveX コントロールには、
スタックバッファオーバーフローの脆弱性があります。結果として、遠
隔の第三者が細工した HTML 文書をユーザに閲覧させることで、ユーザ
の権限で任意のコードを実行する可能性があります。なお、本件に関し
ては攻撃方法に関する情報が公開されています。

対象となる製品およびバージョンは以下の通りです。

- SonicWall SSL-VPN 2000 シリーズおよび 4000 シリーズのバージョン
  2.5 以前のファームウェアに含まれている NetExtender モジュール
- SonicWall SSL-VPN 200 シリーズの 2.1 Patch Build 以前のファーム
  ウェアに含まれている NetExtender モジュール

この問題は、SonicWall が提供する修正済みのバージョンに、該当する
製品のファームウェアを更新することで解決します。なお、クライアン
トは、該当する製品に接続して修正済みの ActiveX コントロールを取得
する必要があります。詳細については、SonicWall が提供する情報を参
照してください。

関連文書 (日本語)

SonicWall
サポート
http://www.sonicwall.com/japan/support/index.html

関連文書 (英語)

SonicWall (登録が必要です)
http://www.sonicwall.com/us/643.htm

SonicWall File Info & Download - Release Note
SonicWALL SSL VPN 2.5 Release Notes
http://www.sonicwall.com/downloads/SonicWALL_SSL-VPN_2.5_Release_Notes.pdf

SonicWall File Info & Download - Release Note
SonicWALL SSL-VPN 200 2.1
http://www.sonicwall.com/downloads/232-001177-00_Rev_A_SSL-VPN_200_2.1_Release_Notes.pdf

【4】Internet Week 2007 のお知らせ

情報源

Internet Week 2007
http://internetweek.jp/

概要

2007年11月19日(月) より 11月22日(木) まで、秋葉原コンベンション
ホールにおいて JPNIC 主催の Internet Week 2007 が開催されます。

JPCERT/CC は以下のプログラムで講演いたします。

- 11月21日 C4: 事業者がやってよいこと悪いことを考えよう
  16:00-17:00 (5) 違法・有害情報対策
  phishing や自殺サイトなど緊急性を要する場合のオペレーションに
  ついて語ります。

- 11月22日 C5: IP Meeting/Internet Forum 2007 
  11:10-11:50 (3) セキュリティ
  今年のホットなセキュリティ issue について述べます。

参加登録申込みについては、以下の Web ページをご参照ください。

事前申込締切は 11月9日(金) までとなっています。この期間にお申し
込みいただきますと、事前割引料金でご参加いただけます。

関連文書 (日本語)

Internet Week 2007 お申し込みに関して
http://internetweek.jp/timetable/apply.html

■今週のひとくちメモ

○夏時間 (Daylight Saving Time)

夏時間 (Daylight Saving Time) は国や地域により導入状況が異なりま
す。米国においては今年から夏時間の期間が延長され、各種 OS ベンダ
やソフトウェアベンダから対応パッチが提供されています。

今年から米国における夏時間は、開始日が 3週間早い 3月の第2日曜日、
終了日が 1週間遅い 11月の第1日曜日となりました。今年の夏時間は 3
月11日から 11月4日までとなります。

コンピュータシステムの時計はログの記録の時刻情報をはじめ、さまざ
まな場面で重要な役割を果たします。この機会に、お使いのシステムの
時刻情報の管理体制やタイムゾーンの設定が正しく行なわれているかを
確認することをお勧めします。

参考文献 (日本語)

Microsoft サポートオンライン
2007 年の米国の夏時間を構成する方法
http://support.microsoft.com/kb/914387/ja

Microsoft サポートオンライン
Microsoft Windows オペレーティングシステム用の 2007 年 8 月の累積的なタイムゾーン更新プログラム
http://support.microsoft.com/?scid=kb%3Bja%3B933360

Java.com 一般的な質問
米国夏時間調整の開始終了日変更 (2007 年) に伴う Java Runtime Environment への影響
http://www.java.com/ja/download/faq/dst.xml

参考文献 (英語)

SANS Internet Storm Center
Daylight Saving Time Reminder for the USA and Canada
http://isc.sans.org/diary.html?storyid=3571

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ
最新情報(RSSメーリングリストTwitter