JPCERT-WR-2008-0301

JPCERT/CC

2008-01-23

<<< JPCERT/CC WEEKLY REPORT 2008-01-23 >>>

■01/13(日)〜01/19(土) のセキュリティ関連情報

目　次

【1】Apple QuickTime に複数の脆弱性

【2】2008年1月 Oracle Critical Patch Update について

【3】複数のデバイスに UPnP に起因する脆弱性

【4】Linux カーネルの VFS に脆弱性

【5】apt-listchanges に脆弱性

【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報

【今週のひとくちメモ】Internet Explorer 7 の自動更新による配布

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr080301.txt
https://www.jpcert.or.jp/wr/2008/wr080301.xml

【1】Apple QuickTime に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-016A.html

US-CERT Cyber Security Alert SA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-016A.html

概要

Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の
第三者が細工した HTML 文書を閲覧させることで、任意のコードを実行
したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま
す。

対象となる製品は以下の通りです。

- Apple Mac OS X 版 QuickTime 7.4 より前のバージョン
- Microsoft Windows 版 QuickTime 7.4 より前のバージョン 

なお、iTunes など QuickTime を使用するソフトウェアをインストール
している場合も影響を受けます。詳細については、Apple が提供する情
報を参照してください。

この問題は、Apple が提供する修正済みのバージョン 7.4 に、
QuickTime を更新することで解決します。なお、JPCERT/CC REPORT
2008-01-17号【2】で紹介した脆弱性に関して Apple からは言及されて
いません。

【2】2008年1月 Oracle Critical Patch Update について

情報源

US-CERT Technical Cyber Security Alert TA08-017A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-017A.html

CIAC Bulletin S-117
Oracle Critical Patch Update - January 2008
http://www.ciac.org/ciac/bulletins/s-117.shtml

概要

Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報
を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が
あります。なお、これらの影響は対象製品やコンポーネント、設定等に
より異なります。

詳細については Oracle が提供する情報を参照してください。

この問題は、Oracle が提供するパッチを該当する製品に適用すること
で解決します。

なお、次回の Oracle Critical Patch Update は、2008年4月にリリー
スされる予定です。

【3】複数のデバイスに UPnP に起因する脆弱性

情報源

US-CERT Vulnerability Note VU#347812
UPnP enabled by default in multiple devices
http://www.kb.cert.org/vuls/id/347812

CIAC Bulletin S-120
Universal Plug and Play Vulnerability
http://www.ciac.org/ciac/bulletins/s-120.shtml

概要

複数のベンダの UPnP (Universal Plug and Play)をサポートするデバ
イスには、UPnP プロトコルに起因する脆弱性があります。結果として、
遠隔の第三者が細工した HTML 文書を閲覧させることで、UPnP が有効
になっているデバイスを操作したり、設定を変更したりする可能性があ
ります。なお、本件に関しては攻撃方法に関する情報が公開されていま
す。

2008年1月22日現在、この問題に対する解決策は提供されていません。

回避策としては、デバイスなどの UPnP 機能を無効にしたり、Mozilla
Firefox では、NoScript 拡張によりスクリプトやプラグインの実行を
許可するサイトを限定したりする方法などがあります。例えば、
Microsoft Windows XP で UPnP サービスを無効にする方法については、
下記関連文書 MS07-019 に記載されている回避策を参照してください。

【4】Linux カーネルの VFS に脆弱性

情報源

CIAC Bulletin S-121
VFS Vulnerability
http://www.ciac.org/ciac/bulletins/s-121.shtml

概要

Linux カーネルの VFS には、脆弱性があります。結果として、ローカ
ルユーザが任意のファイルにアクセスしたり、権限を昇格したりする可
能性があります。

対象となるバージョンは以下の通りです。

- バージョン 2.6.22.16 以前の Linux kernel
- バージョン 2.6.23.14 以前の Linux kernel 2.6.23.x 系

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに Linux カーネルを更新することで解決します。詳細につ
いては、ベンダや配布元が提供する情報を参照してください。

【5】apt-listchanges に脆弱性

情報源

CIAC Bulletin S-119
apt-listchanges Vulnerability
http://www.ciac.org/ciac/bulletins/s-119.shtml

概要

Debian のパッケージ変更履歴通知ツール apt-listchanges には、脆弱
性があります。結果として、ローカルユーザが任意のコードを実行する
可能性があります。

対象となるバージョンは以下の通りです。

- apt-listchanges 2.82 より前のバージョン

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに apt-listchanges を更新することで解決します。詳細に
ついては、ベンダや配布元が提供する情報を参照してください。

【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報

情報源

CIAC Bulletin S-116
HP-UX Running X Font Server (xfs) Software
http://www.ciac.org/ciac/bulletins/s-116.shtml

概要

JPCERT/CC REPORT 2007-10-17 号【6】で紹介した「X Font Server に
整数オーバーフローの脆弱性」に関する追加情報です。

HP が HP-UX に関して修正済みのバージョンを公開しました。詳細につ
いては、HP が提供する情報を参照してください。

■今週のひとくちメモ

○Internet Explorer 7 の自動更新による配布

Microsoft は 2008年2月13日から、Internet Explorer 7 (IE7) 日本語
版の自動更新による配布を開始すると発表しています。

業務アプリケーションなどで Internet Explorer を使用している場合
は、事前に IE7 で動作を確認することをおすすめします。

動作が確認できないなどの理由により IE7 に自動更新したくない場合
は、Microsoft が提供する自動配布の無効化ツールキットを使用して、
IE7 への自動更新をブロックすることが可能です。

参考文献 (日本語)

Microsoft TechNet
Internet Explorer 7 の自動更新による配布
http://www.microsoft.com/japan/technet/updatemanagement/windowsupdate/ie7announcement.mspx

Microsoft ダウンロードセンター
自動配布の無効化ツールキット (Blocker Toolkit)
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C12D92F-808D-4C21-96CA-DC191A0A8E41&displaylang=ja

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2008-01-23号

<<< JPCERT/CC WEEKLY REPORT 2008-01-23 >>>

■01/13(日)〜01/19(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

情報源

概要

関連文書 (日本語)

関連文書 (英語)

○Internet Explorer 7 の自動更新による配布

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次