-----BEGIN PGP SIGNED MESSAGE----- Translations of CA-96.06.cgi_example_code, (c) 1996,1997 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of the Japan Computer Emergency Response Team/Coordination Center. The SEI has not participated in this translation. The CERT* Advisories and other CERT publications are available on the Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may learn about the latest updates to these publications at these locations. *Registered in the U.S. Patent and Trademark Office. ============================================================================= CERT(*) Advisory CA-96.06 Original issue date: March 20, 1996 Last reviresed: September 24,1997 Updated copyright statement A complete revision history is at the end of this file. Topic: Vulnerability in NCSA/Apache CGI example code - ------------------------------------------------------------------------------ ============================================================================= CERT(*) 勧告 CA-96.06 初版: 1996年3月20日 最終改訂: 1997年9月24日 著作権表示の部分を更新した。 完全な改訂履歴はこの勧告の最後に添付されている。 主題: NCSA/Apache CGI サンプルコードのセキュリティ上の弱点 - ------------------------------------------------------------------------------ The text of this advisory was originally released on March 14, 1996, as AUSCERT Advisory AA-96.01, developed by the Australian Computer Emergency Response Team. Because of the seriousness of the problem, we are reprinting the AUSCERT advisory here with their permission. Only the contact information at the end has changed: AUSCERT contact information has been replaced with CERT/CC contact information. 本勧告は、1996年3月14日に Australian Computer Emergency Response Team が 発行した AUSCERT Advisory AA-96.01 である。この文書に書かれている問題は 重大であるため、AUSCERT の許可を得てここに転載する。最後にある連絡先の情 報が AUSCERT から CERT/CC のものに変更されたが、その他に変更箇所はない。 We will update this advisory as we receive additional information. Please check advisory files regularly for updates that relate to your site. 新たな情報を得た場合は、この勧告を更新する。自分のサイトに関連した勧告の 改訂に備え、定期的に勧告を確認して頂きたい。 Note: The vulnerability described in this advisory is being actively exploited. 注意: この勧告で説明するセキュリティ上の弱点は、現在盛んに攻撃が行われて いる。 ============================================================================= The Australian Computer Emergency Response Team (AUSCERT) has received information that example CGI code, as found in the NCSA 1.5a-export and APACHE 1.0.3 httpd (and possibly previous distributions of both servers), contains a security vulnerability. Programs using this code may be vulnerable to attack. Australian Computer Emergency Response Team (AUSCERT) は、NCSA 1.5a-export と APACHE 1.0.3 httpd で (そしておそらく両サーバの以前の配布でも) 提供され ている CGI のサンプルコードにセキュリティ上の弱点があると報告を受けた。この コードを利用しているプログラムには弱点がある可能性がある。 The CGI program "phf", included with those distributions, is an example of such a vulnerable program. This program may have been installed as part of the installation process for the httpd. これらの配布パッケージに含まれている CGI プログラム "phf" は、セキュリティ 上の弱点を持つプログラムの例である。このプログラムは、httpd をインストール する過程で自動的にインストールされている可能性がある。 AUSCERT recommends that sites that have installed any CGI program incorporating the vulnerable code (such as "phf") apply one of the workarounds as described in Section 3. AUSCERT は、("phf" のような) セキュリティ上の弱点があるコードを含んだCGI プ ログラムをインストールしているサイトに対し、3 章で説明する対策の1 つを講じ るよう推奨する。 - ----------------------------------------------------------------------------- 1. Description 1. 解説 A security vulnerability has been reported in example CGI code, as provided with the NCSA httpd 1.5a-export and APACHE httpd 1.0.3 (and possibly previous distributions of both servers). The example code contains a library function escape_shell_cmd() (in cgi-src/util.c). This function, which attempts to prevent exploitation of shell-based library calls, such as system() and popen(), contains a vulnerability. NCSA 1.5a-export と APACHE 1.0.3 httpd で (そしておそらく両サーバの以前 の配布でも) 提供されている CGI のサンプルコードにセキュリティ上の弱点が あると報告された。このサンプルコードには、(cgi-src/util.c の) escape_shell_cmd() というライブラリ関数が含まれている。この関数は、 system() や popen() などのシェルを利用するライブラリ呼出しの悪用を防ぐ ための関数であるが、セキュリティ上の弱点がある。 Any program which relies on escape_shell_cmd() to prevent exploitation of shell-based library calls may be vulnerable to attack. シェルを起動するライブラリ関数の悪用の防止を escape_shell_cmd() 関数に 依存しているプログラムは全て、攻撃に対してセキュリティ上の弱点がある。 In particular, this includes the "phf" program which is also distributed with the example code. Some sites may have installed phf by default, even though it is not required to run httpd successfully. 特に、サンプルコードとして配布されている "phf" というプログラムにもセキュ リティ上の弱点がある。いくつかのサイトでは、httpd の運用上必要ないにも かかわらず、"phf" を標準でインストールしているかもしれない。 Any vulnerable program which is installed as a CGI application may allow unauthorised activity on the HTTP server. セキュリティ上の弱点を持つプログラムが CGI アプリケーションとしてインス トールされていると、HTTP サーバ上で不正な行為を許す可能性がある。 Please note that this vulnerability is not in httpd itself, but in CGI programs which rely on the supplied escape_shell_cmd() function. Any HTTP server (not limited to NCSA or Apache) which has installed CGI programs which rely on escape_shell_cmd() may be vulnerable to attack. このセキュリティ上の弱点は httpd に存在するのではなく、提供されている関 数 escape_shell_cmd() に依存する CGI に存在することに注意すること。 (NCSA や Apache に限らず) どのような HTTP サーバーであったとしても、関 数 escape_shell_cmd() に依存している CGI プログラムをインストールしてい るならば、攻撃に対してセキュリティ上の弱点がある可能性がある。 Sites which have the source code to their CGI applications available can determine whether their applications may be vulnerable by examining the source for usage of the escape_shell_cmd() function which is defined in cgi-src/util.c. CGI アプリケーションのソースコードを所有しているサイトは、 cgi-src/util.c で定義されている関数 escape_shell_cmd() の呼出しの有無を 調べることによって、アプリケーションにセキュリティ上の問題があるか判断 できる。 Sites which do not have the source code for their CGI applications should contact the distributors of the applications for more information. CGI アプリケーションのソースコードを所有していないサイトは、より詳細な 情報を得るためにアプリケーションの配布元に連絡を取るべきである。 It is important to note that attacks similar to this may succeed against any CGI program which has not been written with due consideration for security. Sites using HTTP servers, and in particular CGI applications, are encouraged to develop an understanding of the security issues involved. References in Section 4 provide some initial pointers in this area. セキュリティを意識せずに書かれた CGI プログラムは、類似の攻撃に対して弱 点を持つ可能性があることを心に留めるのは重要である。HTTP サーバを運用し ている、特に CGI アプリケーションを使用しているサイトは、関係するセキュ リティ問題に理解を深めることを奨励する。4 章で述べる参考文献は、この分 野の出発点を提供している。 2. Impact 2. 影響 A remote user may retrieve any world readable files, execute arbitrary commands and create files on the server with the privileges of the httpd process which answers HTTP requests. This may be used to compromise the http server and under certain configurations gain privileged access. セキュリティ上の弱点の影響として、リモートのユーザに「全てのユーザが読 み出し可能なファイルが読み出される」、「HTTP リクエストに応答する httpd プロセスの権限で任意のコマンドが実行される」、「HTTP リクエストに応答す る httpd プロセスの権限でサーバ上にファイルが作成される」などの可能性が ある。http サーバがこれらの攻撃を受けると、場合によっては特権アクセスが 盗まれてしまう。 3. Workarounds 3. 対策 The use of certain C library calls (including system() and popen()) in security critical code (such as CGI programs) has been a notorious source of security vulnerabilities. Good security coding practice usually dictates that easily exploitable system or library calls should not be used. While secure CGI coding techniques are beyond the scope of this advisory many useful guidelines are available. (CGI プログラムのような) セキュリティ上の危険性が高いコードの中で、 (system() や popen() を含む) 特定の C ライブラリの呼出しは、セキュリティ 上の弱点を引き起こす原因として知れわたっている。セキュリティを保全する コーディングは、経験的にいって簡単に悪用できるシステムやライブラリ呼出 しを利用すべきではない。安全な CGI コーディングの技術はこの勧告の範囲外 であるが、有益なガイドラインがたくさん存在する。 Sites planning to install or write their own CGI programs are encouraged to read the references in Section 4 first. 独自の CGI プログラムをインストールする、あるいは、書く予定のあるサイト は、まず 4 章で述べる参考文献を読むことを奨励する。 3.1. Remove CGI programs 3.1. CGI プログラムを排除する Any CGI program which uses the escape_shell_cmd() function and is not required should be disabled. This may be accomplished by removing execute permissions from the program or removing the program itself. escape_shell_cmd() 関数を呼び出す CGI プログラムで必要のないものは、利 用不可能にするべきである。これは、プログラムの実行権を削除するか、プロ グラムそのものを消去することで実現できるだろう。 In particular, sites which have installed the "phf" program and do not require it should disable it. The "phf" program is not required to run httpd successfully. Sites requiring "phf" functionality should apply one of the workarounds given in sections 3.2 and 3.3. 特に、必要のない "phf" プログラムをインストールしているサイトは、これを 利用不可能にするべきである。"phf" プログラムは、httpd の運用に必要のあ るものではない。"phf" の機能を必要とするサイトは、3.2 章か 3.3 章で述べ る対策から 1 つを講じること。 3.2. Rewrite CGI programs 3.2. CGI プログラムを修正する The intent of the escape_shell_cmd() function is to prevent passing shell meta-characters to susceptible library calls. A more secure approach is to avoid the use of these library calls entirely. escape_shell_cmd() 関数の意図は、シェルのメタ文字が弱点となるライブラリ 呼出しへ渡るのを防ぐことである。より安全な方法は、これらのライブラリの 呼出しを完全に避けることである。 AUSCERT recommends that sites which are currently using CGI programs which use shell-based library calls (such as system() and popen()) consider rewriting these programs to remove direct calls to easily compromised library functions. (system() や popen() のような) シェルを起動するライブラリ関数を呼び出す CGI プログラムを現在使っているサイトは、これら容易に悪用されやすいライ ブラリ関数を直接呼び出している部分を削除するようにプログラムを書き直す ことを AUSCERT は推奨する。 Sites should note that this is only one aspect of secure programming practice. More details on this approach and other guidelines for secure CGI programming may be found in the references in Section 4. これは、安全なプログラムを書くための実践の 1 つにすぎないことに注意する べきである。この方法の詳細や安全な CGI プログラミングのためのガイドライ ンは、4 章で掲げる参考文献に掲載されている。 3.3. Recompile CGI programs with patched util.c 3.3. パッチの当たった util.c とともに CGI プログラムを再コンパイルする For sites that still wish to use programs using the escape_shell_cmd() function, a patched version of cgi-src/util.c has been made available by NCSA which addresses this particular vulnerability. The patched version of util.c is available as part of the http1.5.1b3-export distribution. This is available from: それでも escape_shell_cmd() 関数を使ったプログラムを利用したい場合は、 このセキュリティ上の弱点を解決するパッチの当たった cgi-src/util.c が NCSA から入手できる。パッチの当たった util.c は、http1.5.1b3-export の 配布の一部として入手できる。 http://hoohoo.ncsa.uiuc.edu/beta-1.5 Please note that this is a beta-release of the NCSA httpd and is not a stable version of the httpd. The patched version of cgi-src/util.c may be used independently. これは NCSA httpd のベータリリースであり、安定したバージョンではないこ とに注意すること。おそらくパッチの当たった cgi-src/util.c を独立に利用 できるだろう。 CGI programs which are required and use the escape_shell_cmd() should be recompiled with the new version of cgi-src/util.c and then reinstalled. 必要不可欠な CGI プログラムが escape_shell_cmd() を使っている場合は、新 しい cgi-src/util.c と共に再コンパイルし、再インストールすべきである。 Apache have reported that they intend to fix this vulnerability in a future release. Until then the patched version of util.c as supplied in the http1.5.1b3-export release should be compatible. Apache は、将来のリリースでこのセキュリティ上の弱点を修正したいと報告し ている。それまでは、http1.5.1b3-export リリースで提供されているパッチの 当たった util.c を移植するべきである。 4. Additional measures 4. その他の対策 Sites should consider taking this opportunity to examine their httpd configuration. In particular, all CGI programs that are not required should be removed, and all those remaining should be examined for possible security vulnerabilities. この機会に、httpd の設定を見直すとよい。特に、必要ない全ての CGI プロ グラムを取り除くべきである。また、残る全てのプログラムのセキュリティ上 の弱点を検査するべきである。 It is also important to ensure that all child processes of httpd are running as a non-privileged user. This is often a configurable option. See the documentation for your httpd distribution for more details. また、httpd の子プロセスが非特権ユーザとして実行されていることを確認す るのも重要である。多くの場合は、設定オプションで実現できる。より詳細な 説明は httpd の配布に含まれる説明書を参照のこと。 Numerous resources relating to WWW security are available. The following pages provide a useful starting point. They include links describing general WWW security, secure httpd setup and secure CGI programming. 多数のWWW セキュリティに関する情報が入手可能である。以下のページは、有 益な出発点を提供している。これらは、WWW セキュリティ一般、httpd の安全 な設定方法、CGI の安全なプログラム方法へのリンクを含んでいる。 The World Wide Web Security FAQ: http://www-genome.wi.mit.edu/WWW/faqs/www-security-faq.html NSCA's "Security Concerns on the Web" Page: http://hoohoo.ncsa.uiuc.edu/security/ The following book contains useful information including sections on secure programming techniques. 以下の本は、安全なプログラミング技術に関する章を設けて有益な情報を提供 している。 "Practical Unix & Internet Security", Simson Garfinkel and Gene Spafford, 2nd edition, O'Reilly and Associates, 1996. Please note that the URLs referenced in this advisory are not under AUSCERT's control and therefore AUSCERT cannot be responsible for their availability or content. Please contact the administrator of the site in question if you encounter any difficulties with the above sites. この勧告で参照している URL は AUSCERT が管理していないため、AUSCERT は 利用可能状況や内容に関して責任を負うことは不可能である。上記のサイトに 関してなんらかの問題があった場合は、そのサイトの管理者に連絡を取って頂 きたい。 - ----------------------------------------------------------------------------- AUSCERT thanks Jeff Uphoff of NRAO, IBM-ERS, NASIRC and Wolfgang Ley of DFN-CERT for their assistance. - ----------------------------------------------------------------------------- - ----------------------------------------------------------------------------- AUSCERT は、NRAO の Jeff Uphoff 氏、IBM-ERS、NASIRC、そして DFN-CERT の Wolfgang Ley 氏の助力に感謝する。 - ----------------------------------------------------------------------------- The AUSCERT team have made every effort to ensure that the information contained in this document is accurate. However, the decision to use the information described is the responsibility of each user or organisation. The appropriateness of this document for an organisation or individual system should be considered before application in conjunction with local policies and procedures. AUSCERT takes no responsibility for the consequences of applying the contents of this document. AUSCERT はこの文書に書かれている情報が正確であることに努めているが、この情 報は各ユーザや組織の責任において利用していただきたい。この文書の内容を組織 や個人のシステムに適用することがふさわしいかどうか、作業を行う前に、組織の 方針や手順に従って考慮するべきである。この文書の内容を適用したことによって 起こりうる結果に対して、AUSCERT はなんら責任を持たない。 ============================================================================== CERT Contact Information - ------------------------ CERT へのコンタクト方法 - ----------------------- If you believe that your system has been compromised, contact the CERT Coordination Center or your representative in the Forum of Incident Response and Security Teams (FIRST). もし、自分のサイトのシステムが侵入されたと思ったときは、CERT コーディネーショ ンセンター、あるいは近くの FIRST (Forum of Incident Response and Security Teams) 加盟チームに連絡して欲しい。 We strongly urge you to encrypt any sensitive information you send by email. The CERT Coordination Center can support a shared DES key and PGP. Contact the CERT staff for more information. 電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT コー ディネーションセンターは、DES と PGP を使用できる。詳細は CERT スタッフに問 い合わせて欲しい。 Location of CERT PGP key CERT の PGP 公開鍵の入手場所 ftp://info.cert.org/pub/CERT_PGP.key Email cert@cert.org Phone +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA 電子メール cert@cert.org 電話 +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. ファックス +1 412-268-6989 住所 CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA To be added to our mailing list for CERT advisories and bulletins, send your email address to CERT 勧告と公報を提供するメーリングリストを購読したい場合は、次のアドレスに 自分の電子メールアドレスを書いて送って欲しい。 cert-advisory-request@cert.org CERT publications, information about FIRST representatives, and other security-related information are available for anonymous FTP from CERT の発行文書、FIRST に関する情報、その他セキュリティに関する情報は、 anonymous FTP により以下から入手できる。 ftp://info.cert.org/pub/ CERT advisories and bulletins are also posted on the USENET newsgroup CERT 勧告と公報は、USENET の次のニュースグループにも投稿されている。 comp.security.announce - ------------------------------------------------------------------------------ Copyright 1996,1997 Carnegie Mellon University. Conditions for use, disclaimers, and sponsorship information can be found in http://www.cert.org/legal_stuff.html and ftp://ftp.cert.org/pub/legal_stuff . If you do not have FTP or web access, send mail to cert@cert.org with "copyright" in the subject line. Copyright 1996,1997 Carnegie Mellon University. 使用条件、免責事項、スポン サーとの契約に関する情報については、http://www.cert.org/legal_stuff.html あ るいは ftp://ftp.cert.org/pub/legal_stuff から入手できる。もし、FTP や web によるアクセスが不可能な場合は、cert@cert.org 宛にメールを送って欲しい。そ のときにはサブジェクト行に "copyright" と書くこと。 CERT is registered in the U.S. Patent and Trademark Office. CERT は合衆国特許商標庁に登録済みである。 ============================================================================ UPDATES 更新 Similar attacks may succeed against other cgi scripts if the scripts are written without appropriate care regarding security issues. We encourage sites to evaluate all programs in their cgi-bin directory and remove any scripts that are not in active use. セキュリティの問題へ適切な配慮をすることなく書かれた他の cgi スクリプトに対 しても、同様の攻撃が成功するかもしれない。サイトの cgi-bin ディレクトリにあ る全てのプログラムを評価し、使用していないスクリプトを削除することを奨励す る。 We would like to point out that along with "phf" we have received reports that "php" programs are also being exploited. "phf" だけでなく "php" プログラムも悪用されているという報告を受け取っている ことを指摘しておきたい。 CERT/CC received the following update from NASIRC concerning the vulnerability described in this advisory: CERT/CC は、この勧告で説明されているセキュリティ上の弱点に関する以下の 情報を NASIRC から受け取った。 NEW INFORMATION 新情報 The routine "escape_shell_cmd()" also occurs in the file "src/util.c". Note that the files "cgi-src/util.c" and "src/util.c" are not identical, however they both contain an identical copy of the routine "escape_shell_cmd()", which has the vulnerability. The file "src/util.c" is used to build the HTTP daemon, therefore the "newline" hole exists within the server. "escape_shell_cmd()" ルーチンは、"src/util.c" にもある。 "cgi-src/util.c" と "src/util.c" は同一のファイルではないが、両者はセ キュリティ上の弱点のある同一の "escape_shell_cmd()" ルーチンを含んでい ることに注意して欲しい。"src/util.c" は HTTP デーモンを作る際に使われ るので、サーバには「改行」に関するセキュリティホールが存在する。 PATCH パッチ The patch recommended by NCSA modifies the routine "escape_shell_cmd()" to expand the list of characters that it will escape. In the routine "escape_shell_cmd()", the line: NCSA が推奨しているパッチは、"escape_shell_cmd()" ルーチンがエスケー プする文字列を拡張するように修正を施す。"escape_shell_cmd()" ルーチ ンの if(ind("&;`'\"|*?~<>^()[]{}$\\",cmd[x]) != -1){ Must be changed to: という行は、以下のように変更する必要がある。 if(ind("&;`'\"|*?~<>^()[]{}$\\\n",cmd[x]) != -1){ NCSA HTTPD 1.5.1 Instead of patching the source, the most up-to-date version of NCSA HTTPd source may be downloaded from: ソースにパッチを当てる代わりとして、最新の NCSA HTTPd のソースが以下か ら入手可能である。 ftp://ftp.ncsa.uiuc.edu/Web/httpd/Unix/ncsa_httpd/current/httpd_1.5.1-export_source.tar.Z MD5 (httpd_1.5.1-export_source.tar.Z) = bcf1fd410b5839c51dc75816a155fbb8 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Revision history Sep. 24, 1997 Updated copyright statement June 4, 1997 Updates section - added information about other cgi programs being exploited. Aug. 30, 1996 Information previously in the README was inserted into the advisory. Apr. 17, 1996 Updates section - added new information provided by the NASA Automated Systems Incident Response Capability (NASIRC). ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 改訂履歴 1997年9月24日 著作権表示の部分を更新した。 1997年6月4日 「更新」の章 - 他の cgi プログラムが悪用されている情報を追加 した。 1996年8月30日 以前 README に記載されていた情報がこの勧告に盛り込まれた。 1996年4月17日 「更新」の章 - NASA Automated Systems Incident Response Capability (NASIRC) によって提供された情報を追加した。 - ---------------------------------------------------------------------------- JPCERT/CC 改訂履歴 2000年8月25日 最新情報の URL の更新 1999年8月9日 ヘッダの誤字の修正。 フッタの更新。 1998年3月11日 初版 ====================== この文書の取扱に関する注意事項 ====================== この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し た文書です。この翻訳文書を商業目的に使用することを禁止します。また JPCERT/CC の許諾なく再配布することを禁止します。 翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、 JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。 info@jpcert.or.jp この翻訳文書は、随時更新される可能性がありますので、最新情報について は、次を参照してください。 http://www.jpcert.or.jp/tr/cert_advisories/ また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参 照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が 最新情報です。 ===================== JPCERT/CC からのお知らせとお願い ===================== 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告 様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド レスまでお送りください。 info@jpcert.or.jp 報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を ご参照下さい。 http://www.jpcert.or.jp/contact.html JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、次の URL を ご参照ください。 http://www.jpcert.or.jp/ JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参 照ください。 http://www.jpcert.or.jp/announce.html __________ 注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定 の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、 個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お 答えできる場合でもご回答が遅れる可能性があります。 JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、 正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情 報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動 によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC は何ら保証致しません。 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaXneox1ay4slNTtAQHIBgP+IigUOqfAA1Y8OHHQ/DrYUpqLSwJHLe72 Dwr/e2mxsxUkP3iaVXuRxz2QyUlhrloZmuzAf1DMAI3YndvRZa0iPUUoZWyaLdok E/c+uQo1DsYMOMenz2BRJud2rJKYfgmN7TcqItHaoZt10ECAkL2NDY3UPvY3lzhV 1O7Eoh/oWYg= =GUJ0 -----END PGP SIGNATURE-----