-----BEGIN PGP SIGNED MESSAGE----- Translations of CA-96.10.nis+_configuration, (c) 1996,1997 by Carnegie Mellon University, with special permission from the Software Engineering Institute. Accuracy and interpretation of this translation are the responsibility of the Japan Computer Emergency Response Team/Coordination Center. The SEI has not participated in this translation. The CERT* Advisories and other CERT publications are available on the Internet (http://www.cert.org/ or ftp://info.cert.org/pub/). Readers may learn about the latest updates to these publications at these locations. *Registered in the U.S. Patent and Trademark Office. ============================================================================= CERT(*) Advisory CA-96.10 Original issue date: May 28, 1996 Last Revised: October 20, 1997 Vendor information for Sun has been added to the UPDATES section. A complete revision history is at the end of this file. Topic: NIS+ Configuration Vulnerability - ----------------------------------------------------------------------------- ============================================================================= CERT(*) 勧告 CA-96.10 初版: 1996年5月28日 最終改訂: 1997年10月20日 Sun のベンダ情報を「更新」の章に追加した。 完全な改訂履歴はこの勧告の最後に添付されている。 主題: NIS+ の設定に関するセキュリティ上の弱点 - ----------------------------------------------------------------------------- The text of this advisory was originally released by the Australian Emergency Response Team on May 20, 1996, and updated on May 27, 1996, as AUSCERT advisory AA-96.02a. 本勧告は、Australian Computer Emergency Response Team が1996年5月20日に 発行し、同年5月27日に更新した AUSCERT Advisory AA-96.02a である。 Because of the seriousness of the problem, we are reprinting the AUSCERT advisory here with their permission. Only the contact information at the end has changed: AUSCERT contact information has been replaced with CERT/CC contact information. この文書に書かれている問題は重大であるため、AUSCERT の許可を得てここに転 載する。最後にある連絡先の情報が AUSCERT から CERT/CC のものに変更された が、その他に変更箇所はない。 We will update this advisory as we receive additional information. Please check advisory files regularly for updates that relate to your site. 新たな情報を得た場合は、この勧告を更新する。自分のサイトに関連した勧告の 改訂に備え、定期的に勧告を確認して頂きたい。 ============================================================================= AUSCERT has received information that a vulnerability exists under some configurations of NIS+. In vulnerable installations of NIS+, the access rights on the NIS+ passwd table are left in an unsecure state. AUSCERT は、NIS+ の設定方法が原因で、セキュリティ上の弱点が発生するという情 報を受け取った。NIS+ のインストール方法に問題があると、NIS+ のパスワードテー ブルへのアクセス権が安全でない状態のままになってしまう。 This vulnerability is known to exist in NIS+ installations initially created on Solaris 2.5 servers. Similar vulnerabilities in NIS+ configurations may also exist in previous versions of Solaris 2. このセキュリティ上の弱点は、Solaris 2.5 サーバ上に初めて NIS+ をインストー ルする際に発生することが知られている。NIS+ の設定に関する同様のセキュリティ 上の弱点は、Solaris 2.5 以前のバージョンのSolaris 2 にも存在する可能性があ る。 This vulnerability may allow any user with valid NIS+ credentials to gain root privileges. このセキュリティ上の弱点が悪用されると、NIS+ に認証された任意のユーザに root 権限を盗まれる可能性がある。 AUSCERT recommends that any site which has NIS+ installed take this opportunity to check their installations and apply the appropriate workarounds as described in Section 3. NIS+ を使っているサイトはこれを機会にインストール方法を見直すと共に、3 章で 述べる適切な対策を講じることを AUSCERT は推奨する。 ** This updated advisory contains clarifications for sites requiring password ** aging facilities and sites running their NIS+ servers in NIS compatibility ** mode. ** 更新された本勧告には、パスワードのエイジング機能を必要としているサイトと ** NIS+ サーバを NIS 互換モードで運用しているサイトのための解説が含まれてい ** る。 - ----------------------------------------------------------------------------- 1. Description 1. 解説 NIS+ provides distributed network access to information sources such as password, group and host information. It maintains this information in the form of NIS+ tables. NIS+ tables contain the administrative information normally supplied by local files (such as /etc/passwd). As with the standard Unix administration files, setting secure permissions on the NIS+ tables is of utmost importance in maintaining system security. NIS+ は、分散ネットワーク環境において、パスワード、グループあるいはホス トなどの情報ソースへのアクセス機能を提供するシステムである。これらの情 報は、NIS+ テーブル形式で管理され、テーブルには (/etc/passwd のような) 通常はローカルファイルで供給される管理情報が登録される。標準 Unix の管 理ファイルと同様、NIS+ テーブルに安全なパーミッションを設定することは、 システムセキュリティを保全するためにきわめて重要である。 NIS+ provides a comprehensive set of access rights for NIS+ tables. This includes permissions not only on NIS+ tables but also individual columns and entries in those tables. Due to the added complexity, sites need to be particularly diligent in ensuring that permissions on NIS+ tables (and associated entries and columns) are secure. NIS+ は NIS+ テーブルへの包括的な一連のアクセス権を提供する。それには NIS+ テーブルへのアクセス権だけでなく、テーブル内の各カラムへのアクセス 権や各エントリへのアクセス権が含まれる。この複雑さのために、サイトは NIS+ テーブル(と関連するエントリやカラム)のパーミッション設定の安全性 を入念に確かめる必要がある。 AUSCERT encourages sites running NIS+ to gain a good understanding of the permission model used by NIS+. A complete description may be found in the NIS+ documentation set. The rest of this advisory assumes a good understanding of NIS+ permission controls. AUSCERT は、NIS+ を利用しているサイトに対し、NIS+ で使われているアクセ ス権モデルを深く理解するよう奨励する。完全な説明は、NIS+ の説明書に掲載 されているだろう。以降では、読者が NIS+ のアクセス制御を熟知していると 仮定して解説を続ける。 AUSCERT has received information that under some installations of NIS+ the permissions on the NIS+ passwd table are left in an unsecure state. AUSCERT は、NIS+ をある種の方法でインストールすると、NIS+ のパスワード テーブルのパーミッションが安全でない状態のままになってしまうという情報 を受け取った。 This vulnerability is known to exist in NIS+ installations initially created on Solaris 2.5 servers. Similar vulnerabilities in NIS+ configurations may also exist in previous versions of Solaris 2. このセキュリティ上の弱点は、Solaris 2.5 サーバ上に初めて NIS+ をインス トールする際に発生することが知られている。NIS+ の設定に関する同様のセキュ リティ上の弱点は、Solaris 2.5 以前のバージョンのSolaris 2 にも存在する可 能性がある。 2. Impact 2. 影響 Any user with login access to a client or server that uses NIS+ for authentication may gain root privileges. 認証用にNIS+ を運用しているクライアントやサーバへのログインアクセス権 を持っている任意のユーザに root 権限を盗まれる可能性がある。 3. Workarounds 3. 対策 NIS+ uses an access control mechanism for granting access to NIS+ tables which is similar (but not identical) to that used by the standard Unix file system. NIS+ tables are assigned permissions for the NIS+ user categories nobody, owner, group and world. NIS+ also has permissions associated with columns and individual entries in NIS+ tables. NIS+ による NIS+ テーブルへのアクセス制御機構は、標準的 Unix のファイル システムのアクセス制御機構とよく似ている (完全に同じではない)。NIS+ のテー ブルには、nobody、owner、group そして world という NIS+ のユーザのカテ ゴリ毎にアクセス権が割り当てられる。また、NIS+ テーブルの各カラムや個々 のエントリにもアクセス権がある。 Under some installations of NIS+ the permissions of the NIS+ passwd table and its columns are left in an unsecure state. These permissions can be viewed using niscat(1). ある種の方法で NIS+ をインストールすると、NIS+ パスワードテーブルとその カラムが安全ではない状態のまま放置される。これらのアクセス権の状態は、 niscat(1) を使って表示できる。 To check the permissions on the NIS+ passwd table, sites can use: NIS+ パスワードテーブルのアクセス権を調べるには、以下のコマンドを実行す るとよい。 # niscat -o passwd.org_dir This should produce output similar to: すると、以下のような出力が得られるだろう。 Object Name : passwd Owner : myhost.mydomain.org. Group : admin.mydomain.org. Domain : org_dir.mydomain.org. Access Rights : ----rmcdrmcd---- Time to Live : 12:0:0 Object Type : TABLE Table Type : passwd_tbl Number of Columns : 8 Character Separator : : Search Path : Columns : [0] Name : name Attributes : (SEARCHABLE, TEXTUAL DATA, CASE SENSITIVE) Access Rights : r--------------- [1] Name : passwd Attributes : (TEXTUAL DATA) Access Rights : -----m---------- [2] Name : uid Attributes : (SEARCHABLE, TEXTUAL DATA, CASE SENSITIVE) Access Rights : r--------------- [3] Name : gid Attributes : (TEXTUAL DATA) Access Rights : r--------------- [4] Name : gcos Attributes : (TEXTUAL DATA) Access Rights : r--------------- [5] Name : home Attributes : (TEXTUAL DATA) Access Rights : r--------------- [6] Name : shell Attributes : (TEXTUAL DATA) Access Rights : r--------------- [7] Name : shadow Attributes : (TEXTUAL DATA) Access Rights : ---------------- This output shows two types of access rights associated with the NIS+ passwd table. First, the default access rights for the table, which are given at the start of the output (----rmcdrmcd----). Second, the access rights associated with each column. この出力は、NIS+ パスワードテーブルにつけられた 2 つのタイプのアクセス 権を表示している。一方はテーブル自体へのアクセス権であり、出力の最初に ----rmcdrmcd---- と表示されている。他方は、それぞれのカラムに対するア クセス権である。 In particular, sites should check the access rights on the columns of the NIS+ passwd table. It should be noted that it appears that individual entries of the passwd table are owned by individual users. The above access rights do not allow a user to modify any part of their passwd table entry besides their own passwd field. For many environments this is acceptable. 特に、各サイトは NIS+ パスワードテーブルのカラムへのアクセス権について 調査すること。パスワードテーブルのそれぞれのエントリは、対応するユーザ の所有であることに注意せよ。上記のアクセス権では、自分のパスワードフィ ールドを除き、パスワードテーブルの自分のエントリのどの部分も変更できな い。多くの環境では、この設定を受け入れることができる。 However, depending on the local site configuration and requirements, additional access rights may also be needed. しかし、それぞれのサイトの設定と要望によっては、他のアクセス権が必要と なるかもしれない。 - Sites that wish users to be able to change their shell or gcos information may have the (m)odify bit set for owner on the shell or gcos column as needed. - ユーザに自分のシェルや gcos 情報の変更を許すサイトでは、必要に応じて shell や gcos カラムに所有者による修正ビット (m) を立てる必要があるだろ う。 - Sites that have their NIS+ servers running in NIS compatibility mode to serve NIS clients may require (r)ead permission for nobody on the NIS+ passwd table. - NIS クライアントにサービスを提供するために、NIS+ サーバを NIS 互換モー ドで運用しているサイトは、NIS+ パスワードテーブルの nobody に読み込み権 (r) を与える必要があるだろう。 - Sites that are using password aging may require additional access rights on the shadow column. The exact access rights will depend on the particular NIS+ version (including patches). Sites are encouraged to check their local documentation for more information. - パスワードのエイジングを使っているサイトでは、shadow カラムへ のアクセス権を追加する必要があるだろう。正確なアクセス権は、(パッチも含 めて)特定のNIS+ のバージョンに依存する。詳細は使用しているバージョンの説 明書を参照して頂きたい。 Other than this, the access rights on columns should appear as shown in the niscat(1) output above. この他では、カラムのアクセス権は上記の niscat(1) の出力に表示されたよう に設定すべきである。 Any additional access rights on the table or its columns besides those shown above may allow a user to gain additional privileges, including possibly root. Sites should completely understand the ramifications if they allow additional access rights. テーブルやカラムへ上記以外のアクセス権を追加すれば、任意のユーザに本 来そのユーザが持っている以上の権限 (root 権限の可能性もある) を盗まれ る可能性がある。アクセス権を追加する場合には、その結果としてどのように なるか完全に理解すべきである。 Sites may set the access rights on the NIS+ passwd table, as shown in the above output, by issuing the following commands as root on the master NIS+ server. 以下のコマンドをマスタ NIS+ サーバ上で root として実行すれば、上記に示 した出力と同じアクセス権を NIS+ パスワードテーブルに設定できるだろう。 To set the default access rights for the NIS+ passwd table: NIS+ パスワードテーブルへデフォルトのアクセス権を設定するには、以下のコ マンドを実行するとよい。 # nischmod na-rmcd,og+rmcd passwd.org_dir To set the column access rights on the NIS+ passwd table: NIS+ パスワードテーブルのカラムへのアクセス権を設定するには、以下のコマ ンドを実行するとよい。 # nistbladm -u name=na-rmcd,n=r passwd.org_dir # nistbladm -u passwd=na-rmcd,o=m passwd.org_dir # nistbladm -u uid=na-rmcd,n=r passwd.org_dir # nistbladm -u gid=na-rmcd,n=r passwd.org_dir # nistbladm -u gcos=na-rmcd,n=r passwd.org_dir # nistbladm -u home=na-rmcd,n=r passwd.org_dir # nistbladm -u shell=na-rmcd,n=r passwd.org_dir # nistbladm -u shadow=na-rmcd passwd.org_dir After making any changes in access rights, AUSCERT recommends that sites verify the changes they have made using niscat(1), as shown previously. アクセス権になんらかの変更を加えた場合は、前述の niscat(1) を用いて変更 が反映されたことを確認するよう、AUSCERTは推奨する。 Sites that have replica NIS+ servers may use nisping(1m) to propagate the changes to the replica servers in a timely manner. レプリカ NIS+ サーバを利用しているサイトは、すぐに変更が反映されるよう に nisping(1m) を使ってレプリカ NIS+ サーバに変更を通知するとよい。 4. Additional measures 4. その他の対策 AUSCERT recommends that sites take this opportunity to ensure that all NIS+ tables have access rights in accordance with the local site security policy. This also includes checking access rights on all the columns and entries of the NIS+ tables in addition to the default access rights of the tables themselves. AUSCERT は、この機会にすべての NIS+ テーブルへのアクセス権がサイトのセ キュリティポリシーに沿っているか調べることを推奨する。さらに、テーブル が持っているデフォルトのアクセス権に加え、NIS+ テーブルのすべてのカラム とエントリへのアクセス権の調査も同様である。 - ----------------------------------------------------------------------------- AUSCERT wishes to thank Ivan Angus and David Clarke of ANU for reporting this vulnerability and for their advice in the preparation of this advisory. AUSCERT also acknowledges Marek Krawus of UQ, Reinhard Uebel and Mark McPherson of QTAC for their assistance. - ----------------------------------------------------------------------------- - ----------------------------------------------------------------------------- AUSCERT は、本勧告に関するセキュリティ上の弱点を報告していただき、そして、 本勧告を作成するにあたり助言をいただいた ANU の Ivan Angus 氏と David Clarke 氏 に感謝する。また、UQ の Marek Krawus 氏と、QTAC の Reinhard Uebel 氏と Mark McPherson 氏の協力に感謝する。 - ----------------------------------------------------------------------------- The AUSCERT team have made every effort to ensure that the information contained in this document is accurate. However, the decision to use the information described is the responsibility of each user or organisation. The appropriateness of this document for an organisation or individual system should be considered before application in conjunction with local policies and procedures. AUSCERT takes no responsibility for the consequences of applying the contents of this document. AUSCERT はこの文書に書かれている情報が正確であることに努めているが、この情 報は各ユーザや組織の責任において利用していただきたい。この文書の内容を組織 や個人のシステムに適用することがふさわしいかどうか、作業を行う前に、組織の 方針や手順に従って考慮するべきである。この文書の内容を適用したことによって 起こりうる結果に対して、AUSCERT はなんら責任を持たない。 ============================================================================= CERT Contact Information - ------------------------ If you believe that your system has been compromised, contact the CERT Coordination Center or your representative in the Forum of Incident Response and Security Teams (FIRST). もし、自分のサイトのシステムが侵入されたと思ったときは、CERT コーディネーショ ンセンター、あるいは近くの FIRST (Forum of Incident Response and Security Teams) 加盟チームに連絡して欲しい。 We strongly urge you to encrypt any sensitive information you send by email. The CERT Coordination Center can support a shared DES key and PGP. Contact the CERT staff for more information. 電子メールで重要な情報を送るときは、暗号化することを強く要請する。CERT コー ディネーションセンターは、DES と PGP を使用できる。詳細は CERT スタッフに問 い合わせて欲しい。 Location of CERT PGP key CERT の PGP 公開鍵の入手場所 ftp://info.cert.org/pub/CERT_PGP.key Email cert@cert.org Phone +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. Fax +1 412-268-6989 Postal address CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT へのコンタクト方法 - ----------------------- 電子メール cert@cert.org 電話 +1 412-268-7090 (24-hour hotline) CERT personnel answer 8:30-5:00 p.m. EST (GMT-5)/EDT(GMT-4), and are on call for emergencies during other hours. ファックス +1 412-268-6989 住所 CERT Coordination Center Software Engineering Institute Carnegie Mellon University Pittsburgh PA 15213-3890 USA CERT publications, information about FIRST representatives, and other security-related information are available for anonymous FTP from CERT の発行文書、FIRST に関する情報、その他セキュリティに関する情報は、 anonymous FTP により以下から入手できる。 http://www.cert.org/ ftp://info.cert.org/pub/ CERT advisories and bulletins are also posted on the USENET newsgroup CERT 勧告と公報は、USENET の次のニュースグループにも投稿されている。 comp.security.announce To be added to our mailing list for CERT advisories and bulletins, send your email address to CERT 勧告と公報を提供するメーリングリストを購読したい場合は、次のアドレスに 自分の電子メールアドレスを書いて送って欲しい。 cert-advisory-request@cert.org - ------------------------------------------------------------------------------ Copyright 1996 Carnegie Mellon University. Conditions for use, disclaimers, and sponsorship information can be found in http://www.cert.org/legal_stuff.html and ftp://ftp.cert.org/pub/legal_stuff . If you do not have FTP or web access, send mail to cert@cert.org with "copyright" in the subject line. Copyright 1996,1997 Carnegie Mellon University. 使用条件、免責事項、スポン サーとの契約に関する情報については、http://www.cert.org/legal_stuff.html あ るいは ftp://ftp.cert.org/pub/legal_stuff から入手できる。もし、FTP や web によるアクセスが不可能な場合は、cert@cert.org 宛にメールを送って欲しい。そ のときにはサブジェクト行に "copyright" と書くこと。 CERT is registered in the U.S. Patent and Trademark Office. CERT は合衆国特許商標庁に登録済みである。 ============================================================================== UPDATES 更新 CERT/CC received information concerning an additional problem with the ROW access rights in the NIS+ password table. Accounts created on Solaris 2.4 and 2.5 systems have excessive rights on the system. These new super accounts have read, modify, create, and delete access rights on their own rows in the nisplus password table. This means they can alter all attributes on their own entries. CERT/CC は、NIS+ パスワードテーブルの行へのアクセス権に関するさらなる 問題の情報を受けた。Solaris 2.4 と 2.5 システムで作られたアカウントは、 システム上で過度な権利を持ってしまう。この新しいアカウントは、NIS+ パ スワードテーブルの自分の行に対して、読み込み、修正、生成、削除の権利を 持つ。つまり、自分のエントリのすべての属性を変更できる。 To determine if your system is so affected, execute the following: 読者のシステムに影響があるか調べるには、以下のコマンドを実行するとよい。 % niscat -o '[name=juke],passwd.org_dir' | egrep "Access" If the output displays information similar to the following: もし、次のような出力が得られた場合は問題がある。 Access Rights : ----rmcdr---r--- ^^^^ then the owner can read, modify, change, and delete information. このとき、ユーザが情報を読んだり、修正したり、変更したり、削除したりで きる。 The rights at this level should be more restrictive, and the individual rights on entries should be less restrictive. The less restrictive rights on entries allow a user to change their password entry, the GECOS field, and even the shell depending upon how the entry rights are set. このレベルの権限はもっと制限されるべきであり、個々のエントリへの権限は 緩くすべきである。エントリが持つ権限の制限が緩いと、あるユーザに自分の パスワードエントリ、GECOS フィールド、そして (権限がどう設定されている かにもよるが) シェルさえ変更することを許す。 The output from the niscat above should look like the following: 上記の niscat の出力は、以下のようになるべきである。 Access Rights : ----r----------- This allows only the user to read information from the password table. この場合、ユーザだけがパスワードテーブルから情報を読むことが可能である。 One way to determine which entries in the password table need to be changed is the following: パスワードテーブルのどのエントリを変更すべきか知るための方法の 1 つと して、以下を挙げておく。 % niscat -o '[ ],passwd.org_dir' | egrep "Owner|rmc" To fix the entries, use the following: エントリを修正するには、以下のコマンドを利用すればよい。 % nischmod o=r,ngw-rmdc '[ ],passwd.org_dir' This sets the owner permissions to r (read) and removes all permissions from nobody, group, and world. これは、所有者に読み込み権 (r) を与え、nobody、group、そして、world から はすべての権利を奪う。 ............................................................................. Vendor Information ベンダ情報 Below is information we have received from vendors. If you do not see your vendor's name below, contact the vendor directly for information. ベンダから受け取った情報を以下に示す。もし、利用しているベンダ名がこのリス トにない場合は、直接ベンダに連絡して欲しい。 Sun Microsystems, Inc. - ---------------------- Sun Microsystems has provided the following list of patches in response to this advisory: Sun Microsystems は、この勧告への対応として次のパッチを提供している。 103266-01 5.5 103267-01 5.5_x86 103270-01 5.4 103271-01 5.4_x86 103269-01 5.3 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Revision history Oct. 27, 1997 Vendor information for Sun has been added to the UPDATES section. Sep. 24, 1997 Updated copyright statement Aug. 30, 1996 Information previously in the README was inserted into the advisory. Beginning of the advisory - removed AUSCERT advisory header to avoid confusion. June 12, 1996 Updates section - added clarification concerning ROW access rights. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 改訂履歴 1997年10月27日 Sun のベンダ情報を「更新」の章に追加した。 1997年9月24日 著作権表示の部分を更新した。 1996年8月30日 以前 README に記載されていた情報がこの勧告に盛り込まれた。 勧告の冒頭 - AUSCERT 勧告のヘッダを混乱を避けるために取り 除いた。 1996年6月12日 「更新」の章 - 行のアクセス権に関する説明を追加した。 - ---------------------------------------------------------------------------- JPCERT/CC 改訂履歴 2000年8月25日 最新情報の URL の更新 1999年8月9日 ヘッダの誤字の修正。 フッタの更新。 1999年3月15日 初版 ====================== この文書の取扱に関する注意事項 ====================== この文書は、原著作権者から翻訳の許諾を受け、JPCERT/CC が独自に翻訳し た文書です。この翻訳文書を商業目的に使用することを禁止します。また JPCERT/CC の許諾なく再配布することを禁止します。 翻訳にあたっては、誤訳や誤解を生じるような表現をなくすように努力して おりますが、もし万が一不具合を見つけた場合には、JPCERT/CC にご連絡頂け れば幸いです。また、それ以外にも、この翻訳に関して質問等がある場合には、 JPCERT/CC にご連絡をお願い致します。連絡先は次の通りです。 info@jpcert.or.jp この翻訳文書は、随時更新される可能性がありますので、最新情報について は、次を参照してください。 http://www.jpcert.or.jp/tr/cert_advisories/ また翻訳文書の原文書も随時更新される可能性がありますので、そちらも参 照してください。翻訳文書と原文書のバージョンが異なる場合には、原文書が 最新情報です。 ===================== JPCERT/CC からのお知らせとお願い ===================== 本文書で解説した不正アクセスも含め、インターネット上で引き起こされる さまざまな不正アクセスに関する情報がありましたら、JPCERT/CC 所定の報告 様式にご記載のうえ、関連するログファイルのメッセージとともに、次のアド レスまでお送りください。 info@jpcert.or.jp 報告様式等、JPCERT/CC への連絡方法につきまして、詳しくは次の URL を ご参照下さい。 http://www.jpcert.or.jp/contact.html JPCERT/CC に頂いた報告は、報告者の了解なしに、そのまま他組織等に開示 することはありません。JPCERT/CC の組織概要につきましては、次の URL を ご参照ください。 http://www.jpcert.or.jp/ JPCERT/CC では、不正アクセスに関する情報を迅速にご提供するために、メー リングリストを開設しています。登録の方法等、詳しくは、次の URL をご参 照ください。 http://www.jpcert.or.jp/announce.html __________ 注: この文書は、不正アクセスに対する一般的な情報提供を目的としており、特定 の個人や組織に対する個別のコンサルティングが目的ではありません。そのため、 個別の問題に関するお問い合わせ等に必ずお答えできるとは限りません。また、お 答えできる場合でもご回答が遅れる可能性があります。 JPCERT/CC は、この文書に記載された情報の内容が正確であるよう努めていますが、 正確性を含め一切の品質についてこれを保証致しません。この文書に記載された情 報に基づいて、貴方あるいは貴組織がとられる行動、あるいはとられなかった行動 によって、直接的、間接的または偶発的に引き起こされた結果に対して、JPCERT/CC は何ら保証致しません。 -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia iQCVAwUBOaXoK4x1ay4slNTtAQG20wP/Tq9uM3l16Bds9VwRDRYXhkv9qtip65q4 99w9tI40/GcgVIoUEN31tp9D3goCqXMSBNoAjqOqi4/NDvhg90yziOGT6CxzZ/Yu PLAesHh0osBSxEzE63U9xf+idJbaLl3mW7puz/JvsMw4baFskxNLF30vDGcqWYAH LjOwODkb/Cc= =YOGO -----END PGP SIGNATURE-----