-----BEGIN PGP SIGNED MESSAGE-----

                                                  JPCERT-WR-2002-0801
                                                            JPCERT/CC
                                                           2002-02-27

                  <<< JPCERT/CC REPORT 2002-02-27 >>>

これは JPCERT/CC が 2/18(月) から 2/22(金) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin M-044
    Microsoft SQL Server Remote Data Source Function Contains Unchecked Buffers
    http://www.ciac.org/ciac/bulletins/m-044.shtml

Microsoft SQL Server 7.0 と 2000 には、バッファオーバーフローの脆弱性
があります。結果として、遠隔から第三者が任意のコードを実行する可能性が
あります。この問題は、Microsoft が提供する修正プログラムを適用すること
で解決します。

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    SQL Server のリモート データ ソース関数に未チェックのバッファが含まれる (MS02-007)
    http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS02-007


[2] Squid-2.4 Patches
    http://www.squid-cache.org/Versions/v2/2.4/bugs/

    FreeBSD Ports Security Advisory FreeBSD-SA-02:12
    multiple security vulnerabilities in squid port
    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:12.squid.asc

Squid 2.4-STABLE4 より前のバージョンには、3つの脆弱性が存在します。

  (1) SNMP の実装部分でメモリを必要以上に消費する。
  (2) 特定の ftp:// 形式の URL を処理する際にバッファオーバーフローを
      起こす。
  (3) htcp_port 0 と設定しても HTCP (Hyper Text Caching Protocol) の機
      能を無効化できない。

結果として、それぞれの脆弱性に対して、以下のような被害を受ける可能性が
あります。

  (1) 遠隔から第三者が Squid を停止させる。
  (2) 遠隔から第三者が Squid を停止させたり、Squid の実行権限で任意の
      コードを実行する。
  (3) 遠隔から第三者が、認証なしに HTCP でキャッシュデータを制御する。

この問題は Squid をバージョン 2.4-STABLE4 に更新することで解決します。

  関連文書 (日本語)
    Turbolinux Japan Security Center
    メモリーリークとhtcp_portの使用不可設定の修正
    http://www.turbolinux.co.jp/security/squid-2.4.STABLE4-1.html

  関連文書 (英語)
    Squid Web Proxy Cache
    http://www.squid-cache.org/


[3] CERT Coordination Center 2001 Annual Report
    http://www.cert.org/annual_rpts/cert_rpt_01.html

米国のインシデント対応機関 CERT/CC の 2001年 1月から 12月までの活動報
告です。


[4] アンケートのお願い

2002-02-20号でも紹介いたしました「JPCERT/CC 利用者アンケート調査」の受
け付けを 3/1(金) 24:00 に締め切らせていただきます。

本アンケートは、JPCERT/CC が発信するセキュリティ関連情報等を利用される
方々のご要望をお伺いし、今後の JPCERT/CC の活動の参考にさせていただく
ために実施しているものです。

まだ回答されていない方は、このアンケート調査にぜひともご協力ください。

  受付期間:  2002年 2月 20日(水) ～ 2002年 3月 1日(金) 24:00
  受付 URL:  http://research.goo.ne.jp/Enquete/jpcert.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用下さい。

     http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

     http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPIx1ay4slNTtAQHVIgQAnACK5IMK2nwUXXsI5dRV+xm1OOjFLFo/
GfEaUq8tvd9KmIGwH8sfJnndK04iN/cXcRpUJ8UAelPt96SW7wWIAA4s6zwr02Ja
MdWWj1ykd3Mh8s5pryXUXPjNxufHmp1dgN1rINdVLk6vfchfvetg1AlVBPnA9LGa
xlBaiibWkcE=
=e+76
-----END PGP SIGNATURE-----