-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2002-2401
                                                               JPCERT/CC
                                                              2002-06-26

                  <<< JPCERT/CC REPORT 2002-06-26 >>>

これは JPCERT/CC が 6/17(月) から 6/21(金) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CERT Advisory CA-2002-17
    Apache Web Server Chunk Handling Vulnerability
    http://www.cert.org/advisories/CA-2002-17.html

    CIAC Bulletin M-093
    Apache HTTP Server Chunk Encoding Vulnerability
    http://www.ciac.org/ciac/bulletins/m-093.shtml

Apache Web サーバプログラムには、chunked エンコーディングを適切に処理
できない脆弱性があります。結果として、遠隔から第三者がサーバプログラム
のユーザ権限を取得する可能性があります。対象となるのは以下のバージョン
です。

  - 1.2 系列: バージョン 1.2.2  およびそれ以降
  - 1.3 系列: バージョン 1.3.24 およびそれ以前
  - 2.0 系列: バージョン 2.0.36 およびそれ以前

この問題は、ベンダや配布元の提供するパッチを適用する、もしくはソフトウェ
アを更新することで解決します。

以下は JPCERT/CC Alert「Apache Web サーバプログラムの脆弱性に関する注
意喚起」に対する追加情報です。

    Turbolinux Japan Security Center
    httpdサーバーのサービス停止
    http://www.turbolinux.co.jp/security/apache-1.3.26-1.html

    Kondara MNU/Linux 2.1 セキュリティアドバイザリー
    apache (2002-06-21)
    http://www.kondara.org/errata/index.php.ja?mode=v;v=21;c=S;oid=78844

    IBM WebSphere情報
    Apache Web Server で発見されたセキュリティー脆弱性に関する IBM での対応について
    http://www-6.ibm.com/jp/domino01/software/websphere.nsf/TechWeb/49C16F7ED4DBB2C149256BDF000AEAD7?openDocument&&ViewName=TechWeb

    IPA セキュリティセンター (IPA/ISEC) 緊急対策情報
    Apache Web サーバにおける chunkデータ処理の脆弱性
    http://www.ipa.go.jp/security/ciadr/20020619apache.html

なお、既報の情報についても内容が改訂されているものがありますので、適宜
最新の情報をご確認ください。

  関連文書 (日本語)
    JPCERT/CC Alert 2002-06-20
    Apache Web サーバプログラムの脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2002/at020003.txt


[2] CIAC Bulletin M-094
    Microsoft SQL Server 2000 OpenDataSource Buffer Overflow
    http://www.ciac.org/ciac/bulletins/m-094.shtml

Microsoft SQL Server 2000 には、Microsoft Jet Engine と組み合わせて使
用している場合に、OpenDataSource 関数においてバッファオーバーフローを
起こす脆弱性があります。結果として、遠隔から第三者が SYSTEM ユーザ権限
を取得する可能性があります。この問題は、Microsoft が提供する修正プログ
ラムを適用することで解決します。


[3] CIAC Bulletin M-092
    Cisco Buffer Overflow in UNIX VPN Client
    http://www.ciac.org/ciac/bulletins/m-092.shtml

UNIX 版 Cisco VPN Client バージョン 3.5.1 およびそれ以前のバージョンに
は、バッファオーバーフローの脆弱性があります。結果として、遠隔から第三
者が root 権限を取得する可能性があります。対象となるのは、Linux 版、
Solaris 版、MacOS X 版です。この問題は、バージョン 3.5.2 に更新するこ
とで解決します。

  関連文書 (英語)
    Cisco Security Advisory
    Buffer Overflow in UNIX VPN Client
    http://www.cisco.com/warp/public/707/cisco-unix-vpnclient-buffer-overflow-pub.shtml


[4] 雑誌連載のお知らせ

JPCERT/CC では、今月から Web マガジン「＠IT (アットマークアイティ)」の
「Security&Trustフォーラム」にて、

  「管理者のためのセキュリティ推進室〜インシデントレスポンス入門〜」

の連載を開始しました。全6回を予定しています。この連載記事は以下の URL
で示されるページでご覧になれます。

    http://www.atmarkit.co.jp/fsecurity/



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用ください。

        http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

        http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbLPYx1ay4slNTtAQF//AQAyzHujiwD4mv34pc62cxtoVUfTKR5Om5+
cje6CB+ZM7x9FHGnXVmTa/4XbT6Qp7FFOpd7YE4EQ8A3C+SX+2vm2rYYve9B9Bgd
nbQAT+RuW5WQ5pRc40s9d+Cg1AXcKsrYO62yMXIl8nMSUOZV46FvmtoF2geBL0wJ
P18R9DGtjGY=
=pj7u
-----END PGP SIGNATURE-----