-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-2501 JPCERT/CC 2002-07-03 <<< JPCERT/CC REPORT 2002-07-03 >>> これは JPCERT/CC が 6/24(月) から 6/28(金) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries http://www.cert.org/advisories/CA-2002-19.html DNS resolver のいくつかの実装には、バッファオーバーフローの脆弱性があ ります。結果として、遠隔から第三者が resolver を使用しているプロセスの 実行権限を取得する可能性があります。 対象となる OS やソフトウェアの詳細については、上記の文書を参照してくだ さい。上記の文書に掲載されていない OS やソフトウェアについても、この問 題が存在する可能性がありますので、詳細については、各ベンダや配布元の提 供する情報を参照してください。 この問題は、以下の方法で解決します。 (1) ベンダや配布元の提供するパッチを適用するなどしてソフトウェアを更 新する。 (2) resolver ルーチンを含むライブラリ (libc、libbind など) を更新し、 それらのライブラリを静的にリンクしているプログラムを再コンパイル する。 関連文書 (日本語) JPCERT/CC Alert 2002-06-28 DNS resolver の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020005.txt 関連文書 (英語) Pine Internet Security Advisory PINE-CERT-20020601 Remote buffer overflow in resolver code of libc http://www.pine.nl/advisories/pine-cert-20020601.txt CERT/CC Vulnerability Note VU#803539 Multiple vendors' Domain Name System (DNS) stub resolvers vulnerable to buffer overflow http://www.kb.cert.org/vuls/id/803539 Internet Software Consortium - BIND http://www.isc.org/products/BIND/ [2] CERT Advisory CA-2002-18 OpenSSH Vulnerabilities in Challenge Response Handling http://www.cert.org/advisories/CA-2002-18.html CIAC Bulletin M-095 OpenSSH Challenge Response Vulnerabilities http://www.ciac.org/ciac/bulletins/m-095.shtml AUSCERT Advisory AA-2002.05 OpenSSH Vulnerabilities (Update to AL-2002.05) http://www.auscert.org.au/Information/Advisories/advisory/AA-2002.05.txt Revised OpenSSH Security Advisory http://www.openssh.com/txt/preauth.adv OpenSSH のサーバプログラム sshd には、遠隔から攻撃可能な脆弱性がありま す。結果として、遠隔から第三者が root 権限を取得する可能性があります。 対象となるのは以下のバージョンです。 - original version: 2.3.1 から 3.3 の間の全てのバージョン - portable version: 2.3.1p1 から 3.3p1 の間の全てのバージョン この問題は、ベンダや配布元の提供するパッチを適用する、もしくはソフトウェ アを更新することで解決します。 以下は JPCERT/CC Alert「OpenSSH サーバプログラムの脆弱性に関する注意喚 起」に対する追加情報です。 Red Hat Linux セキュリティアドバイス RHSA-2002:127-18 OpenSSH パッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-127J.html Apple Mac OS X Security Update July 2002 http://www.apple.co.jp/ftp-info/reference/security_update_july2002.html HP社セキュリティ報告: #0195 HP-UX上のOpenSSHにおけるセキュリティの脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0206-195.html Vine Linux errata OpenSSH にセキュリティホール (2002/06/28改訂) http://vinelinux.org/errata/25x/20020626.html Debian Security Advisory DSA-134-4 ssh -- remote exploit http://www.debian.org/security/2002/dsa-134 Kondara MNU/Linux 2.1 セキュリティアドバイザリー openssh (2002-06-28) http://www.kondara.org/errata/index.php.ja?mode=v;v=21;c=S;oid=78853 NetBSD Security Advisory 2002-005 OpenSSH protocol version 2 challenge-response authentication vulnerability ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-005.txt.asc 関連文書 (日本語) JPCERT/CC Alert 2002-06-27 OpenSSH サーバプログラムの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020004.txt [3] CIAC Bulletin M-096 Microsoft Windows Media Player Vulnerabilities http://www.ciac.org/ciac/bulletins/m-096.shtml Microsoft Windows Media Player には、複数の脆弱性があります。結果とし て、遠隔から第三者が任意のコードを実行するなどの様々な被害を受ける可能 性があります。対象となるのは以下のバージョンです。 - Microsoft Windows Media Player 6.4 - Microsoft Windows Media Player 7.1 - Microsoft Windows Media Player for Windows XP この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 2002 年 6 月 26 日 Windows Media Player 用の累積的な修正プログラム (Q320920) (MS02-032) http://www.microsoft.com/japan/technet/security/bulletin/MS02-032.asp [4] Apache の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-06-26号でも紹介した、Apache の脆弱性に関する追加 情報です。 Oracle セキュリティ情報 Oracle HTTP Server : チャンクハンドリングのセキュリティの脆弱性 http://www.oracle.co.jp/news/security/ 日本 IBM - ニュース IBM HTTP Server 用セキュリティー脆弱性対応 修正プログラムについて http://www.ibm.com/news/jp/2002/06/06264.html Apple Mac OS X Security Update July 2002 http://www.apple.co.jp/ftp-info/reference/security_update_july2002.html SONY SUPPORT[セキュリティ関連のお知らせ] 「ネットワークバイオ」(PCV-JX11GN・JX10GN) において LinkGarage をご使用のお客様へ http://vcl.vaio.sony.co.jp/notices/security/info4.html NEC ドット・ゲートサービス サポートページ http://121ware.com/psi/support/ The NetBSD Packages Collection: www/apache ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache/README.html The NetBSD Packages Collection: www/apache2 ftp://ftp.netbsd.org/pub/NetBSD/packages/pkgsrc/www/apache2/README.html 関連文書 (日本語) JPCERT/CC REPORT 2002-06-26号 http://www.jpcert.or.jp/wr/2002/wr022401.txt JPCERT/CC Alert 2002-06-20 Apache Web サーバプログラムの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020003.txt [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用ください。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPYx1ay4slNTtAQGgZQQAvDM5lNBYnWT7mDScFPId8x7aIa+F8KD3 UYtg7mgZCYrBebqplMjjvkxCqoVIZZTcyoanD3LEsebek/Q9zA25+f7ZVqACa4WM QHJzBlNzQNSy5+F5ftJbFLErOi3mqWBXZFk2DnSm3rJNGgQkJpmiPTwiSfNriO9U MahLx0tdpos= =Fat1 -----END PGP SIGNATURE-----