-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-2701 JPCERT/CC 2002-07-17 <<< JPCERT/CC REPORT 2002-07-17 >>> これは JPCERT/CC が 7/8(月) から 7/12(金) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin M-098 PGP Outlook Encryption Plug-in Vulnerability http://www.ciac.org/ciac/bulletins/m-098.shtml NAI PGP Outlook プラグインには脆弱性があります。結果として、遠隔から第 三者がユーザの権限を取得する可能性があります。対象となるのは以下のソフ トウェアです。 - NAI PGP Desktop Security 7.0.4 - NAI PGP Personal Security 7.0.3 - NAI PGP Freeware 7.0.3 この問題は、NAI が提供するパッチを適用することで解決します。 関連文書 (英語) PGP Hotfix http://www.nai.com/naicommon/download/upgrade/patches/patch-pgphotfix.asp [2] CERT Advisory CA-2002-20 Multiple Vulnerabilities in CDE ToolTalk http://www.cert.org/advisories/CA-2002-20.html 多くの UNIX 系 OS に含まれる Common Desktop Environment (CDE) の ToolTalk RPC データベースサーバプログラム rpc.ttdbserverd には、ファイ ルの扱いに複数の脆弱性があります。結果として、遠隔から第三者が root 権 限を取得する可能性があります。対象となる OS や、問題を修正するパッチに ついては上記文書を参照してください。 パッチが公開されていない、もしくはパッチの適用が困難または不可能な場合 の一時的な対応方法としては、rpc.ttdbserverd を実行できないようにする、 またはルータなどのフィルタリング機能を使って、RPC portmapper サービス と ToolTalk RPC サービスへのアクセスを制限するなどがあります。 関連文書 (英語) CERT/CC Vulnerability Note VU#975403 Common Desktop Environment (CDE) ToolTalk RPC database server (rpc.ttdbserverd) does not adequately validate file descriptor arguement to _TT_ISCLOSE() http://www.kb.cert.org/vuls/id/975403 CERT/CC Vulnerability Note VU#299816 Common Desktop Environment (CDE) ToolTalk RPC database server (rpc.ttdbserverd) does not adequately validate file operations http://www.kb.cert.org/vuls/id/299816 [3] CIAC Bulletin M-099 Microsoft Cumulative Patch for SQL Server http://www.ciac.org/ciac/bulletins/m-099.shtml Microsoft SQL サーバには、バッファオーバーフローなどの複数の脆弱性があ ります。結果として、ローカルユーザがサーバプログラムのユーザ権限などを 取得する可能性があります。対象となるのは以下のソフトウェアです。 - Microsoft SQL Server 2000 のすべてのエディション - Microsoft SQL Server Desktop Engine (MSDE) 2000 この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 SQL Server 用の累積的な修正プログラム (Q316333) (MS02-034) http://www.microsoft.com/japan/technet/security/bulletin/MS02-034.asp [4] Apache の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-06-26号でも紹介した、Apache の脆弱性に関する追加 情報です。 Hitachi Web Server のDoS脆弱性に関するセキュリティ問題対策 http://www.hitachi-support.com/security/apache/hws/hws.shtml 関連文書 (日本語) JPCERT/CC REPORT 2002-06-26号 http://www.jpcert.or.jp/wr/2002/wr022401.txt JPCERT/CC Alert 2002-06-20 Apache Web サーバプログラムの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020003.txt [5] OpenSSH の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-07-03号でも紹介した、OpenSSH の脆弱性に関する追 加情報です。 FreeBSD Security Advisory FreeBSD-SA-02:31 openssh contains remote vulnerability ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:31.openssh.asc 関連文書 (日本語) JPCERT/CC REPORT 2002-07-03号 http://www.jpcert.or.jp/wr/2002/wr022501.txt JPCERT/CC Alert 2002-06-27 OpenSSH サーバプログラムの脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020004.txt [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用ください。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPYx1ay4slNTtAQHiZwQAtIp+Ex3E8Yb+/RLVSP3/eHiBDnSqyvvZ a9b+jhzqFe1eJJffE4P/Q6SXFOyq7ed8iT87X0C9su8WEZquEKE1J1SmhxtKF72y MLbt/k37r2E6zN6uiHYOFC2bjyFWx6gzGwaiNOXvMGi0aUkXGOZ7aU5yh62kPnvX CAeVfdAu6ic= =nn3S -----END PGP SIGNATURE-----