-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2003-0801 JPCERT/CC 2003-02-26 <<< JPCERT/CC REPORT 2003-02-26 >>> これは JPCERT/CC が 2/16(日) から 2/22(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CERT Advisory CA-2003-05 Multiple Vulnerabilities in Oracle Servers http://www.cert.org/advisories/CA-2003-05.html CIAC Bulletin N-046 Multiple Vulnerabilities in Oracle Servers http://www.ciac.org/ciac/bulletins/n-046.shtml Oracle 製品のいくつかには複数の脆弱性があります。結果として、遠隔から 第三者が Oracle サーバの実行権限を取得したり、データベースの内容を改ざ んするなどの影響を受ける可能性があります。対象となるのは以下の製品 (全 プラットフォーム) です。 - Oracle 8,8i,9i Database Server (8.0.x, 8.1.x, 9.0.1.x, 9.2.0.x) - Oracle9i Application Server (9.0.2, 9.0.3) ※ バージョン表記は日本オラクルのセキュリティ情報に基づいています。 この問題は、Oracle が提供するパッチを適用することで解決します。 関連文書 (日本語) Oracle Technology Network - セキュリティ http://otn.oracle.co.jp/security/ JPCERT/CC Vendor Status Note JVNCA-2003-05 Oracle Server に複数の脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-05.html [2] CERT Advisory CA-2003-06 Multiple vulnerabilities in implementations of the Session Initiation Protocol (SIP) http://www.cert.org/advisories/CA-2003-06.html Voice over IP (VoIP) などに使われる Session Initiation Protocol (SIP) の実装のいくつかには、複数の脆弱性があります。結果として、サービス運用 妨害 (DoS) 攻撃を受けるなどの様々な影響を受ける可能性があります。 対象となる製品については、上記文書中の「Appendix A. Vendor Information」 や下記関連文書などを参照してください。 この問題は、各ベンダが提供するパッチを適用するなどの方法で解決します。 詳細については、各ベンダが提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC Vendor Status Note JVNCA-2003-06 Session Initiation Protocol (SIP) の実装に複数の脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-06.html 関連文書 (英語) CERT/CC Vulnerability Note VU#528719 Multiple implementations of the Session Initiation Protocol (SIP) contain vulnerabilities http://www.kb.cert.org/vuls/id/528719 [3] OpenSSL Security Advisory [19 February 2003] Timing-based attacks on SSL/TLS with CBC encryption http://www.openssl.org/news/secadv_20030219.txt OpenSSL には、復号処理の様子を外部から推測できてしまう脆弱性があります。 結果として、遠隔から第三者がパスワードなどを取得する可能性があります。 対象となるのは以下のバージョンです。 - OpenSSL バージョン 0.9.6h およびそれ以前 - OpenSSL バージョン 0.9.7 この問題は、OpenSSL をバージョン 0.9.6i または 0.9.7a に更新する、もし くはパッケージを修正済みのバージョンに更新するなどの方法で解決します。 関連文書 (日本語) OpenBSD 3.2 errata 007: セキュリティのための修正: 2003 年 2 月 22 日 http://www.openbsd.org/ja/errata.html#ssl 関連文書 (英語) FreeBSD Security Advisory FreeBSD-SA-03:02.openssl OpenSSL timing-based SSL/TLS attack ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:02.openssl.asc Debian Security Advisory DSA-253-1 openssl -- information leak http://www.debian.org/security/2003/dsa-253.en.html [4] CERT Coordination Center 2002 Annual Report http://www.cert.org/annual_rpts/cert_rpt_02.html 米国のインシデント対応機関 CERT/CC の 2002年 1月から 12月までの活動報 告です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2003 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPlwdRox1ay4slNTtAQHXhAP+OKPog7RbtSMbZUbYn6w4mpgSbJMDEqPY mhLMLh6GxGbVBX0RL9T/aZ2AmQXJroRTPt0+U8WJn6TvbMhKUybjZ/5Df6oh4E7T L4pxG48yO3ea0kLOCElsIOQ8Ys2oC+bNBJvgsIfStcpyJbKTxWBp4aJ37m7wm4ee CsfU+Ln/Qf4= =YJBX -----END PGP SIGNATURE-----