-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2003-2201
                                                               JPCERT/CC
                                                              2003-06-04

                 <<< JPCERT/CC REPORT 2003-06-04 >>>

これは JPCERT/CC が 5/25(日) から 5/31(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin N-098
    Microsoft Cumulative Patch for Internet Information Service (IIS)
    http://www.ciac.org/ciac/bulletins/n-098.shtml

Microsoft IIS 4.0、5.0 および 5.1 には、クロスサイトスクリプティングや
バッファオーバーフローなどの複数の脆弱性があります。結果として、サービ
ス運用妨害 (DoS) 攻撃を受けたり、ローカルユーザが IIS を実行しているユー
ザの権限を取得するなどの様々な影響を受ける可能性があります。

この問題は、Microsoft が提供する修正プログラムを適用することで解決しま
す。

  関連文書 (日本語)
    マイクロソフト セキュリティ情報
    Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018)
    http://www.microsoft.com/japan/technet/security/bulletin/MS03-018.asp


[2] CIAC Bulletin N-099
    Apache 2.0.46 Release Fixes Security Vulnerabilities
    http://www.ciac.org/ciac/bulletins/n-099.shtml

Apache HTTP サーバには、複数の脆弱性があります。結果として、遠隔から第
三者が Apache HTTP サーバを停止するなどの影響を受ける可能性があります。
対象となるのは、以下のバージョンの Apache HTTP サーバです。

  - Apache 2.0 バージョン 2.0.37 から 2.0.45 まで

この問題は、Apache HTTP サーバをバージョン 2.0.46 に更新する、もしくは
ベンダや配布元が提供している修正済みのパッケージに更新することで解決し
ます。

  関連文書 (英語)
    Apache HTTP Server Project
    Apache 2.0.46 Released
    http://www.apache.org/dist/httpd/Announcement2.html

    Red Hat Linux Security Advisory RHSA-2003:186-06
    Updated httpd packages fix Apache security vulnerabilities
    https://rhn.redhat.com/errata/RHSA-2003-186.html


[3] マイクロソフト セキュリティ情報
    Windows コンポーネントの未チェックのバッファにより サーバーが侵害される (815021) (MS03-007)
    http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

JPCERT/CC REPORT 2003-03-26号でも紹介した、Microsoft Windows に含まれ
る ntdll.dll の脆弱性に関する追加情報です。

この情報が最初に公開された時点では、対象となるのは Windows 2000 のみと
されていましたが、その後、Windows NT 4.0 および Windows XP に含まれる 
ntdll.dll にも同様の脆弱性が存在することが分かりました。

Windows NT 4.0 および Windows XP 用の修正プログラムは Microsoft から提
供されています。

  関連文書 (日本語)
    JPCERT/CC REPORT 2003-03-26号
    http://www.jpcert.or.jp/wr/2003/wr031201.txt

    JPCERT/CC REPORT 2003-04-30号
    http://www.jpcert.or.jp/wr/2003/wr031701.txt

    JPCERT/CC Vendor Status Note JVNCA-2003-09
    Microsoft Windows DLL にバッファオーバーフローの脆弱性
    http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-09.html

    JPCERT/CC Alert 2003-03-18
    Microsoft IIS 5.0 の脆弱性に関する注意喚起
    http://www.jpcert.or.jp/at/2003/at030003.txt

  関連文書 (英語)
    CERT Advisory CA-2003-09
    Buffer Overflow in Core Microsoft Windows DLL
    http://www.cert.org/advisories/CA-2003-09.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2003 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPt1MPox1ay4slNTtAQHDkQP/URLheuU9eJObddZNcD3bJvCsmPRFCzIH
aonDpCGt+OnWPyGOPf/2LPNWndZZXnj/ZjdGRip32qzg6GWVm58vRhM6/BvxgWUc
0h5j9hBqoy9/e5BUWfo+9SAYK2BkCQFLoTVHd3nYiockbZrJrsNAeMufUEtXdRU+
M/t2tqwXUM4=
=rwZe
-----END PGP SIGNATURE-----