-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2003-4501 JPCERT/CC 2003-11-12 <<< JPCERT/CC REPORT 2003-11-12 >>> これは JPCERT/CC が 11/2(日) から 11/8(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin O-018 Hewlett Packard Java VM Classloader (J2SE) http://www.ciac.org/ciac/bulletins/o-018.shtml Sun Java ランタイム環境 (JRE) クラスローダには、アプレットの扱いに脆弱 性があります。結果として、遠隔から第三者が管理者権限を取得する可能性が あります。対象となるのは、以下のリリースの JRE および SDK (Software Development Kit) です。 - 1.4.1_03 およびそれ以前の 1.4.1 リリース - 1.3.1_08 およびそれ以前の 1.3.1 リリース - 1.2.2_015 およびそれ以前の 1.2.2 リリース なお、1.4.2 およびそれ以降のリリースには、この問題が存在しないことが報 告されています。 この問題は、SDK や JRE を以下のリリースに更新する、または使用している OS のベンダや配布元が提供する修正済みのパッケージに更新することで解決 します。 - 1.4.2 リリース - 1.4.1_04 またはそれ以降の 1.4.1 リリース - 1.3.1_09 またはそれ以降の 1.3.1 リリース - 1.2.2_016 またはそれ以降の 1.2.2 リリース 関連文書 (日本語) # 57221, Security Sun Alert 日本語版 A Vulnerability in JRE May Allow an Untrusted Applet to Escalate Privileges http://jp.sunsolve.sun.com/pub-cgi/retrieve.pl?doc=jsecalert/57221 HEWLETT-PACKARD COMPANY セキュリティ報告: HPSBUX0311-295 SSRT3659 Java VMクラスローダー(J2SE) http://www3.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0311-295.html [2] CIAC Bulletin O-017 Oracle SQL Injection Vulnerability in Oracle9i Application Server http://www.ciac.org/ciac/bulletins/o-017.shtml Oracle9i Application Server の Portal コンポーネントには、脆弱性があり ます。結果として、遠隔から第三者がユーザデータにアクセスする可能性があ ります。対象となるのは以下のリリースです。 - Oracle9i Application Server Portal Release 1, v 3.0.9.8.5 (およびそれ以前) - Oracle9i Application Server Portal Release 2, v 9.0.2.3.0 (およびそれ以前) この問題は、Oracle が提供するパッチを適用することで解決します。 関連文書 (日本語) Oracle Technology Network セキュリティ・アラート Oracle9i Application ServerにおけるSQLインジェクション脆弱性 http://otn.oracle.co.jp/security/ [3] NISCC Vulnerability Advisory - 006489/SMIME Vulnerability Issues in Implementations of the S/MIME Protocol http://www.uniras.gov.uk/vuls/2003/006489/smime.htm CERT/CC Vulnerability Note VU#428230 Multiple vulnerabilities in S/MIME implementations http://www.kb.cert.org/vuls/id/428230 S/MIME プロトコルのいくつかの実装には、Abstract Syntax Notation One (ASN.1) の処理などに脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を受けたり、遠隔から第三者が管理者権限を取得する可能性があり ます。 この問題は、使用している製品のベンダが提供している情報にしたがって、ソ フトウェアを更新するなどの方法で解決します。 関連文書 (日本語) HITACHI : HS03-006 : 製品セキュリティ情報 S/MIMEに関するセキュリティ問題の説明 http://www.hitachi-support.com/security/vuls/HS03-006/ セキュリティ > NISCC情報 - FUJITSU Japan NISCC Vulnerability Advisory情報 http://software.fujitsu.com/jp/security/niscc/niscc.html [4] NISCC Vulnerability Advisory 006489/X400 Vulnerability Issues in Implementations of the X.400 Protocol http://www.uniras.gov.uk/vuls/2003/006489/x400.htm CERT/CC Vulnerability Note VU#927278 Multiple vulnerabilities in X.400 implementations http://www.kb.cert.org/vuls/id/927278 X.400 プロトコルのいくつかの実装には、Abstract Syntax Notation One (ASN.1) の処理などに脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を受けたり、遠隔から第三者が管理者権限を取得する可能性があり ます。 この問題は、使用している製品のベンダが提供している情報にしたがって、ソ フトウェアを更新するなどの方法で解決します。 関連文書 (日本語) セキュリティ > NISCC情報 - FUJITSU Japan NISCC Vulnerability Advisory情報 http://software.fujitsu.com/jp/security/niscc/niscc.html [5] NISCC Vulnerability Advisory 006489/OpenSSL2 Vulnerability Issue in OpenSSL http://www.uniras.gov.uk/vuls/2003/006489/openssl2.htm Microsoft Windows 用の OpenSSL バージョン 0.9.6k には、Abstract Syntax Notation One (ASN.1) の処理に脆弱性があります。結果として、サービス運 用妨害 (DoS) 攻撃を受ける可能性があります。 この問題は、OpenSSL をバージョン 0.9.6l もしくは 0.9.7c に更新し、 OpenSSL のライブラリを静的にリンクしているプログラムを再コンパイルする ことで解決します。 関連文書 (日本語) セキュリティ > NISCC情報 - FUJITSU Japan NISCC Vulnerability Advisory情報 http://software.fujitsu.com/jp/security/niscc/niscc.html JPCERT/CC Vendor Status Note JVNCA-2003-26 SSL/TLS の実装に複数の脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-26.html 関連文書 (英語) OpenSSL Security Advisory [4 November 2003] Denial of Service in ASN.1 parsing http://www.openssl.org/news/secadv_20031104.txt [6] Apache HTTP サーバの脆弱性に関する追加情報 JPCERT/CC REPORT 2003-11-06号でも紹介した、Apache HTTP サーバの脆弱性 に関する追加情報です。 Vine Linux errata Apache にセキュリティホール http://vinelinux.org/errata/25x/20031106-1.html Miracle Linux アップデート情報 apache セキュリティ 2003/11/04 モジュールに含まれるバッファオーバーフロー他 http://www.miraclelinux.com/support/update/data/apache.html 関連文書 (日本語) JPCERT/CC REPORT 2003-11-06号 http://www.jpcert.or.jp/wr/2003/wr034401.txt [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2003 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBP7GOTYx1ay4slNTtAQE1VgQAlbkLeTPOHgERjbmyF8oCIoE8UjklY85c orDC99QrTsfD/lRKK7A0ixO/LqxpuYPufTnkXcTeme9ElG9hgVBf6Tu4eV9QXizO BCRWAXUmoRbqw+UKdKM3p7mtaJ/56Z0XGzeQRh3Y6/7QOWNjvR8ZXp/wMdDY4kgj K8aa1JugV2w= =lLnk -----END PGP SIGNATURE-----