-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-1801 JPCERT/CC 2004-05-12 <<< JPCERT/CC REPORT 2004-05-12 >>> これは JPCERT/CC が 4/25(日) から 5/8(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] W32/Sasser ワームに関する情報 US-CERT Current Activity W32/Sasser http://www.us-cert.gov/current/current_activity.html#sasser Microsoft Windows の Local Security Authority Subsystem Service (LSASS) の脆弱性を使って感染を広げるワーム W32/Sasser に関する情報です。 このワームは、2004年4月14日 (日本時間) に Microsoft が公開した修正プロ グラム MS04-011 が適用されていない Microsoft Windows 2000 および XP が 稼動しているホストの TCP 445番ポートにアクセスして感染します。また感染 したシステムの性能を大幅に低下させたり、不安定にさせたりすることが報告 されています。 感染を防ぐためには、Microsoft が提供する修正プログラム MS04-011 を適用 する必要があります。詳細については以下の文書をご参照ください。 関連文書 (日本語) マイクロソフト セキュリティ情報 Sasser ワームについてのお知らせ http://www.microsoft.com/japan/security/incident/sasser.mspx マイクロソフト セキュリティ情報 Sasser ワームおよび亜種についての警報 http://www.microsoft.com/japan/technet/security/alerts/sasser.mspx マイクロソフト セキュリティ情報 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp JPCERT/CC Alert 2004-05-04 Windows LSASS の脆弱性を使って伝播するワーム W32/Sasser http://www.jpcert.or.jp/at/2004/at040006.txt [2] BEA WebLogic Server および Express に含まれる認証の脆弱性 CIAC Bulletin O-132 BEA WebLogic Server and Express Certificate Spoofing Vulnerability http://www.ciac.org/ciac/bulletins/o-132.shtml US-CERT Vulnerability Note VU#566390 BEA WebLogic Server fails to properly validate certificate chains http://www.kb.cert.org/vuls/id/566390 BEA WebLogic Server および WebLogic Express には、証明書による認証処理 に脆弱性があります。結果として、遠隔から第三者が管理者権限を取得する可 能性があります。対象となるのは、全てのプラットフォーム版の以下のバージョ ンです。 - WebLogic Server および Express 8.1 Service Pack 2 およびそれ以前 - WebLogic Server および Express 7.0 Service Pack 4 およびそれ以前 この問題は、BEA が提供するパッチをインストールする、もしくは以下のバー ジョンに更新することで解決します。 - WebLogic Server および Express 8.1 Service Pack 3 (またはそれ以降) - WebLogic Server および Express 7.0 Service Pack 5 (またはそれ以降) 関連文書 (英語) BEA Security Advisory BEA04-54.00 Patches available to prevent user impersonation. http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA04_54.00.jsp [3] Apple QuickTime に含まれる脆弱性 CIAC Bulletin O-135 Apple QuickTime Integer Overflow http://www.ciac.org/ciac/bulletins/o-135.shtml US-CERT Vulnerability Note VU#782958 Apple QuickTime contains an integer overflow in the "QuickTime.qts" extension http://www.kb.cert.org/vuls/id/782958 Apple QuickTime バージョン 6.5 の QuickTime.qts 拡張コンポネントに脆弱 性があります。結果として、遠隔から第三者が QuickTime ファイルを経由し て QuickTime を実行しているユーザの権限を取得する可能性があります。 この問題は、QuickTime をバージョン 6.5.1 (またはそれ以降) に更新するこ とで解決します。 関連文書 (日本語) アップル - QuickTime - ダウンロード http://www.apple.co.jp/quicktime/download/ [4] HP Web JetAdmin に含まれる複数の脆弱性 CIAC Bulletin O-136 HP Web JetAdmin Vulnerabilities http://www.ciac.org/ciac/bulletins/o-136.shtml HP JetAdmin には、複数の脆弱性があります。結果として、遠隔から第三者が 管理者権限を取得する可能性があります。対象となるのは以下のバージョンの JetAdmin です。 - HP JetAdmin 6.2 およびそれ以前 - HP JetAdmin 6.5 - HP JetAdmin 7.0 この問題は JetAdmin をバージョン 7.5 (またはそれ以降) に更新することで 解決します。 [5] CDE dtlogin の XDMCP の処理に含まれる脆弱性 CIAC Bulletin O-129 Common Desktop Environment (CDE) dtlogin XDMCP parser Vulnerability http://www.ciac.org/ciac/bulletins/o-129.shtml US-CERT Vulnerability Note VU#179804 Common Desktop Environment (CDE) dtlogin XDMCP parser improperly deallocates memory http://www.kb.cert.org/vuls/id/179804 Common Desktop Environment (CDE) の dtlogin には、X Display Manager Control Protocol (XDMCP) の処理にメモリを二重に解放してしまう脆弱性が あります。結果として、遠隔から第三者が root 権限を取得する可能性があり ます。 この問題は、使用している OS のベンダが提供するパッチを適用することで解 決します。 パッチが提供されるまでの一時的な回避策としては、ルータなどのパケットフィ ルタリング機能を使って、XDMCP が用いる 177/udp ポートへのアクセスを制 限する方法があります。ただし、アクセスを許可したホストやネットワークか らの攻撃に対しては無防備であることに注意してください。特に UDP パケッ トは送信元アドレスの詐称が容易なため注意が必要です。 また XDMCP を使用する必要がない場合は、dtlogin の設定で XDMCP を無効に することを強くお勧めします。 関連文書 (英語) # 57539, Free Sun Alert Notifications Security Vulnerability Involving the Common Desktop Environment (CDE) dtlogin(1X) Command When Parsing XDMCP Requests http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert/57539 IBM SECURITY ADVISORY MSS-OAR-E01-2004:0545.1 dtlogin improperly handles some XDMCP requests. http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.0545.1 [6] Perl および ActivePerl に含まれるバッファオーバーフローの脆弱性 CIAC Bulletin O-130 Perl and ActivePerl win32_stat Buffer Overflow http://www.ciac.org/ciac/bulletins/o-130.shtml Microsoft Windows 上で動作する Perl の win32_stat 関数にはバッファオー バーフローの脆弱性があります。結果として、遠隔から第三者が Perl を実行 しているユーザの権限を取得する可能性があります。対象となるのは以下のバー ジョンの Perl です。 - ActiveState: ActivePerl バージョン 5.8.3 およびそれ以前 - Larry Wall: Perl バージョン 5.8.3 およびそれ以前 この問題は Perl をバージョン 5.8.4 (もしくはそれ以降) に更新する、また は配布元が提供するパッチを適用することで解決します。 [7] AIX LVM コマンドに含まれる複数の脆弱性 CIAC Bulletin O-131 AIX Symlink and Buffer Overflow Vulnerabilities in LVM Commands http://www.ciac.org/ciac/bulletins/o-131.shtml IBM AIX バージョン 5.1 および 5.2 には、LVM コマンドにバッファオーバー フローなどの複数の脆弱性があります。結果として、ローカルユーザが root 権限を取得する可能性があります。 この問題は、IBM が提供する修正パッケージをインストールすることで解決し ます。 関連文書 (英語) IBM SECURITY ADVISORY MSS-OAR-E01-2004:0544.2 symlink and buffer overflow vulnerabilities in LVM commands http://www-1.ibm.com/services/continuity/recover1.nsf/mss/MSS-OAR-E01-2004.0544.2 [8] SGI IRIX のネットワーク機能に含まれる複数の脆弱性 CIAC Bulletin O-137 SGI IRIX Networking Security Vulnerabilities http://www.ciac.org/ciac/bulletins/o-137.shtml SGI IRIX のネットワーク機能には複数の脆弱性があります。結果として、サー ビス運用妨害 (DoS) 攻撃を受ける可能性があります。この問題は、SGI が提 供するパッチを適用することで解決します。 [9] Linux カーネルに含まれる脆弱性に関する追加情報 CIAC Bulletin O-127 Debian linux-kernel-2.4.16 Vulnerabilities http://www.ciac.org/ciac/bulletins/o-127.shtml JPCERT/CC REPORT 2004-04-21号の [4] でも紹介した、Linux カーネルに含ま れる脆弱性に関する追加情報です。 関連文書 (日本語) JPCERT/CC REPORT 2004-04-21号 [4] http://www.jpcert.or.jp/wr/2004/wr041601.txt [10] OpenSSL の SSL/TLS ハンドシェイクの処理に含まれる脆弱性に関する追加情報 JPCERT/CC REPORT 2004-03-24号 [1] でも紹介した、OpenSSL の SSL/TLS ハ ンドシェイクの処理に含まれる脆弱性に関する追加情報です。 # 57524, Security Sun Alert 日本語版 Potential SSL Vulnerabilities in Sun Products http://jp.sunsolve.sun.com/pub-cgi/retrieve.pl?doc=jsecalert/57524 関連文書 (日本語) JPCERT/CC REPORT 2004-03-24号 [1] http://www.jpcert.or.jp/wr/2004/wr041201.txt JPCERT/CC Vendor Status Note JVNTA04-078A OpenSSL に複数の脆弱性 http://jvn.doi.ics.keio.ac.jp/vn/JVNTA04-078A.html [11] JPCERT/CC インターネット定点観測システム 2004年5月5日(水) - 2004年5月11日(火) の概況 http://www.jpcert.or.jp/isdas/ インターネット定点観測システム (ISDAS) のデータが更新されました。今回 は 2004年5月5日(水)から 2004年5月11日(火)の観測データを紹介しています。 [今週の一口メモ] * 修正プログラム適用時の注意 修正プログラムやパッチが未適用のシステムはネットワークから切り離してお くことが推奨されます。しかし、もし修正プログラム適用のためにネットワー クへの接続が必要な場合は、パケットフィルタリング機能によって外部から当 該システムへのアクセスおよび当該システムから外部へのアクセスが適切に制 限されていることを確認してからネットワークに接続することを強くお勧めし ます。 パケットフィルタリング機能は、ルータやファイアウォールで実現できますが、 Microsoft Windows XP などのように OS 自体がその機能を有している場合も あります。詳細についてはマニュアルをご参照ください。 参考文献 (日本語) マイクロソフト セキュリティスクエア Windows XP のパーソナルファイアウォール http://www.microsoft.com/japan/security/square/guard/a04g5.asp [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQKF+zYx1ay4slNTtAQEF8QQAvvfzatgyDo2vSUr6K5Hw4GSNlSpqgKJR 9wuxgGc5e8OI27Ua6QYKM44m9kGYKpVavzXkCQ5TM88YH6RTVF3q/IV/GQIU5L7P fegLby/DKigDw9PhdFe81Xzld3rc3myQTl+mPOYKOZoekvaiBym+OQYWgqrQ3YW+ ftxi8mEmzsQ= =cT+S -----END PGP SIGNATURE-----