-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-2001
                                                               JPCERT/CC
                                                              2004-05-26

                 <<< JPCERT/CC REPORT 2004-05-26 >>>

これは JPCERT/CC が 5/16(日) から 5/22(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CVS サーバに含まれるヒープバッファオーバーフローの脆弱性

    CIAC Bulletin O-147
    Linux CVS Server Heap Overflow Vulnerability
    http://www.ciac.org/ciac/bulletins/o-147.shtml

CVS サーバにはヒープバッファが溢れてしまう脆弱性があります。結果として、
遠隔から第三者が CVS サーバを実行しているユーザの権限を取得する可能性
があります。対象となるのは以下のバージョンです。

  - バージョン 1.11.15 およびそれ以前の 1.11.x
  - バージョン 1.12.7  およびそれ以前の 1.12.x

この問題は、CVS をバージョン 1.11.16 (もしくはそれ以降) または 1.12.8
(もしくはそれ以降) に更新することで解決します。また、使用している OS 
のベンダや配布元が提供している修正済みのパッケージに CVS を更新するこ
とでも解決します。

  関連文書 (日本語)
    Vine Linux errata
    cvs にセキュリティホール
    http://vinelinux.org/errata/25x/20040520-4.html

    Debian セキュリティ警告 DSA-505-1
    cvs -- ヒープオーバフロー
    http://www.debian.org/security/2004/dsa-505.ja.html

    Red Hat セキュリティアドバイス RHSA-2004:190-14
    Updated cvs package fixes security issue
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-190J.html

  関連文書 (英語)
    Concurrent Versions System - The open standard for version control
    http://www.cvshome.org/

    FreeBSD Security Advisory FreeBSD-SA-04:10.cvs
    CVS pserver protocol parser errors
    ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-04:10.cvs.asc

    OpenBSD 3.5 errata 007: SECURITY FIX: May 20, 2004
    http://www.openbsd.org/errata.html#cvs2


[2] Ethereal に複数の脆弱性

    CIAC Bulletin O-150
    Multiple Security Problems in Ethereal 0.10.3
    http://www.ciac.org/ciac/bulletins/o-150.shtml

Ethereal には、4つのプロトコルの処理にバッファオーバーフローなどの脆弱
性があります。結果として、サービス運用妨害 (DoS) 攻撃を受けたり、遠隔
から第三者が root 権限を取得したりする可能性があります。対象となるのは、
以下のバージョンです。

  - バージョン 0.9.8 から 0.10.3

この問題は、Ethereal をバージョン 0.10.4 (またはそれ以降) に更新するこ
とで解決します。

  関連文書 (英語)
    Ethereal enpa-sa-00014
    Multiple security problems in Ethereal 0.10.3
    http://www.ethereal.com/appnotes/enpa-sa-00014.html


[3] Symantec Norton AntiVirus 2004 の ActiveX コントロールに含まれる脆弱性

    CIAC Bulletin O-149
    Norton AntiVirus 2004 ActiveX Control Vulnerability
    http://www.ciac.org/ciac/bulletins/o-149.shtml

Symantec Norton AntiVirus 2004 の ActiveX コントロールには、外部からの
入力を適切に確認および認証しない脆弱性があります。結果として、サービス
運用妨害 (DoS) 攻撃を受けたり、遠隔から第三者がユーザの権限を取得した
りする可能性があります。この問題は、Symantec LiveUpdate を実行すること
で解決します。

  関連文書 (日本語)
    Symantec Security Response SYM04-009
    Symantec Norton AntiVirus 2004 に ActiveX コントロールの脆弱性
    http://www.symantec.com/region/jp/sarcj/security/content/2004.05.20.html

    FMWORLD.NET
    Symantec Norton AntiVirus 2004 の脆弱性に関するお知らせ
    http://www.fmworld.net/biz/common/symantec/nav2004.html


[4] Neon と Cadaver に含まれるバッファオーバーフローの脆弱性

    CIAC Bulletin O-148
    Linux Neon and Cadaver Buffer Overflow Vulnerability
    http://www.ciac.org/ciac/bulletins/o-148.shtml

neon ライブラリおよび cadaver には、バッファオーバーフローの脆弱性があ
ります。結果として、遠隔から第三者が WebDAV サーバなどを経由して、neon 
ライブラリを使用しているクライアントプログラムや cadaver を実行してい
るユーザの権限を取得する可能性があります。この問題は、使用している OS 
のベンダや配布元が提供している修正済みのパッケージに neon および 
cadaver を更新することで解決します。

  関連文書 (日本語)
    Debian セキュリティ警告 DSA-506-1
    neon -- バッファオーバフロー
    http://www.debian.org/security/2004/dsa-506.ja.html

    Debian セキュリティ警告 DSA-507-1
    cadaver -- バッファオーバフロー
    http://www.debian.org/security/2004/dsa-507.ja.html

    Red Hat セキュリティアドバイス RHSA-2004:191-06
    Updated cadaver package fixes security vulnerability in neon
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-191J.html


[5] kdelibs の URI 処理に含まれる脆弱性

    CIAC Bulletin O-146
    kdelibs Package Vulnerabilities
    http://www.ciac.org/ciac/bulletins/o-146.shtml

kdelibs には、telnet URI と mailto URI の処理に脆弱性があります。結果
として、遠隔から第三者が Web ページや HTML 形式の電子メールなどを経由
して、ユーザの権限を取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供している修正済みのパッ
ケージに kdelibs を更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2004:222-11
    URIのセキュリティ問題を解決したkdelibsのアップデートパッケージ
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2004-222J.html


[6] JPCERT/CC インターネット定点観測システム
    2004年5月19日(水) - 2004年5月25日(火) の概況
    http://www.jpcert.or.jp/isdas/

インターネット定点観測システム (ISDAS) のデータが更新されました。今回
は 2004年5月19日(水)から 2004年5月25日(火)の観測データを紹介しています。



[今週の一口メモ]

* 新しいコンピュータをインターネットに接続する前に

新しいコンピュータ (クライアント PC およびサーバ) を導入した場合、また
は OS を更新した場合には、標準の状態のままインターネットに接続すること
は避けるべきと考えられています。理由として以下のような点が挙げられます。

  - 標準設定が安全でない場合が多い。

  - 製品やソフトウェアのメディアが作成されてから現在までの間にセキュリ
    ティ上の問題が発見・公開されている場合がある。

  - 上記のセキュリティ上の問題を使った攻撃手法が既に公開されていたり、
    それを使って感染するワームが発生していたりする場合がある。

新規導入後または更新後は、できるだけ速やかに、まず以下の作業を行なうこ
とが推奨されます。

  - 不要なサービスの停止。

  - 最新のセキュリティパッチの適用。

なお、パッチの適用時にインターネットに接続する必要がある場合は、必ずファ
イアウォールなどで外部からのアクセスが制限された状態で行なってください。

  参考文献 (英語)
    CERT/CC Tech Tip
    Before You Connect a New Computer to the Internet
    http://www.cert.org/tech_tips/before_you_plug_in.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQLPzMIx1ay4slNTtAQFlHAP/W+9+frXI7j/vd0RpqD0l/8Wr6PpMxSiH
AVGvIfw++f/zsxdbOq371W+HgZ7Y11GLOgp2Mx2nvy7gJFcsKxvLumRCt5oNQYqW
MU7YE5MMtvg/SEuj4RCT3aypBIWwnDl6ZVDCqXBIjid50aFFFUfhrp2SqSYT/8yx
2wSQQrgf1d4=
=xyWj
-----END PGP SIGNATURE-----