-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-4101 JPCERT/CC 2004-10-20 <<< JPCERT/CC REPORT 2004-10-20 >>> これは JPCERT/CC が 10/10(日) から 10/16(土) の間に得たセキュリティ関 連情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Microsoft 製品の複数の脆弱性 US-CERT Cyber Security Alert SA04-286A Multiple Vulnerabilities in Microsoft Windows, Internet Explorer, and Excel http://www.us-cert.gov/cas/alerts/SA04-286A.html CIAC Bulletin P-005 Windows SMTP Vulnerability could Allow Remote Code Execution http://www.ciac.org/ciac/bulletins/p-005.shtml CIAC Bulletin P-006 Microsoft Cumulative Security Update for Internet Explorer (834707) http://www.ciac.org/ciac/bulletins/p-006.shtml CIAC Bulletin P-007 Microsoft Windows Shell and Program Group Converter Vulnerabilities http://www.ciac.org/ciac/bulletins/p-007.shtml CIAC Bulletin P-008 Microsoft Security Update for Microsoft Windows (840987) http://www.ciac.org/ciac/bulletins/p-008.shtml CIAC Bulletin P-009 Microsoft Excel Vulnerability Could Allow Remote Code Execution http://www.ciac.org/ciac/bulletins/p-009.shtml CIAC Bulletin P-010 Microsoft Compressed (Zipped) Folders Vulnerability http://www.ciac.org/ciac/bulletins/p-010.shtml Microsoft 製品のいくつかには複数の脆弱性があります。結果として、遠隔か ら第三者が管理者権限を取得するなど様々な影響を受ける可能性があります。 対象となるのは以下の製品です。 - Microsoft Windows - Microsoft Exchange Server - Microsoft Internet Explorer - Microsoft Excel (Macintosh 版含む) 対象バージョンなどの詳細については、以下の関連文書を参照してください。 この問題は、Microsoft が提供する修正プログラムを適用することで解決しま す。 関連文書 (日本語) マイクロソフト セキュリティ情報 SMTP の脆弱性により、リモートでコードが実行される (885881) (MS04-035) http://www.microsoft.com/japan/technet/security/bulletin/ms04-035.asp マイクロソフト セキュリティ情報 Internet Explorer 用の累積的なセキュリティ更新プログラム (834707) (MS04-038) http://www.microsoft.com/japan/technet/security/bulletin/ms04-038.asp マイクロソフト セキュリティ情報 Windows シェルの脆弱性により、リモートでコードが実行される (841356) (MS04-037) http://www.microsoft.com/japan/technet/security/bulletin/ms04-037.asp マイクロソフト セキュリティ情報 Microsoft Windows のセキュリティ更新プログラム (840987) (MS04-032) http://www.microsoft.com/japan/technet/security/bulletin/ms04-032.asp マイクロソフト セキュリティ情報 Microsoft Excel の脆弱性により、コードが実行される (886836) (MS04-033) http://www.microsoft.com/japan/technet/security/bulletin/ms04-033.asp マイクロソフト セキュリティ情報 圧縮 (zip 形式) フォルダの脆弱性により、コードが実行される (873376) (MS04-034) http://www.microsoft.com/japan/technet/security/bulletin/ms04-034.asp [2] 東芝製 HDD & DVD ビデオレコーダに認証なしでアクセス可能な脆弱性 JP Vendor Status Notes - JP - JVN#E7DDE712 東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能 http://jvn.jp/jp/JVN%23E7DDE712.html 東芝製 HDD & DVD ビデオレコーダには、外部から認証を経ずにアクセスでき てしまう脆弱性があります。結果として、オープンプロキシとして、いわゆる コメントスパムをはじめとした、Web サイトなどへの大量のデータ送信の踏み 台に使用される可能性があります。 この問題は、東芝が提供する修正済みのソフトウェアに更新した上で、セキュ リティ設定を有効にすることで解決します。詳細については、以下の関連文書 をご参照ください。 関連文書 (日本語) 重要なお知らせ:セキュリティ設定のお願い http://www.rd-style.com/support/info/security/security.htm [3] SSL-VPN 製品の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-10-06号の [1] でも紹介した、SSL-VPN 製品における Cookie の脆弱性に関する追加情報です。 US-CERT Vulnerability Note VU#546483 Multiple networking devices fail to set the "Secure" attribute of a cookie http://www.kb.cert.org/vuls/id/546483 関連文書 (日本語) JP Vendor Status Notes - JP - JVN#67B82FA3 SSL-VPN製品におけるCookieの脆弱性 http://jvn.jp/jp/JVN%2367B82FA3.html JPCERT/CC REPORT 2004-10-06号 [1] http://www.jpcert.or.jp/wr/2004/wr043901.txt [4] Cyrus SASL の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-10-14号の [1] でも紹介した、Cyrus SASL の脆弱性 に関する追加情報です。 Miracle Linux アップデート情報 cyrus-sasl セキュリティ cyrus-sasl に権限昇格の脆弱性 http://www.miraclelinux.com/support/update/data/cyrus-sasl.html 関連文書 (日本語) JPCERT/CC REPORT 2004-10-14号 [1] http://www.jpcert.or.jp/wr/2004/wr044001.txt [5] JEITA/JISA「製品開発ベンダーにおける脆弱性情報取扱に関する体制と手 順整備のためのガイドライン」公表 http://it.jeita.or.jp/infosys/info/0407JEITA-guideline/ 社団法人電子情報技術産業協会 (JEITA) と社団法人情報サービス産業協会 (JISA) は、本年7月7日に告示された「ソフトウェア等脆弱性関連情報取扱基 準」に基づいて、「製品開発ベンダーにおける脆弱性情報取扱に関する体制と 手順整備のためのガイドライン」を公表しました。 関連文書 (日本語) JPCERT/CC 脆弱性情報コーディネーション概要 http://www.jpcert.or.jp/vh/ 経済産業省 脆弱性関連情報取扱体制について http://www.meti.go.jp/policy/netsecurity/vulhandlingG.html 独立行政法人 情報処理推進機構(IPA) 脆弱性関連情報の取扱い http://www.ipa.go.jp/security/vuln/ [今週の一口メモ] * US-CERT から公開される脆弱性情報について US-CERT から公開される Vulnerability Notes には、個々の情報に Metric と呼ばれる数字が記載されています。この数字は、脆弱性の深刻度を大まかに 示す数値として 0 から 180 の間で設定され、以下のような要件で決められて います。 - その脆弱性の一般への影響度または認知度 - その脆弱性を使ったインシデントの US-CERT への報告の有無 - その脆弱性の、インターネットのインフラにおける脅威の有無 - その脆弱性の脅威にさらされる、インターネット上のシステムの概数 - その脆弱性を悪用することによる影響内容 - その脆弱性を悪用することの難易度 - その脆弱性を悪用するのに必要な環境/条件 このようにして決められた Metric が 40 を超えた場合、US-CERT は、その脆 弱性情報を US-CERT Technical Alerts の候補にします。ただし、数値そのも のが深刻度を示すとは限らないことに注意してください。例えば、Metric 40 の情報が Metric 20 の情報に比べて 2倍深刻であるとは限らない、というこ とです。 参考文献 (英語) US-CERT Vulnerability Notes http://www.kb.cert.org/vuls/ US-CERT Vulnerability Notes Field Descriptions http://www.kb.cert.org/vuls/html/fieldhelp#metric [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQXW/rIx1ay4slNTtAQFyAQP+Ml/ekPYh49CWApowgYMjLJWzkKGLULpq Fhom6zncMLm073/pjP/zQ8B6eIJWLctHXOn4VHnYYIoXFsNbVUW0g4UXFp9yedH/ biYv+xALOHjzUYk8xS2xdOpcP75JElVNNadnFP3047pKSF0fIFNIXDn+zy0vwFzk S1lcH6rIGKY= =b3lo -----END PGP SIGNATURE-----