-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2004-4301 JPCERT/CC 2004-11-04 <<< JPCERT/CC REPORT 2004-11-04 >>> これは JPCERT/CC が 10/24(日) から 10/30(土) の間に得たセキュリティ関 連情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Windows 版 RealPlayer のバッファオーバーフローの脆弱性 CIAC Bulletin P-023 RealPlayer Vulnerability http://www.ciac.org/ciac/bulletins/p-023.shtml RealNetworks の RealPlayer (Windows 版) には、スキンファイルの処理にバッ ファオーバーフローの脆弱性があります。結果として、遠隔から第三者がスキ ンファイルを経由して、RealPlayer を実行しているユーザの権限を取得する 可能性があります。対象となるのは以下のバージョンです。 - RealPlayer 10、10.5 および 10.5ベータ版 - RealOne Player v1 および v2 なお、Windows 版以外には、この問題が存在しないことが報告されています。 この問題は、RealNetworks が提供するセキュリティアップデートをインストー ルする、または RealPlayer をバージョン 10.5 (6.0.12.1056) に更新するこ とで解決します。 関連文書 (日本語) カスタマ サポート - Real セキュリティ アップデート RealNetworks, Inc.、セキュリティ脆弱性に対応するアップデートをリリース http://www.service.real.com/help/faq/security/041026_player/JA/ [2] Windows 版 QuickTime のバッファオーバーフローの脆弱性 CIAC Bulletin P-022 QuickTime for Windows Vulnerability http://www.ciac.org/ciac/bulletins/p-022.shtml Apple QuickTime (Windows 版) には、バッファオーバーフローの脆弱性があ ります。結果として、遠隔から第三者が QuickTime が再生するファイルを経 由して、QuickTime を実行しているユーザの権限を取得する可能性があります。 なお、Windows 版以外には、この問題が存在しないことが報告されています。 この問題は、Apple が提供するセキュリティアップデートをインストールする、 または QuickTime をバージョン 6.5.2 に更新することで解決します。 関連文書 (英語) Apple Security Updates http://www.info.apple.com/kbnum/n61798 [3] HP Serviceguard の認証の脆弱性 CIAC Bulletin P-021 HP Serviceguard Vulnerability http://www.ciac.org/ciac/bulletins/p-021.shtml Hewlett Packard の Serviceguard には、ユーザの認証方法に脆弱性がありま す。結果として、遠隔から第三者が root 権限を取得する可能性があります。 この問題は Hewlett Packard が提供するパッチをインストールすることで解 決します。 関連文書 (英語) Serviceguard White Papers Securing Serviceguard http://docs.hp.com/hpux/ha/#ServiceGuard [4] Internet Week 2004 における JPCERT/CC 主催プログラム内容一部変更 Security Day 〜右手に技術、左手にポリシー、心に愛〜 http://internetweek.jp/program/shosai.asp?progid=C3 パシフィコ横浜で開催される Internet Week 2004 における JPCERT/CC およ び JNSA、Telecom-ISAC Japan 共催のカンファレンスプログラム Security Day のプログラムのうち、一部内容が以下のように変更されました。 11:10-12:30 パネル「情報家電の脆弱性」(仮) 詳細については決まり次第、上記 Web ページに掲載しますので、適宜ご参照 ください。また、Security Day についてのお問い合わせは security-day@jnsa.org までお願いします。 なお、参加申込の締切が 11月19日(金) 18:00 に迫っています。参加申込につ いてのお問合せは iw2004@pac.ne.jp までお願いします。また、Internet Week 2004 の運営全般についてのお問い合わせは iw2004-info@nic.ad.jp ま でお願いします。 関連文書 (日本語) Internet Week 2004 http://internetweek.jp/ [今週の一口メモ] * パスワードの決定 パスワードを決める際には以下のような点に注意することが推奨されます。 - 電話番号や誕生日など、個人情報を基にした文字列は使用しない。 - 何らかの言語の何らかの辞書に載っている単語を使用しない。 - 複雑なパスワードを記憶する方法を考える。 - アルファベットの大文字と小文字を混ぜる。 - アルファベット、数字、特殊記号を混ぜる。 - 異なるシステムに対しては異なるパスワードを使用する。 具体的には、意図的にスペルミスした単語 (文字列) を用いたり、記憶しやす い「文」を基に文字列を生成するなどの方法があります。例えば、 I like to play basketball. という記憶しやすい文で、音や字形の近い文字に置き換えて、各単語の頭文字 などを取り出すと共に、大文字と小文字を混ぜることで、Il!2pBb. という文 字列を生成するといったような方法があります。 I like to play basketball. ==> I l!ke 2 play Basket ball . ==> I l! 2 p B b . ==> Il!2pBb. 参考文献 (英語) US-CERT Cyber Security Tip ST04-002 Choosing and Protecting Passwords http://www.us-cert.gov/cas/tips/ST04-002.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2004 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQYl4Eox1ay4slNTtAQHbXQQArGGQ47nOh6L3yiKKvYSAXpQ2d4PflLs5 LjZIN5Cm6c6kAHNMUPq9BYXj5Eu1BNtKkzKHK/WURKRhWIiJ02GwgjjYfHKs5zlr tJaCF/OW2XPI63OKHCNOPddhwJZ05W/IwZ9tahRPXm+vJIyVCvxpcy58Msh1e0xJ xGMGl9piDVQ= =1fne -----END PGP SIGNATURE-----