-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-4501
                                                               JPCERT/CC
                                                              2004-11-17

                 <<< JPCERT/CC REPORT 2004-11-17 >>>

これは JPCERT/CC が 11/7(日) から 11/13(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Microsoft Internet Explorer のバッファオーバーフローの脆弱性

    US-CERT Technical Cyber Security Alert TA04-315A
    Buffer Overflow in Microsoft Internet Explorer
    http://www.us-cert.gov/cas/techalerts/TA04-315A.html

    US-CERT Cyber Security Alert SA04-315A
    Vulnerability in Microsoft Internet Explorer
    http://www.us-cert.gov/cas/alerts/SA04-315A.html

    US-CERT Vulnerability Note VU#842160
    Microsoft Internet Explorer vulnerable to buffer overflow via FRAME, IFRAME, and EMBED elements
    http://www.kb.cert.org/vuls/id/842160

Microsoft Internet Explorer (以降 MSIE) には、FRAME や IFRAME などのタ
グの SRC や NAME 属性の処理にバッファオーバーフローの脆弱性があります。
結果として、遠隔から第三者が Web ページや HTML 形式の電子メールを経由
して MSIE を実行しているユーザの権限を取得する可能性があります。

なお、この問題は Windows XP SP2 には存在しないことが報告されています。

この問題を解決するための修正プログラムが Microsoft から提供されるまで
の回避策としては以下のような方法があります。

  - Active スクリプティングを無効にする
  - 不審なリンクをたどらない
  - プレインテキスト形式で電子メールを送受信する
  - ウィルス検知ソフトのパターンファイルを最新に保つ

詳細については、上記文書をご参照ください。

  関連文書 (日本語)
    JP Vendor Status Notes - CERT/CC - JVNTA04-315A
    Microsoft Internet Explorerにバッファオーバーフロー
    http://jvn.jp/cert/JVNTA04-315A.html


[2] Cisco IOS の DHCP の処理に含まれる脆弱性

    Technical Cyber Security Alert TA04-316A
    Cisco IOS Input Queue Vulnerability
    http://www.us-cert.gov/cas/techalerts/TA04-316A.html

    US-CERT Vulnerability Note VU#630104
    Cisco IOS fails to properly handle malformed DHCP packets
    http://www.kb.cert.org/vuls/id/630104

    CIAC Bulletin P-034
    Cisco IOS DHCP Blocked Interface Denial-of-Service
    http://www.ciac.org/ciac/bulletins/p-034.shtml

Cisco IOS には、Dynamic Host Configuration Protocol (DHCP) パケットの
受信処理に脆弱性があります。結果として、サービス運用妨害 (DoS) 攻撃を
受ける可能性があります。対象となる IOS のバージョンや製品の詳細につい
ては、上記文書および下記関連文書をご参照ください。

この問題は、Cisco が提供する修正済みのソフトウェアに更新することで解決
します。

  関連文書 (日本語)
    JP Vendor Status Notes - CERT/CC - JVNTA04-316A
    Cisco IOS Input Queue の脆弱性
    http://jvn.jp/cert/JVNTA04-316A.html

  関連文書 (英語)
    Cisco Security Advisory
    Cisco IOS DHCP Blocked Interface Denial-of-Service
    http://www.cisco.com/warp/public/707/cisco-sa-20041110-dhcp.shtml


[3] libgd のバッファオーバーフローの脆弱性

    CIAC Bulletin P-033
    "libgd" Integer Overflows
    http://www.ciac.org/ciac/bulletins/p-033.shtml

GD ライブラリ libgd には、PNG 形式の画像ファイルのデコード処理にバッファ
オーバーフローの脆弱性があります。結果として、PNG 形式の画像ファイルを
経由して、遠隔から第三者が libgd をリンクしたアプリケーションを実行し
ているユーザの権限を取得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに libgd を更新することで解決します。

  関連文書 (英語)
    Debian Security Advisory DSA-589-1
    libgd1 -- integer overflows
    http://www.debian.org/security/2004/dsa-589.en.html

    Debian Security Advisory DSA-591-1
    libgd2 -- integer overflows
    http://www.debian.org/security/2004/dsa-591.en.html


[4] Internet Week 2004 参加申込締切迫る

    Internet Week 2004
    http://internetweek.jp/

2004年11月30日(火) から 12月3日(金) にわたって、パシフィコ横浜会議セン
ターで開催される Internet Week 2004 の参加申込受付の締切が 11月19日(金)
18:00 に迫っています。締切後は当日、会場受付にて参加申込をお願いします。

参加申込についてのお問合せは iw2004@pac.ne.jp までお願いします。また、
Internet Week 2004 の運営全般についてのお問い合わせは 
iw2004-info@nic.ad.jp までお願いします。

JPCERT/CC が JNSA および Telecom-ISAC Japan と共催で行なうカンファレン
ス「Security Day」のプログラム内容が更新されています。詳細は以下の Web 
ページをご参照ください。

    Security Day ～右手に技術、左手にポリシー、心に愛～
    http://internetweek.jp/program/shosai.asp?progid=C3



[今週の一口メモ]

* ノートパソコンや PDA を守るために その2

出張等の際にオフィス外で使用するノートパソコンや PDA については、物理
的な「盗難」による情報漏洩だけでなく、様々なネットワークに接続する機会
が多いことから、ネットワーク経由での情報の「盗難」の被害を受ける危険性
が高いと考えられます。このような被害を防ぐ、または被害を最低限に抑える
ために、以下の点に注意することが推奨されます。

  - パスワードを適切に運用する
     o パスワードをコンピュータに (可能な限り) 記憶させない
     o 他人が容易に推測可能なパスワードを使用しない
     o 異なるプログラム (システム) に対しては異なるパスワードを設定する
  - 重要なデータは安全且つ物理的に離れた場所に保管する
  - ファイルまたはファイルシステムを暗号化する
  - ウィルス検知ソフトをインストールし、パターンファイルを最新に保つ
  - ファイアウォール (パケットフィルタ) ソフトウェアをインストールし、
    コンピュータを出入りするパケットを制限する
  - 盗難された (漏洩した) データが何であるか後で確認できるようにデータ
    を (定期的に) バックアップしておく

  参考文献 (日本語)
    JPCERT/CC REPORT 2004-09-15号「今週の一口メモ」
    http://www.jpcert.or.jp/wr/2004/wr043601.txt

  参考文献 (英語)
    US-CERT Cyber Security Tip ST04-020
    Protecting Portable Devices: Data Security
    http://www.us-cert.gov/cas/tips/ST04-020.html

    US-CERT Cyber Security Tip ST04-017
    Protecting Portable Devices: Physical Security
    http://www.us-cert.gov/cas/tips/ST04-017.html



[JPCERT/CC からのお知らせ]

次号の発行は 11月 25日(木)の予定です。


[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQZqpn4x1ay4slNTtAQFyhwQA2fOtzyqiHf8GXuAn+3H3K0dsdel84gEE
nYn7bYV/79WTCO9od5r3fABr5rVVQH9bj6ep6Wa5wRFOB4noAQHAEKqCn8k/+9Zg
nIXBoBXb7hR9GR6TF5oHiW6mc0Qyv4Su/JY5RWJYC740gJL4uF+jlHorTjjcBvEi
Z19NIdLS++A=
=p67Z
-----END PGP SIGNATURE-----