-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2004-4901
                                                               JPCERT/CC
                                                              2004-12-15

                 <<< JPCERT/CC REPORT 2004-12-15 >>>

これは JPCERT/CC が 12/5(日) から 12/11(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] KDE にパスワードを平文で保存してしまう脆弱性

    CIAC Bulletin P-051
    SMB Password Disclosure
    http://www.ciac.org/ciac/bulletins/p-051.shtml

KDE には、遠隔ファイルに対するリンクを作成する際にパスワードなどを平文
で保存してしまう脆弱性があります。結果として、SMB 共有などで用いられる
認証情報が漏洩する可能性があります。対象となるのは以下のバージョンの 
KDE です。

  - KDE 3.2.x の全リリース
  - KDE 3.3.0
  - KDE 3.3.1
  - KDE 3.3.2

この問題は、KDE プロジェクトが提供するパッチを適用する、または使用して
いる OS のベンダや配布元が提供する修正済みのパッケージに KDE を更新す
ることで解決します。

  関連文書 (英語)
    KDE Security Advisory
    plain text password exposure
    http://www.kde.org/info/security/advisory-20041209-1.txt


[2] Sun Solaris の in.rwhod の脆弱性

    CIAC Bulletin P-050
    "in.rwhod" Daemon Vulnerability
    http://www.ciac.org/ciac/bulletins/p-050.shtml

Sun Solaris 7、8 および 9 の in.rwhod には脆弱性があります。結果として、
遠隔から第三者が root 権限を取得する可能性があります。この問題は Sun 
が提供するパッチを適用することで解決します。

  関連文書 (英語)
    Sun Alert Notification 57659
    Security Vulnerability in the in.rwhod(1M) Daemon
    http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-57659-1


[3] samba の脆弱性に関する追加情報

JPCERT/CC REPORT 2004-11-25号の [1] でも紹介した、samba の脆弱性に関す
る追加情報です。

    Turbolinux Security Advisory TLSA-2004-32
    samba に２つの弱点
    http://www.turbolinux.co.jp/security/2004/TLSA-2004-32j.txt

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-11-25号 [1]
    http://www.jpcert.or.jp/wr/2004/wr044601.txt


[4] libgd の脆弱性に関する追加情報

JPCERT/CC REPORT 2004-11-17号の [3] でも紹介した、libgd の脆弱性に関す
る追加情報です。

    Vine Linux errata
    gd にセキュリティホール
    http://vinelinux.org/errata/3x/20041207-4.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-11-17号 [3]
    http://www.jpcert.or.jp/wr/2004/wr044501.txt



[今週の一口メモ]

* 電子メールの転送に関する注意事項

電子メールの転送機能を使う場合には以下の点に注意する必要があります。

  - 多段に渡る転送設定をしている場合の転送の順番
  - 転送先アドレスを (他人のものと) 間違えていないか?
  - 転送先アドレスが無効 (スプール溢れを含む) になっていないか?

電子メールの転送に失敗し、誤って他人に送ってしまったり、配送エラーになっ
てしまったりすることで情報が漏洩する危険性があります。

またメーリングリストに登録しているアドレスから他のアドレスに転送する設
定にしている場合、実際に登録しているアドレスが分からなくなり、登録の削
除やアドレスの変更ができなくなる場合もあります。どのメーリングリストに
どのアドレスで登録しているか、整理しておくことをお勧めします。



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2004 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQb+Tr4x1ay4slNTtAQGgMwP/RuuF5Rb8gqOP8gPfLDDmQEosK8HWa7wp
RynHKuCXAG8IFM1hQvLIx5x+WOVrp/AVmOodapQfTJBUHMdsCCu0sn6Hiy7QcFKy
7M72R+ubkjWbEkQQ4M6o0Clxr6fVLZSGTs0R1cPudlwHUHNDlciRY6ijPUh/i4VE
GZlj7pDUHsI=
=xdo9
-----END PGP SIGNATURE-----