-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2005-0201 JPCERT/CC 2005-01-13 <<< JPCERT/CC REPORT 2005-01-13 >>> これは JPCERT/CC が 1/2(日) から 1/8(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] xpdf のバッファオーバーフローの脆弱性 CIAC Bulletin P-087 Buffer Overflow in xpdf http://www.ciac.org/ciac/bulletins/p-087.shtml xpdf には、バッファオーバーフローの脆弱性があります。結果として、遠隔 から第三者が PDF ファイルを経由して xpdf を実行しているユーザの権限を 取得する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー ジに xpdf を更新することで解決します。 関連文書 (日本語) Debian セキュリティ警告 DSA-619-1 xpdf -- バッファオーバフロー http://www.debian.org/security/2004/dsa-619.ja.html 関連文書 (英語) Red Hat Security Advisory RHSA-2005:018-04 Updated Xpdf packages fix security issues https://rhn.redhat.com/errata/RHSA-2005-018.html [2] HP-UX の System Administration Manager (SAM) の脆弱性 CIAC Bulletin P-085 HP-UX SAM Local Privilege Increase http://www.ciac.org/ciac/bulletins/p-085.shtml HP-UX の System Administration Manager (SAM) には脆弱性があります。結 果として、ローカルユーザが root 権限を取得する可能性があります。対象と なるのは以下のバージョンの HP-UX です。 - HP-UX B.11.00 - HP-UX B.11.11 - HP-UX B.11.22 - HP-UX B.11.23 この問題は、HP が提供するパッチをインストールすることで解決します。 [3] Namazu の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-12-22号の [7] でも紹介した Namazu のクロスサイト スクリプティングの脆弱性に関する追加情報です。 Debian セキュリティ警告 DSA-627-1 namazu2 -- 入力に対するサニタイジングの欠如 http://www.debian.org/security/2005/dsa-627 Vine Linux errata namazu にセキュリティホール http://vinelinux.org/errata/3x/20050101-1.html 関連文書 (日本語) JPCERT/CC REPORT 2004-12-22号 [7] http://www.jpcert.or.jp/wr/2004/wr045001.txt JP Vendor Status Notes - JP - JVN#904429FE Namazu におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%23904429FE.html [4] zip の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-12-22号の [8] でも紹介した zip の脆弱性に関する 追加情報です。 Vine Linux errata zip にセキュリティホール http://vinelinux.org/errata/3x/20050111-1.html 関連文書 (日本語) JPCERT/CC REPORT 2004-12-22号 [8] http://www.jpcert.or.jp/wr/2004/wr045001.txt [5] imlib の脆弱性に関する追加情報 JPCERT/CC REPORT 2004-12-22号の [9] でも紹介した imlib の脆弱性に関す る追加情報です。 Debian セキュリティ警告 DSA-628-1 imlib2 -- 整数オーバフロー http://www.debian.org/security/2005/dsa-628 関連文書 (日本語) JPCERT/CC REPORT 2004-12-22号 [9] http://www.jpcert.or.jp/wr/2004/wr045001.txt [6] APRICOT 2005 参加申込の早期割引期間延長 APRICOT 2005 参加申込 http://www.2005.apricot.net/ja/registration.html 2月18日(金) から 25日(金) にわたって、国立京都国際会館で開催される APRICOT 2005 の参加申込の早期割引期間が 1月26日(水) まで延長されました。 APRICOT 2005 についてのお問い合わせは apricot-info@e-side.co.jp までお 願いします。 関連文書 (日本語) APRICOT 2005 http://www.2005.apricot.net/ja/ [7] JPNIC・JPCERT/CCセキュリティセミナー2004 開催のお知らせ JPNIC・JPCERT/CC Security Seminar 2004 http://www.nic.ad.jp/security-seminar/ 来たる 2月3日(木) と 4日(金) の 2日間に渡り、セキュリティセミナー「不 正侵入の実態と具体的対策」が大手町サンケイプラザで開催されます。 これは、社団法人日本ネットワークインフォメーションセンター (JPNIC) と 共催で行なっている「JPNIC・JPCERT/CC Security Seminar 2004」の今年度最 後のプログラムであり、中級者向けの内容となっています。 プログラムの日程、内容、参加費および参加申込方法の詳細については、上記 Web ページをご参照ください。 関連文書 (日本語) 社団法人日本ネットワークインフォメーションセンター (JPNIC) http://www.nic.ad.jp/ [今週の一口メモ] * Web サイトの偽装を見破るには Web ブラウザでアクセスしたサイトが正規のサイトであるか否かを確認するに は、アクセスしているページの URL をアドレスバーなどで確認する方法が最 も簡単です。ただし、正規のサイトに似た紛らわしいドメイン名が使用されて いる場合もありますので、URL の文字列は注意深く確認する必要があります。 しかしながらこの方法は、以下のような偽装が行なわれた場合には有効でない ことに注意する必要があります。 - DNS (正引き) の偽装 - Web ブラウザの脆弱性を使った URL の偽装 特に後者の Web ブラウザの脆弱性は様々なブラウザに発見されているため、 使用しているブラウザのセキュリティ情報を参照し、必要なパッチの適用やソ フトウェアの更新などの対策を施すことを強くお勧めします。 なお、確実に正規のサイトであるか否かを確認するには、SSL (https) を用い た署名がなされているページに対して証明書を確認する方法が最も有効です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2005 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQeXPdox1ay4slNTtAQHVjAP9EpI6o3T0sVZX50lTB76+sJECpN5nhhU9 b/4s13dwHTgmBN7/nYiXfWhNA7gN1bNx66fPeXEDfHfUd4uN80x71ly+pZy1QPwe TWj737CXOaciU7bEhmOD298xho7RbyyYAbqHySz3Com54OrmP6VYibDoN4AeSfU7 05iZLP/MG5s= =Te0T -----END PGP SIGNATURE-----