-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-0401
                                                               JPCERT/CC
                                                              2005-01-26

                 <<< JPCERT/CC REPORT 2005-01-26 >>>

これは JPCERT/CC が 1/16(日) から 1/22(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Oracle の複数の脆弱性

    CIAC Bulletin P-100
    Oracle Critical Patch Update
    http://www.ciac.org/ciac/bulletins/p-100.shtml

Oracle 製品のいくつかには、バッファオーバーフローなどの複数の脆弱性が
あります。結果として、遠隔から第三者が Oracle 製品を実行しているユーザ 
(Unix/Linux なら oracle、Windows なら SYSTEM) の権限を取得するなどの様々
な影響を受ける可能性があります。対象となる製品およびバージョンなどの詳
細については、以下の関連文書を参照してください。

この問題は、Oracle が提供するアップデートをインストールすることで解決
します。

  関連文書 (日本語)
    Oracle Technology Network セキュリティアラート
    http://otn.oracle.co.jp/security/

  関連文書 (英語)
    Oracle Technology Network
    Critical Patch Update - January 2005
    http://www.oracle.com/technology/deploy/security/pdf/cpu-jan-2005_advisory.pdf


[2] Ethereal の複数の脆弱性

    CIAC Bulletin P-106
    Ethereal 0.10.9 Released
    http://www.ciac.org/ciac/bulletins/p-106.shtml

Ethereal バージョン 0.10.8 およびそれ以前には、バッファオーバーフロー
などの複数の脆弱性があります。結果として、遠隔から第三者が Ethereal を
実行しているユーザ (一般的に root) の権限を取得する可能性があります。

この問題は、Ethereal をバージョン 0.10.9 (またはそれ以降) に更新するこ
とで解決します。

  関連文書 (英語)
    Ethereal 0.10.9 released
    http://www.ethereal.com/news/item_20050120_01.html

    Debian Security Advisory DSA-653-1
    ethereal -- buffer overflow
    http://www.debian.org/security/2005/dsa-653.en.html


[3] Sun Java プラグインの脆弱性

    CIAC Bulletin P-105
    Sun Java Plug-In Vulnerability
    http://www.ciac.org/ciac/bulletins/p-105.shtml

Sun JRE および SDK の Java プラグインには複数の脆弱性があります。結果
として、遠隔から第三者がアプレットを経由して、アプレットを実行している
ユーザの権限を取得するなどの様々な影響を受ける可能性があります。対象と
なるバージョンの詳細については下記関連文書を参照してください。

これらの問題は、Sun が提供する修正済みのバージョンに Java プラグインを
更新することで解決します。

  関連文書 (英語)
    Sun Alert Notification 57708
    Security Vulnerabilities With Java Plug-in in JRE/SDK
    http://www.sunsolve.sun.com/search/printfriendly.do?assetkey=1-26-57708-1


[4] Red Hat Linux Kernel の複数の脆弱性

    CIAC Bulletin P-101
    Updated Linux Kernel Packages
    http://www.ciac.org/ciac/bulletins/p-101.shtml

Red Hat Linux のカーネルには、複数の脆弱性があります。結果として、ロー
カルユーザが root 権限を取得する可能性があります。この問題は、Red Hat 
が提供する修正済みのカーネルに更新することで解決します。

  関連文書 (日本語)
    Red Hat セキュリティアドバイス RHSA-2005:043-13
    Updated kernel packages fix security vulnerabilities
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-043J.html


[5] xpdf のバッファオーバーフローの脆弱性

    CIAC Bulletin P-104
    Buffer Overflow in xpdf
    http://www.ciac.org/ciac/bulletins/p-104.shtml

xpdf にはバッファオーバーフローの脆弱性があります。結果として、遠隔か
ら第三者が PDF ファイルを経由して xpdf を実行しているユーザの権限を取
得する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みのパッケー
ジに xpdf を更新することで解決します。

  関連文書 (日本語)
    Debian セキュリティ警告 DSA-648-1
    xpdf -- バッファオーバフロー
    http://www.debian.org/security/2005/dsa-648.ja.html


[6] VERITAS NetBackup Administrative Java GUI (bpjava-susvc) の脆弱性

    CIAC Bulletin P-102
    Veritas NetBackup Administrative Java GUI (bpjava-susvc) Vulnerability
    http://www.ciac.org/ciac/bulletins/p-102.shtml

    US-CERT Vulnerability Note VU#685456
    Veritas NetBackup "bpjava-susvc" process contains an input validation error
    http://www.kb.cert.org/vuls/id/685456

VERITAS NetBackup Administrative Java GUI (bpjava-susvc) には、入力を
適切に処理しない脆弱性があります。結果として、ローカルユーザが管理者権
限を取得する可能性があります。この問題は、VERITAS が提供するパッチを適
用することで解決します。

  関連文書 (英語)
    VERITAS Software Technical Services Document ID: 271727
    http://support.veritas.com/docs/271727


[7] imlib の脆弱性に関する追加情報

JPCERT/CC REPORT 2004-12-22号の [9] でも紹介した imlib の脆弱性に関す
る追加情報です。

    Turbolinux Security Advisory TLSA-2005-6
    imlib に２つの弱点
    http://www.turbolinux.co.jp/security/2005/TLSA-2005-6j.txt

  関連文書 (日本語)
    JPCERT/CC REPORT 2004-12-22号 [9]
    http://www.jpcert.or.jp/wr/2004/wr045001.txt


[8] APRICOT 2005 参加申込早期割引期間締切のお知らせ

    APRICOT 2005 参加申込
    http://www.2005.apricot.net/ja/registration.html

2月18日(金) から 25日(金) にわたって、国立京都国際会館で開催される
APRICOT 2005 の参加申込の早期割引期間が 1月26日(水) に締め切られます。
これ以降の申込は当日申込を含めて通常料金となります。

APRICOT 2005 についてのお問い合わせは apricot-info@e-side.co.jp までお
願いします。

  関連文書 (日本語)
    APRICOT 2005
    http://www.2005.apricot.net/ja/



[今週の一口メモ]

* NTP サーバの選択

ホストの時刻合わせに NTP (Network Time Protocol) を使用する場合、NTP 
サービスを提供しているサーバの選択には注意が必要です。広く一般に公開さ
れている NTP サーバは、アクセスが集中することが多く、正確な時刻に同期
できない場合があります。利用している ISP が顧客向けに提供している NTP 
サービスを使ったり、または各組織で NTP サービスを組織内向けに中継する 
NTP サーバを立ち上げたりするなどの対応が推奨されます。

  参考文献 (日本語)
    JPCERT/CC REPORT 2004-07-28号 の [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2004/wr042901.txt



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQfbyuYx1ay4slNTtAQEH1QP/bgHfFV6CxpzGGjUXm1CqhKMNdwO0ljZX
iW5fHoLTIADvqt5QMU+a7BWzMgqkJWs4Y0eRNAXIMehNXk81hQU0Z1gw7/UIBJ+b
d7YdQ2K3Euhv92GOYYNMLgjAoxq4hkxMASg4+7eVpnza5KMSHE7ZV+HpilQVvkeq
42tBvoSI/0M=
=DeIS
-----END PGP SIGNATURE-----