-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-1302
                                                               JPCERT/CC
                                                              2005-03-30

                 <<< JPCERT/CC REPORT 2005-03-30 >>>

これは JPCERT/CC が 3/20(日) から 3/26(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Mozilla Foundation ソフトウェアのバッファオーバーフローの脆弱性

    CIAC Bulletin P-160
    GIF Heap Overflow Parsing Netscape Extension 2
    http://www.ciac.org/ciac/bulletins/p-160.shtml

Mozilla Foundation のソフトウェアに使われている GIF 形式の画像処理ライ
ブラリには、バッファオーバーフローの脆弱性があります。結果として、遠隔
から第三者が GIF 形式の画像ファイルを経由して、画像を表示しているソフ
トウェアを実行しているユーザの権限を取得する可能性があります。対象とな
るのは以下のソフトウェアです。

  - Firefox 1.0.1 およびそれ以前
  - Thunderbird 1.0.1 およびそれ以前
  - Mozilla Suite 1.7.5 およびそれ以前

この問題は、以下のバージョンに更新することで解決します。

  - Firefox 1.0.2 (またはそれ以降)
  - Thunderbird 1.0.2 (またはそれ以降)
  - Mozilla Suite 1.7.6 (またはそれ以降)

  関連文書 (日本語)
    Mozilla Foundation セキュリティアドバイザリ 2005-30
    Netscape Extension 2 を含む GIF 画像の処理過程でヒープオーバーフローが生じる
    http://www.mozilla-japan.org/security/announce/mfsa2005-30.html

    Red Hat セキュリティアドバイス RHSA-2005:335-07
    Critical: mozilla security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-335J.html

    Red Hat セキュリティアドバイス RHSA-2005:336-03
    Critical: firefox security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-336J.html

    Red Hat セキュリティアドバイス RHSA-2005:337-02
    Critical: thunderbird security update
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-337J.html


[2] Apple Mac OS X にバッファオーバーフロー等の複数の脆弱性

    CIAC Bulletin P-156
    Apple Security Update 2005-003
    http://www.ciac.org/ciac/bulletins/p-156.shtml

Apple Mac OS X には、バッファオーバーフロー等の複数の脆弱性があります。
結果として、ローカルユーザが root 権限を取得したりする等の影響を受ける
可能性があります。

この問題は、Apple が提供する修正済みのソフトウェアに更新することで解決
します。

  関連文書 (日本語)
    Security Update 2005-003 について
    http://www.info.apple.com/kbnum/n301061-ja


[3] McAfee ウィルススキャンエンジンの脆弱性に関する追加情報

    CIAC Bulletin P-158
    McAfee Scan Engine LHA File Flaws
    http://www.ciac.org/ciac/bulletins/p-158.shtml

JPCERT/CC REPORT 2005-03-24号の [2] でも紹介した McAfee ウィルススキャ
ンエンジンの脆弱性に関する追加情報です。

  関連文書 (日本語)
    JPCERT/CC REPORT 2005-03-24号 [2]
    http://www.jpcert.or.jp/wr/2005/wr051201.txt

    JP Vendor Status Notes JVN#1F649902
    McAfeeウィルススキャンエンジンにバッファオーバーフローの脆弱性
    http://jvn.jp/jp/JVN%231F649902/


[4] Java Web Start の脆弱性

    CIAC Bulletin P-161
    Security Vulnerability with Java Web Start
    http://www.ciac.org/ciac/bulletins/p-161.shtml

Java Web Start には、本来許可されていない動作をアプリケーションに許し
てしまう脆弱性があります。結果として、遠隔から第三者がアプリケーション
を経由して、そのアプリケーションを実行しているユーザの権限を取得する可
能性があります。対象となるのは以下のバージョンの J2SE に含まれる Java
Web Start です。

  - 1.4.2_06 およびそれ以前の 1.4.2 リリース Windows 版、Solaris 版、Linux 版

なお、以下のバージョンの J2SE に含まれる Java Web Start にはこの問題が
存在しないことが報告されています。

  - 5.0 およびそれ以降の Windows 版、Solaris 版、Linux 版
  - 1.4.1 およびそれ以前のリリース Windows 版、Solaris 版、Linux 版

この問題は、バージョン 1.4.2_07 (もしくはそれ以降) に更新することで解
決します。

  関連文書 (英語)
    Sun Alert Notification 57740
    Security Vulnerability With Java Web Start
    http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-57740-1


[5] Sun Java System Application Server のクロスサイトスクリプティングの脆弱性

    CIAC Bulletin P-162
    Cross Site Scripting Vulnerability in Sun Java System Application Server
    http://www.ciac.org/ciac/bulletins/p-162.shtml

Sun Java System Application Server にはクロスサイトスクリプティングの
脆弱性があります。結果として、Web ページにアクセスしてきたユーザの権限
を遠隔から第三者が取得する可能性があります。対象となるのは以下のバージョ
ンです。

  - Sun Java System Application Server Standard Edition 7 Update Release 5 およびそれ以前
  - Sun Java System Application Server Platform Edition 7 Update Release 5 およびそれ以前
  - Sun Java System Application Server 7 2004Q2 Standard Edition Update Release 1 およびそれ以前
  - Sun Java System Application Server 7 2004Q2 Enterprise Edition Update Release 1 およびそれ以前

この問題は以下のバージョンに更新することで解決します。

  - Sun Java System Application Server 7 Standard Edition Update 6 またはそれ以降
  - Sun Java System Application Server 7 Platform Edition Update 6 またはそれ以降
  - Sun Java System Application Server 7 2004Q2 Standard Edition Update 2 またはそれ以降
  - Sun Java System Application Server 7 2004Q2 Enterprise Edition Update 2 またはそれ以降

  関連文書 (英語)
    Sun Alert Notification 57742
    Cross Site Scripting Vulnerability in Sun Java System Application Server
    http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-57742-1



[今週の一口メモ]

* ソフトウェア使用許諾への同意

ソフトウェアをインストール後に初めて使用する際に、「使用許諾」への同意
を求められる場合がありますが、その内容には注意が必要です。一般的には
「再配布」や「保証」に関する内容が中心になりますが、以下のような内容が
含まれている場合があります。

  - モニタリング

    同意すると、そのソフトウェアのベンダがコンピュータ内の情報やコン
    ピュータが通信した内容を取得することを許可したことになる場合があり
    ます。

  - ソフトウェアのインストール

    同意すると、上記「モニタリング」を行なうソフトウェアのインストール
    を許可することになる場合があります。

「使用許諾」に「同意」する場合は、記載されている内容に充分に注意するこ
とを強くお勧めします。

  参考文献 (英語)
    US-CERT Cyber Security Tip ST05-005
    Reviewing End-User License Agreements
    http://www.us-cert.gov/cas/tips/ST05-005.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQkoymIx1ay4slNTtAQGfswP/RboYT6SCCSF+1z/nvN6XkcAOMuvPj0sP
QRnhMb5JshWz/t6EdbME/+vpknFm1QSDEk8s3KUx1vFHRFL91fW4/mdYiPm+BklH
hWXSAHuinuJV7RsazPj4hxpgY6pC7lkTPI4DbP7m1yv8/znAVSCS6lmsiFFLHZHu
ITYrUN4dOKM=
=yIqQ
-----END PGP SIGNATURE-----