-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2005-1901 JPCERT/CC 2005-05-18 <<< JPCERT/CC REPORT 2005-05-18 >>> これは JPCERT/CC が 5/8(日) から 5/14(土) の間に得たセキュリティ関連情 報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Microsoft Windows Explorer の「Web の表示」の脆弱性 CIAC Bulletin P-202 Web View in Windows Explorer Vulnerability http://www.ciac.org/ciac/bulletins/p-202.shtml Microsoft Windows Explorer の Web 表示機能には脆弱性があります。結果と して、遠隔から第三者が HTML ファイルなどを経由してログオンしているユー ザの権限を取得する可能性があります。対象となるのは以下のバージョンの Microsoft Windows です。 - Microsoft Windows 2000 - Microsoft Windows 98 - Microsoft Windows 98 Second Edition (SE) - Microsoft Windows Millennium Edition (ME) この問題は、Microsoft が提供するセキュリティ更新プログラムを適用するこ とで解決します。 関連文書 (日本語) 2005 年 5 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms05-may.mspx マイクロソフト セキュリティ情報 「Web の表示」の脆弱性により、リモートでコードが実行される (894320) (MS05-024) http://www.microsoft.com/japan/technet/security/bulletin/ms05-024.mspx [2] IPSec 通信の設定に存在する脆弱性 NISCC Vulnerability Advisory 004033/NISCC/IPSEC Vulnerability Issues with IPsec Configurations http://www.niscc.gov.uk/niscc/docs/re-20050509-00385.pdf?lang=en US-CERT Vulnerability Note VU#302220 IPsec configurations may be vulnerable to information disclosure http://www.kb.cert.org/vuls/id/302220 IPSec 通信には、機密性 (Confidentiality) 保護のみを設定し、完全性 (Integrity) 保護を設定していない場合に脆弱性があります。結果として、遠 隔から第三者が IPSec で保護された通信内容を取得する可能性があります。 この問題は、IPSec 通信の設定で機密性保護に加えて完全性保護も設定するこ とで解決します。 関連文書 (日本語) JP Vendor Status Notes NISCC-004033 IPSec通信の設定に存在する脆弱性 http://jvn.jp/niscc/NISCC-004033/ [3] Cisco FWSM TCP ACL の脆弱性 CIAC Bulletin P-203 Cisco FWSM TCP ACL Bypass Vulnerability http://www.ciac.org/ciac/bulletins/p-203.shtml Cisco Firewall Services Module (FWSM) には、URL、FTP または HTTPS のフィ ルタリングを except オプションをつけて有効にした場合にフィルタリングが 設定どおりに動作しない脆弱性があります。結果として、内部に届かないよう に設定しているはずの TCP パケットが内部に届いてしまう可能性があります。 この問題は、Cisco が提供する修正済みのバージョンにソフトウェアを更新す ることで解決します。 関連文書 (英語) Cisco Security Advisory FWSM URL Filtering Solution TCP ACL Bypass Vulnerability http://www.cisco.com/warp/public/707/cisco-sa-20050511-url.shtml [今週の一口メモ] * Web サイトの証明書 閲覧している Web ページが「信頼できる」「本当の」サイトのページであることを 証明するために用いられる証明書を検証する際には以下の点を確認してください。 - 証明書発行機関 - 証明されている (証明書発行対象の) 組織名または個人名 - 有効期限 参考文献 (英語) US-CERT Cyber Security Tip ST05-010 Understanding Web Site Certificates http://www.us-cert.gov/cas/tips/ST05-010.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2005 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQoqGTIx1ay4slNTtAQF2OwP7Bsrttb0b6kGHMFmOJ43E8Mc7mcR9YErm 0mVvoddaVGMysUJugigpo5/QFqVnSCHWxqAhiaDgXjLoUByv5vxtkRGoeP+FK0GJ yFIbIYVgSLLG54Ggj7qfpYFnf5Bx9tzQA5kFUd0OkHvLhSn4DVD9ztpsUYT1EEdI YwLLYrWNlEQ= =c7Ok -----END PGP SIGNATURE-----