-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2005-2001
                                                               JPCERT/CC
                                                              2005-05-25

                 <<< JPCERT/CC REPORT 2005-05-25 >>>

これは JPCERT/CC が 5/15(日) から 5/21(土) の間に得たセキュリティ関連
情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] TCP の実装に内部タイマの更新を許す脆弱性

    US-CERT Vulnerability Note VU#637934
    TCP does not adequately validate segments before updating timestamp value
    http://www.kb.cert.org/vuls/id/637934

TCP の timestamp オプションのいくつかの実装には、遠隔から第三者が内部
タイマを任意の値に更新できてしまう脆弱性があります。結果として、TCP
timestamp オプションと Protect Against Wrapped Sequences (PAWS) 機能を
有効にしている場合に、サービス運用妨害 (DoS) 攻撃を受ける可能性があり
ます。対象となる実装と解決方法については、上記文書および下記関連文書を
ご参照ください。

  関連文書 (日本語)
    JP Vendor Status Notes JVNVU#637934
    TCP の実装に不正な値で内部タイマを更新する脆弱性
    http://jvn.jp/cert/JVNVU%23637934/


[2] Wiki クローンのクロスサイトスクリプティングの脆弱性

    JP Vendor Status Notes JVN#465742E4
    Wiki クローンにおけるクロスサイトスクリプティングの脆弱性
    http://jvn.jp/jp/JVN%23465742E4/

Wiki クローンのいくつかには、ファイル添付機能にクロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔から第三者がユーザの権限を取得
する可能性があります。対象となる製品および解決方法の詳細については、上
記文書をご参照ください。


[3] Apple Mac OS X の脆弱性に関する追加情報

JPCERT/CC REPORT 2005-05-11号の [4] でも紹介した Mac OS X の脆弱性に関
する追加情報です。

    US-CERT Technical Cyber Security Alert TA05-136A
    Apple Mac OS X is affected by multiple vulnerabilities
    http://www.us-cert.gov/cas/techalerts/TA05-136A.html

    US-CERT Cyber Security Alert SA05-136A
    Apple Mac OS X is affected by multiple vulnerabilities
    http://www.us-cert.gov/cas/alerts/SA05-136A.html

  関連文書 (日本語)
    JPCERT/CC REPORT 2005-05-11号 [4]
    http://www.jpcert.or.jp/wr/2005/wr051801.txt

    JP Vendor Status Notes JVNTA05-136A
    Apple の Mac OS X に複数の脆弱性
    http://jvn.jp/cert/JVNTA05-136A/

    Security Update 2005-005 について
    http://www.info.apple.com/kbnum/n301528-ja



[今週の一口メモ]

* Web サイトの検証

閲覧している Web ページが「本物の」サイトのページであることを確認する
ためには、SSL などによる証明書を検証するだけでなく、あらかじめインター
ネット以外の方法を用いてドメイン名を確認することをお勧めします。例えば、
使用しているクレジットカードに記載されているサポートセンターの電話番号
に問い合わせて、そのクレジット会社のドメイン名 (Web サイトの URL) を確
認するなどの方法があります。

なお、Web ブラウザの画面上ではあたかも SSL による署名が行われているよ
うに偽装しているページもあるため、単純に URL の文字列を確認するだけ、
また署名されている (ように見えている) ことを確認するだけでなく、下記参
考文献にあるように証明書の内容を確認することを強くお勧めします。

  参考文献 (日本語)
    JPCERT/CC REPORT 2005-05-18号 [今週の一口メモ]
    http://www.jpcert.or.jp/wr/2005/wr051901.txt

  参考文献 (英語)
    US-CERT Cyber Security Tip ST05-010
    Understanding Web Site Certificates
    http://www.us-cert.gov/cas/tips/ST05-010.html



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2005 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBQpPVJIx1ay4slNTtAQFTQAP/Xy2JyLCDy2UwI6vi98R89UzjnAJ2AuUf
f06q8lv8FCYLgXTZ6fEHBT0AHGRcTNAs3QXA7fr3ex3NTuJzs+a/NfxlGrOPPWe1
Ti3vFbv2RRePCBpJL6vJjMcTrYv8Evf4BNIfLswllc3QjSwy2tugCqBYKa2iNBan
1TQ/zUg86mU=
=c+05
-----END PGP SIGNATURE-----