-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2005-2101 JPCERT/CC 2005-06-01 <<< JPCERT/CC REPORT 2005-06-01 >>> これは JPCERT/CC が 5/22(日) から 5/28(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Ethereal の脆弱性 CIAC Bulletin P-207 Ethereal Security Update http://www.ciac.org/ciac/bulletins/p-207.shtml Ethereal バージョン 0.8.14 から 0.10.10 までには、特定のパケットの処理 にバッファオーバーフローが発生するなど、複数の脆弱性があります。結果と して、遠隔から第三者が Ethereal を実行しているユーザ (一般的に root) の権限を取得する可能性があります。 この問題は Ethereal をバージョン 0.10.11 (またはそれ以降) に更新するこ とで解決します。 関連文書 (英語) Ethereal: enpa-sa-00019 Multiple problems in Ethereal versions 0.8.14 to 0.10.10 http://ethereal.com/appnotes/enpa-sa-00019.html Red Hat Security Advisory RHSA-2005:427-05 Moderate: ethereal security update https://rhn.redhat.com/errata/RHSA-2005-427.html [2] Mozilla Suite および Firefox の脆弱性 CIAC Bulletin P-206 Mozilla & Firefox Security Update http://www.ciac.org/ciac/bulletins/p-206.shtml Mozilla Suite および Firefox には、javascript: 形式の URL の処理に脆弱 性があります。また、Firefox には、iconURL プロパティの処理に脆弱性があ ります。結果として、遠隔から第三者が Mozilla Suite あるいは Firefox を 実行しているユーザの権限を取得する可能性があります。対象となるのは以下 のバージョンです。 - Mozilla Suite 1.7.7 およびそれ以前 - Firefox 1.0.3 およびそれ以前 この問題は、以下のバージョンに更新することで解決します。 - Mozilla Suite 1.7.8 (またはそれ以降) - Firefox 1.0.4 (またはそれ以降) 関連文書 (日本語) Mozilla Foundation セキュリティアドバイザリ 2005-42 「javascript:」形式の iconURL を通じたコードの実行 http://www.mozilla-japan.org/security/announce/mfsa2005-42.html Red Hat セキュリティアドバイス RHSA-2005:434-10 Important: firefox security update http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-434J.html Red Hat セキュリティアドバイス RHSA-2005:435-14 Important: mozilla security update http://www.jp.redhat.com/support/errata/RHSA/RHSA-2005-435J.html Turbolinux Security Advisory TLSA-2005-56 mozilla に複数の弱点 http://www.turbolinux.co.jp/security/2005/TLSA-2005-56j.txt Vine Linux errata mozilla にセキュリティホール http://vinelinux.org/errata/3x/20050525-1.html [3] Red Hat Linux カーネルの複数の脆弱性 CIAC Bulletin P-208 Kernel Security Update http://www.ciac.org/ciac/bulletins/p-208.shtml Red Hat Linux カーネルには、複数の脆弱性があります。結果として、ローカ ルユーザが root 権限を取得する可能性があります。この問題は、Red Hat が 提供する修正済みのパッケージにカーネルを更新することで解決します。 関連文書 (英語) Red Hat Security Advisory RHSA-2005:472-05 Important: kernel security update https://rhn.redhat.com/errata/RHSA-2005-472.html [4] HP-UX trusted system の脆弱性 CIAC Bulletin P-209 HP-UX Trusted System Remote Unauthorized Access http://www.ciac.org/ciac/bulletins/p-209.shtml HP-UX trusted system には脆弱性があります。結果として、遠隔から第三者 が認証なしにアクセスする可能性があります。対象となるのは trusted system に変換された以下のバージョンの HP-UX です。 - HP-UX B.11.00, B.11.11, B.11.22, B.11.23 この問題は HP が提供するパッチを適用することで解決します。 [今週の一口メモ] * Web サイトの信頼性 技術的な手段で Web サイトの真偽を確認できた、ということは、Web サイト を運営している組織 (または個人) の信頼性が保証されたということにはなり ません。これらの項目は、技術的な手段によらず、別途確認する必要があります。 参考文献 (日本語) JPCERT/CC REPORT 2005-05-18号 [今週の一口メモ] http://www.jpcert.or.jp/wr/2005/wr051901.txt JPCERT/CC REPORT 2005-05-25号 [今週の一口メモ] http://www.jpcert.or.jp/wr/2005/wr052001.txt 参考文献 (英語) US-CERT Cyber Security Tip ST05-010 Understanding Web Site Certificates http://www.us-cert.gov/cas/tips/ST05-010.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2005 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBQp0PoIx1ay4slNTtAQGc9gP8CV5TQV/W5ikK9YkxQRvEhdZ5uL1bJwmO ZwQpf8pobUI0mODX+WpQShzgipUZZHhv+pYmzPXL1qym1KPQbDDUVy5M01uio4Yk FUVJFmT2Z44xbdkQi1Gb4WNxnL9nPSPeYN2luroU6O03oZBu6f0W8p0he1LLzb2R R2/UAcK/81Y= =iQLg -----END PGP SIGNATURE-----