-----BEGIN PGP SIGNED MESSAGE-----

                                                     JPCERT-WR-2006-1001
                                                               JPCERT/CC
                                                              2006-03-15

                 <<< JPCERT/CC REPORT 2006-03-15 >>>

これは JPCERT/CC が 3/5(日) から 3/11(土) の間に得たセキュリティ関連情
報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] Oracle Diagnostic Tools の認証処理に脆弱性

    US-CERT Vulnerability Note VU#298958
    Oracle Diagnostic Tools do not properly authenticate users
    http://www.kb.cert.org/vuls/id/298958

    CIAC Bulletin Q-140
    Oracle Diagnostic Tools do not properly authenticate users
    http://www.ciac.org/ciac/bulletins/q-140.shtml

Oracle E-Business Suite 11i の Oracle Diagnostic Tools には、ユーザの
アクセス認証に脆弱性があります。結果として、遠隔から第三者が Oracle
E-Business Suite 上で診断ツールを実行したり、設定を変更したりする可能
性があります。

この問題は、Oracle が提供するパッチを適用することで解決します。


[2] Tiny ASN.1 ライブラリのバッファオーバーフローの脆弱性

    CIAC Bulletin Q-139
    libtasn1-2
    http://www.ciac.org/ciac/bulletins/q-139.shtml

Tiny ASN.1 ライブラリには、バッファオーバーフローの脆弱性があります。
結果として、Tiny ASN.1 ライブラリをリンクしたアプリケーションを実行し
ているユーザの権限を遠隔から第三者が取得する可能性があります。

この問題は、Tiny ASN.1 ライブラリを OS のベンダや配布元が提供する修正
済みのパッケージに更新することで解決します。

  関連文書 (英語)
    Debian Security Advisory DSA-985-1
    libtasn1-2 -- buffer overflows
    http://www.debian.org/security/2006/dsa-985.en.html

    Debian Security Advisory DSA-986-1
    gnutls11 -- buffer overflows
    http://www.debian.org/security/2006/dsa-986.en.html


[3] 重要インフラ事業者向け情報セキュリティセミナー 3/23 参加申込受付中

    重要インフラ事業者向け情報セキュリティセミナー
    〜国内外での情報セキュリティ対策への取り組みについて〜
    http://www.jpcert.or.jp/event/ci-seminar.pdf

独立行政法人 情報処理推進機構 (IPA) と JPCERT/CC は、重要インフラ事業
者における事業継続性計画や法的問題、対応事例、さらに重要インフラ防護等
の国際的な動向を紹介する無料セミナーを開催します。講師には国内外の情報
セキュリティ関連のエキスパートを迎え、最新の情報をお伝えしますので奮っ
てご参加ください。

プログラム、会場、参加申込方法の詳細については、上記 URL をご参照くだ
さい。



[今週の一口メモ]

* ファームウェアを更新する

近年ネットワークに接続する機器として PC 以外のもの (ルータ、インターネッ
ト家電など) が増えてきています。これらの機器は、その利用方法からファー
ムウェア更新の必要があった場合も、そのことを見逃しがちです。結果として、
これらの機器の脆弱性が放置され、インシデントにつながる恐れがあります。

ネットワークに接続されている PC 以外の機器であっても、各メーカーのペー
ジを定期的に参照するなどして、必要に応じてファームウェアを更新すること
をお勧めします。



[JPCERT/CC からのお知らせ]

次号の発行は 3月 23日(木)の予定です。


[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRBduH4x1ay4slNTtAQGFkgP+KjVNT/YSvQVVhpFZLkpv+oOO+cmFkAYR
/XW08v6S8YYh4BKO2V6cMv6ErZ0sxolcRetDlQM02avaDSmfM2DRksiC4yd+S/+N
N8w//hw7zRBawrhdR8hLhBwfTuXIP92L0XASJJVwDICkoLG3WnIj1rGuvhiTLgAA
k1mv/FIyZgk=
=FPNp
-----END PGP SIGNATURE-----