-----BEGIN PGP SIGNED MESSAGE-----

                                                         JPCERT-WR-2006-2202
                                                                   JPCERT/CC
                                                                  2006-06-14

                 <<< JPCERT/CC REPORT 2006-06-14 >>>

――――――――――――――――――――――――――――――――――――――
■06/04(日)〜06/10(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ===================================================================

【1】SpamAssassin に脆弱性
【2】Sun StorADE バージョン 2.4 に権限昇格の脆弱性
【3】dotProject におけるクロスサイトスクリプティングの脆弱性
【4】CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/
=============================================================================


【1】SpamAssassin に脆弱性

    情報源
      CIAC Bulletin Q-217
      SpamAssassin Security Update
      http://www.ciac.org/ciac/bulletins/q-217.shtml

    概要
      SpamAssassin には脆弱性があります。結果として、遠隔から第三者が 
      spamd を実行しているユーザの権限を取得する可能性があります。
      対象となるバージョンは以下の通りです。

        - バージョン 2.5x、2.6x、3.0.x、3.1.x
  
      この問題は、以下のバージョンの SpamAssassin に更新することで解
      決します。

        - バージョン 3.0.6 (またはそれ以降)
        - バージョン 3.1.3 (またはそれ以降)

    関連文書 (英語)
      SpamAssassin Advisory
      http://spamassassin.apache.org/advisories/cve-2006-2447.txt

      Red Hat Security Advisory RHSA-2006:0543-10
      Moderate: spamassassin security update
      https://rhn.redhat.com/errata/RHSA-2006-0543.html

      Debian Security Advisory DSA-1090-1
      spamassassin -- programming error
      http://www.debian.org/security/2006/dsa-1090.en.html

【2】Sun StorADE バージョン 2.4 に権限昇格の脆弱性

    情報源
      CIAC Bulletin Q-216
      Security Vulnerability With Sun StorADE Version 2.4 Installation
      http://www.ciac.org/ciac/bulletins/q-216.shtml

    概要
      Sun StorADE バージョン 2.4 には脆弱性があります。結果として、ロー
      カルユーザが root 権限を取得する可能性があります。

      この問題は、Sun が提供するパッチを適用することで解決します。

    関連文書 (英語)
      Sun Alert Notification 102305
      Security Vulnerability With Sun StorADE Version 2.4 Installation
      http://sunsolve.sun.com/search/document.do?assetkey=1-26-102305-1

【3】dotProject におけるクロスサイトスクリプティングの脆弱性

    情報源
      JP Vendor Status Notes JVN#97636431
      dotProject におけるクロスサイトスクリプティングの脆弱性
      http://jvn.jp/jp/JVN%2397636431/

    概要
      オープンソースのプロジェクト管理ツールである dotProject バージョ
      ン 2.0.2 およびそれ以前には、クロスサイトスクリプティングの脆弱
      性があります。結果として、特定のブラウザを使用している場合に、遠
      隔から第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可
      能性があります。

      この問題は、dotProject をバージョン 2.0.3 (またはそれ以降) 更新
      することで解決します。

    関連文書 (日本語)
      独立行政法人 情報処理推進機構セキュリティセンター
      JVN#97636431：「dotProject」におけるクロスサイト・スクリプティングの脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2006/JVN_97636431_dotproject.html

    関連文書 (英語)
      Welcome to dotproject
      dotProject 2.0.3 Release Available
      http://www.dotproject.net/modules.php?op=modload&name=News&file=article&sid=124&mode=thread&order=0&thold=0

【4】CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性

    情報源
      JP Vendor Status Notes JVN#39570254
      CGI RESCUE 製 WebFORM においてメールの不正送信が可能な脆弱性
      http://jvn.jp/jp/JVN%2339570254/

    概要
      CGI RESCUE が提供している WebFORM においてメールの不正送信が可能
      な脆弱性があります。結果として、遠隔から第三者が任意の宛先へメー
      ルを送信する可能性があります。対象となるバージョンは以下の通りで
      す。

        - WebFORM バージョン 4.1 およびそれ以前
        - FORM2MAIL バージョン 1.21 およびそれ以前

      この問題は、WebFORM および FORM2MAIL を以下のバージョンに更新す
      ることで解決します。

        - WebFORM バージョン 4.2 (またはそれ以降)
        - FORM2MAIL バージョン 1.31 (またはそれ以降)

    関連文書 (日本語)
      CGI RESCUE 新着案内板
      スパムに対する脆弱性を修正 FORM2MAIL(v1.31)/WebFORM(v4.2)
      http://www.rescue.ne.jp/whatsnew/blog.cgi/permalink/20060216124645

      独立行政法人 情報処理推進機構セキュリティセンター
      JVN#39570254：CGI RESCUE 製「WebFORM」においてメールの不正送信が可能な脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2006/JVN_39570254_webform.html


――――――――――――――――――――――――――――――――――――――
■今週の一口メモ
――――――――――――――――――――――――――――――――――――――

○ソフトウェアアップデート時の確認作業について

      ソフトウェアのアップデートを行う際には、アップデートの仕組による
      制限やソフトウェア相互の依存性などにより、複数回アップデートが必
      要な場合があります。

      アップデートを実行する際には、アップデートが正常に終了しているこ
      との確認や追加アップデートがないかどうかをチェックするなど注意深
      く確認することをお勧めします。

    参考文献 (日本語)
      アップル コンピュータ
      Mac OS X: ソフトウェアをアップデートする方法
      http://docs.info.apple.com/article.html?artnum=106704-ja

      JPCERT/CC REPORT 2004-05-26 号 [今週の一口メモ]
      http://www.jpcert.or.jp/wr/2004/wr042001.txt


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2006 (C) JPCERT/CC

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBRI91kIx1ay4slNTtAQHuCgQA12vwhUg4XbbJl6bYPoex+N57yHyCsndR
gGOg5PMo37S9ZsMOSNTp4IVrC2xX/PYIMmCEeKadvZkW2MH27UdOk7kR3oO0EtbE
nACDpgP7qfq1eK2QCi6XlPHBr38NwNI0t+y3eOcDES+/gtEf0AEPhtNcciWdpBvh
YW3B3kJuouo=
=ElHS
-----END PGP SIGNATURE-----