-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-2901 JPCERT/CC 2006-08-02 <<< JPCERT/CC REPORT 2006-08-02 >>> ―――――――――――――――――――――――――――――――――――――― ■07/23(日)〜07/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】Mozilla 製品に複数の脆弱性 【2】Adobe Acrobat にバッファオーバーフローの脆弱性 【3】Sun N1 Grid Engine デーモンに脆弱性 【4】Ethereal (現 Wireshark) に複数の脆弱性 【5】Dokeos にクロスサイトスクリプティングの脆弱性 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ============================================================================= 【1】Mozilla 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA06-208A Mozilla Products Contain Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA06-208A.html US-CERT Cyber Security Alert SA06-208A Mozilla Products Contain Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA06-208A.html US-CERT Vulnerability Note VU#476724 Mozilla products fail to properly handle frame references http://www.kb.cert.org/vuls/id/476724 US-CERT Vulnerability Note VU#670060 Mozilla fails to properly release JavaScript references http://www.kb.cert.org/vuls/id/670060 US-CERT Vulnerability Note VU#239124 Mozilla fails to properly handle simultaneous XPCOM events http://www.kb.cert.org/vuls/id/239124 US-CERT Vulnerability Note VU#265964 Mozilla products contain a race condition http://www.kb.cert.org/vuls/id/265964 US-CERT Vulnerability Note VU#897540 Mozilla products VCard attachment buffer overflow http://www.kb.cert.org/vuls/id/897540 US-CERT Vulnerability Note VU#876420 Mozilla fails to properly handle garbage collection http://www.kb.cert.org/vuls/id/876420 US-CERT Vulnerability Note VU#655892 Mozilla JavaScript engine contains multiple integer overflows http://www.kb.cert.org/vuls/id/655892 US-CERT Vulnerability Note VU#687396 Mozilla products fail to properly validate JavaScript constructors http://www.kb.cert.org/vuls/id/687396 US-CERT Vulnerability Note VU#527676 Mozilla contains multiple memory corruption vulnerabilities http://www.kb.cert.org/vuls/id/527676 CIAC Bulletin Q-258 Mozilla (now SeaMonkey), Firefox, Thunderbird Security Vulnerabilities http://www.ciac.org/ciac/bulletins/q-258.shtml CIAC Bulletin 259 Seamonkey Security Update http://www.ciac.org/ciac/bulletins/q-259.shtml 概要 Mozilla から提供されているウェブブラウザやその他の製品には、複数 の脆弱性が存在します。結果として、遠隔の第三者によって、任意のコー ドを実行されるなどの影響を受ける可能性があります。対象となる製品 は以下の通りです。 - Firefox バージョン 1.5.0.5 より前 - Thunderbird バージョン 1.5.0.5 より前 - SeaMonkey バージョン 1.0.3 より前 Mozilla コンポーネントを用いているその他の製品(特に Gecko エンジ ンを用いている製品)でも対象となる可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの 次の各バージョンに製品を更新することで解決します。 - Firefox バージョン 1.5.0.5 (またはそれ以降) - Thunderbird バージョン 1.5.0.5 (またはそれ以降) - SeaMonkey バージョン 1.0.3 (またはそれ以降) 関連文書 (日本語) JP Vendor Status Notes JVNTA06-208A Mozilla 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA06-208A/index.html Mozilla Foundation セキュリティアドバイザリ 2006-44 削除済みフレームへの参照を通じたコード実行 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-44.html Mozilla Foundation セキュリティアドバイザリ 2006-45 Javascript の navigator オブジェクトに関する脆弱性 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-45.html Mozilla Foundation セキュリティアドバイザリ 2006-46 イベントの同時発生によるメモリ破壊 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-46.html Mozilla Foundation セキュリティアドバイザリ 2006-47 ドメインを超えたネイティブ DOM メソッドの乗っ取り http://www.mozilla-japan.org/security/announce/2006/mfsa2006-47.html Mozilla Foundation セキュリティアドバイザリ 2006-48 JavaScript の新たな Function の競合 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-48.html Mozilla Foundation セキュリティアドバイザリ 2006-49 不正な VCard 上でのヒープバッファオーバーライト http://www.mozilla-japan.org/security/announce/2006/mfsa2006-49.html Mozilla Foundation セキュリティアドバイザリ 2006-50 JavaScript エンジンに関する脆弱性 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-50.html Mozilla Foundation セキュリティアドバイザリ 2006-51 名前付き関数と再定義された「new Object()」を使った特権の昇格 http://www.mozilla-japan.org/security/announce/2006/mfsa2006-51.html Mozilla Foundation セキュリティアドバイザリ 2006-54 XPCNativeWrapper(window).Function(...) を使ったクロスサイトスクリプティング http://www.mozilla-japan.org/security/announce/2006/mfsa2006-54.html Mozilla Foundation セキュリティアドバイザリ 2006-55 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.5) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-55.html 独立行政法人 情報処理推進機構 セキュリティセンター Mozilla Foundation 社の Firefox に複数の脆弱性 http://www.ipa.go.jp/security/news/news.html 関連文書 (英語) Red Hat Security Advisory RHSA-2006:0608-6 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2006-0608.html Debian Security Advisory DSA-1118-1 mozilla -- several vulnerabilities http://www.debian.org/security/2006/dsa-1118 Debian Security Advisory DSA-1120-1 mozilla-firefox -- several vulnerabilities http://www.debian.org/security/2006/dsa-1120 【2】Adobe Acrobat にバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#167228 Adobe Acrobat fails to properly convert files to PDF http://www.kb.cert.org/vuls/id/167228 CIAC Bulletin Q-256 Adobe Acrobat Buffer Overflow Vulnerability http://www.ciac.org/ciac/bulletins/q-256.shtml 概要 Adobe Acrobat 6.0.4 およびそれ以前にはバッファオーバーフローの脆 弱性があります。結果として、遠隔の第三者に任意のコードを実行され る可能性があります。 この問題は、配布元が提供する修正済みのバージョン 6.0.5 以降に製 品を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター Adobe 社 Acrobat の脆弱性 http://www.ipa.go.jp/security/news/news.html 関連文書 (英語) Adobe - Security Advisories: Security bulletin APSB06-09 Buffer Overflow Vulnerability in Adobe Acrobat http://www.adobe.com/support/security/bulletins/apsb06-09.html 【3】Sun N1 Grid Engine デーモンに脆弱性 情報源 CIAC Bulletin Q-260 Security Vulnerability With Sun N1 Grid Engine Daemons http://www.ciac.org/ciac/bulletins/q-260.shtml 概要 Sun Grid Engine 5.3 および Sun N1 Grid Engine 6.0 のデーモンには 脆弱性があります。結果として、ローカルユーザによってサービス運用 妨害 (DoS) 攻撃を受ける可能性があります。 この問題は Sun Microsystems が提供するパッチを適用することで解決 します。なお、Sun Grid Engine 5.3 の場合は、該当するパッチが適用 された N1 Grid Engine 6.0 にアップグレードすることで解決します。 関連文書 (英語) Sun Alert Notification 102322 Security Vulnerability With Sun N1 Grid Engine Daemons http://www.sunsolve.sun.com/search/document.do?assetkey=1-26-102322-1&searchclause=%22category:security%22%2420%22availability,%2420security%22%2420category:security 【4】Ethereal (現 Wireshark) に複数の脆弱性 情報源 CIAC Bulletin Q-261 Ethereal Several Vulnerabilities http://www.ciac.org/ciac/bulletins/q-261.shtml 概要 Ethereal (現 Wireshark) の 0.8.16 から 0.99.0 までのバージョンに は複数の脆弱性があります。結果として、遠隔の第三者に任意のコード を実行される可能性があります。 この問題は、対象となる製品を、使用している OS のベンダや配布元が 提供する修正済みのパッケージに更新することで解決します。 関連文書 (英語) Wireshark: wnpa-sec-2006-01 Multiple problems in Ethereal versions 0.8.16 to 0.99.0 http://www.wireshark.org/security/wnpa-sec-2006-01.html Debian Security Advisory DSA-1127-1 ethereal -- several vulnerabilities http://www.debian.org/security/2006/dsa-1127 【5】Dokeos にクロスサイトスクリプティングの脆弱性 情報源 JP Vendor Status Notes JVN#27794427 Dokeos におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2327794427/index.html 概要 オープンソースのeラーニング用コンテンツ管理システムである Dokeos には、クロスサイトスクリプティングの脆弱性があります。結果として、 ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。 対象となるバージョンは以下の通りです。 - Dokeos バージョン 1.6.4 Patch 1 およびそれ以前 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに Dokeos を更新することで解決します。 関連文書 (英語) dokeos Open Source e-Learning Dokeos 1.6.5. : fixing XSS security issue http://www.dokeos.com/news.php#145 ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○ソフトウェアベンダを騙った不審なメールに注意 知名度の高いソフトウェアベンダなどを騙り、注意や警告を装ったメー ルが送信されることがあります。これらのメールは、スパイウェアやウ イルス、トロイの木馬といった、不審なソフトウェアをインストールさ せることを目的としていることが知られています。 受けとったメールについては、電子署名の有無や正当性、送信者や内容 などをよく確認するなどして、むやみにメールに記載されたリンクを辿っ たり、メールに添付されたファイルを開いたりしないよう注意しましょ う。 参考文献 (日本語) JPCERT/CC REPORT 2004-06-16号の「一口メモ」 電子署名 http://www.jpcert.or.jp/wr/2004/wr042301.txt JPCERT/CC REPORT 2005-06-15号の「一口メモ」 メール送信元の詐称 http://www.jpcert.or.jp/wr/2005/wr052301.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRM/7x4x1ay4slNTtAQGTsQP+IKR8MB4X6f1JkBgU0vQUTZ/cIUKgWpxT QqSP7xav05tVBklQiTyFGQ9kyJDQ2zYNVpPxChhqRZaA5poLeZJv5HJiRSPUZtJ0 CZFBr3XwtbBM66c8QK1poCrchgz4qSteEJKCFkqRmweX7tstqg8XIIBjU4sGSTHj 0k1neEdlE0o= =btEi -----END PGP SIGNATURE-----