-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2006-4601 JPCERT/CC 2006-11-29 <<< JPCERT/CC REPORT 2006-11-29 >>> ―――――――――――――――――――――――――――――――――――――― ■11/19(日)〜11/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 =================================================================== 【1】Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性 【2】CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性 【3】gv にバッファオーバフローの脆弱性 【4】NaviCOPA Web サーバにバッファオーバーフローの脆弱性 【5】eyeOS にクロスサイトスクリプティングの脆弱性 【6】phpComasy にクロスサイトスクリプティングの脆弱性 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2006/wr064601.html http://www.jpcert.or.jp/wr/2006/wr064601.xml ============================================================================= 【1】Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性 情報源 US-CERT Vulnerability Note VU#367424 Apple Mac OS X fails to properly handle corrupted DMG image structures http://www.kb.cert.org/vuls/id/367424 概要 Apple Mac OS X の com.apple.AppleDiskImageController には、DMG ファイルを取り扱う際にメモリ破損が発生する脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃をしたりする可能性があります。なお、すでに攻撃方法に関 する情報が公開されています。 対象となる製品は以下の通りです。 - Mac OS X 2006年11月28日現在、セキュリティアップデートは提供されていません。 回避策としては以下の方法があります。 - 信頼できないサイトから DMG ファイルをダウンロードしない - Safari の設定において、「ダウンロード後、"安全な"ファイ ルを開く」を無効にする 関連文書 (日本語) JP Vendor Status Notes JVNVU#367424 Apple Mac OS X における DMG ファイルの取扱いに関する脆弱性 http://jvn.jp/cert/JVNVU%23367424/index.html 【2】CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性 情報源 US-CERT Vulnerability Note VU#437300 Computer Associates BrightStor ARCserve Backup Tape Engine fails to properly handle RPC requests http://www.kb.cert.org/vuls/id/437300 概要 BrightStor ARCserve Backup 製品を使用してテープドライブにバック アップを取るための機能である CA BrightStor ARCserve Tape Engine には、RPC リクエスト処理に脆弱性があります。結果として、遠隔の第 三者が SYSTEM 権限で任意のコードを実行する可能性があります。 2006年11月28日現在、この問題の修正プログラムはリリースされており ません。回避策として、ファイアウォールなどで TCP 6502 番ポートを フィルタリングする方法があります。 【3】gv にバッファオーバフローの脆弱性 情報源 CIAC Bulletin R-053 gv http://www.ciac.org/ciac/bulletins/r-053.shtml 概要 X Window System 向けの PostScript と PDF 用のビューアである gv の PostScript 解析コードには、バッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が任意のコードを実行する可能性があり ます。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに gv を更新することで解決します。 関連文書 (英語) Debian Security Advisory DSA-1214-1 gv -- buffer overflow http://www.debian.org/security/2006/dsa-1214 【4】NaviCOPA Web サーバにバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#693992 NaviCOPA Web Server fails to properly handle certain HTTP requests http://www.kb.cert.org/vuls/id/693992 CIAC Bulletin R-054 NaviCOPA Web Server Vulnerability http://www.ciac.org/ciac/bulletins/r-054.shtml 概要 Microsoft Windows 上で動作する HTTP サーバであるNaviCOPA Web サー バにはバッファオーバーフローの脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 この問題は、NaviCOPA Web サーバを V2.01 に更新することで解決しま す。 関連文書 (英語) Web Server - NaviCOPA Web Server - Download Free Trial Software - NaviCOPA http://www.navicopa.com/download.html 【5】eyeOS にクロスサイトスクリプティングの脆弱性 情報源 JP Vendor Status Notes JVN#46244305 eyeOS におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2346244305/index.html 概要 Web ベースのデスクトップ環境を提供する eyeOS には、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - eyeOS バージョン 0.8.10 から 0.8.15 この問題は、配布元が提供する修正済みのバージョン 0.9.0 またはそれ 以降に eyeOS を更新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#46244305「eyeOS」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_46244305_eyeOS.html 関連文書 (英語) eyeOS Downloads http://eyeos.org/downloads 【6】phpComasy にクロスサイトスクリプティングの脆弱性 情報源 JP Vendor Status Notes JVN#57280612 phpComasy におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2357280612/index.html 概要 コンテンツ管理システム phpComasy には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - phpComasy 0.7.9-pre およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに phpComasy を更 新することで解決します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#57280612「phpComasy」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2006/JVN_57280612_phpComasy.html 関連文書 (英語) phpComasy phpcomasy http://www.phpcomasy.com/index.php?id=18 ―――――――――――――――――――――――――――――――――――――― ■今週の一口メモ ―――――――――――――――――――――――――――――――――――――― ○暗号化ファイルシステム使用時の注意 暗号化ファイルシステムは、ディスク等のメディアが紛失や盗難に遭っ た場合に於いてデータの機密を保持するのに有効です。 ただし、暗号化ファイルシステムの使用にあたっては、その機能や特徴 を正しく把握することが大切です。主な注意点を以下に示します。 - 暗号化に使用している鍵やパスフレーズの管理に注意する - メモリ等に保持されている鍵の存在に注意する - ファイルシステム内のデータを使用しないときは、ファイルシステム をマウントしない - 侵入などに対しては、ファイル単位での暗号化など別途対策が必要で あることに留意する 参考文献 (日本語) JPCERT/CC REPORT 2006-11-22号 [今週の一口メモ] 暗号化ファイルシステムの導入 http://www.jpcert.or.jp/wr/2006/wr064501.html Microsoft サポートオンライン 暗号化ファイル システムの最善の使用方法 http://support.microsoft.com/kb/223316/ja ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2006 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBRWzk+4x1ay4slNTtAQEbZAP/QilJOxwH8Xhs5E/EfsYPcVQVAAIBh6yl BpPI/yRWatot6EvvcuWrnNOJH36MuUHLxEob5l+i8t2pRa/7VWnbmJw5zSvyfCxC QFltKGH6ChWYjMYxtqrySzWRDD8aHvz+saatwoy0jfbvn4HPPDV/eXeehzGLT9Cd tmpJI5OA4K0= =FJ8A -----END PGP SIGNATURE-----