-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-1601 JPCERT/CC 2007-04-25 <<< JPCERT/CC REPORT 2007-04-25 >>> ―――――――――――――――――――――――――――――――――――――― ■04/15(日)〜04/21(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】APOP におけるパスワード漏えいの脆弱性 【2】Apple の Mac 製品に複数の脆弱性 【3】Oracle 製品に複数の脆弱性 【4】PHP に複数の脆弱性 【5】open-gorotto にクロスサイトスクリプティングの脆弱性 【6】「私本管理GOOUT」にディレクトリトラバーサルの脆弱性 【7】InfoBarrier4 による自己復号ファイルに脆弱性 【8】キヤノン ネットワークカメラサーバー VB100 シリーズにクロスサイトスクリプティングの脆弱性 【9】Mozilla 製品の複数の脆弱性に関する追加情報 【今週のひとくちメモ】長期休暇明けの注意 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr071601.html http://www.jpcert.or.jp/wr/2007/wr071601.xml ============================================================================ 【1】APOP におけるパスワード漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#19445002 APOP におけるパスワード漏えいの脆弱性 http://jvn.jp/jp/JVN%2319445002/index.html 概要 APOP には脆弱性があります。結果として、遠隔の第三者が POP アカウ ントのパスワードを盗み取る可能性があります。 この問題は、プロトコル自身の問題であるため、ソフトウェアの修正に よる根本的な解決はできません。回避策としては、POP over SSL など を利用して、ホスト認証と通信の暗号化を行う方法があります。また、 POP アカウントに使用しているパスワードが他のシステムのパスワード と共通である場合、他のシステムへのアクセスに利用される可能性もあ るため、サービス毎に異なるパスワードを使うことを推奨します。 関連文書 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター JVN#19445002 APOP におけるパスワード漏えいの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html 【2】Apple の Mac 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA07-109A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-109A.html US-CERT Cyber Security Alert SA07-109A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA07-109A.html US-CERT Vulnerability Notes Database Search Results [apple_2007-004] (全6件・2007年4月24日現在) http://www.kb.cert.org/vuls/byid?searchview&query=apple_2007-004 CIAC Bulletin R-216 Apple Security Update 2007-004 http://www.ciac.org/ciac/bulletins/r-216.shtml 概要 Mac OS X、Mac OS X Server およびこれらに含まれる GNU Tar、MIT Kerberos などには複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行したり、機密情報を取得したり、サービス運用 妨害(DoS)攻撃を行ったりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Intel および PowerPC ベースのシステムで稼動する以下の製品および バージョン - Apple Mac OS X v10.3.9、v10.4.9 - Apple Mac OS X Server v10.3.9、v10.4.9 この問題は、Apple が提供する Security Update 2007-004 を適用する ことで解決します。 関連文書 (日本語) Japan Vulnerability Notes JVNTA07-109A Apple の Mac 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA07-109A/index.html 関連文書 (英語) Apple - Support About Security Update 2007-004 http://docs.info.apple.com/article.html?artnum=305391 【3】Oracle 製品に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA07-108A Oracle Releases Patches for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-108A.html US-CERT Vulnerability Note VU#809457 Oracle Database vulnerable to privilege escalation http://www.kb.cert.org/vuls/id/809457 CIAC Bulletin R-213 Oracle Critical Patch Update - April 2007 http://www.ciac.org/ciac/bulletins/r-213.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報 を取得したり、サービス運用妨害(DoS)攻撃を行ったりする可能性が あります。なお、これらの影響は対象製品やコンポーネント、設定等に より異なります。 対象となるシステムは以下の通りです。 - Oracle Database - Oracle Application Server - Oracle Secure Enterprise Search - Oracle Enterprise Manager - Oracle Collaboration Suite - Ultra Search component - Oracle E-Business Suite - Oracle PeopleSoft Enterprise PeopleTools - Oracle PeopleSoft Enterprise Human Capital Management - JD Edwards EnterpriseOne Tools - JD Edwards OneWorld Tools 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを適用することで解決します。 関連文書 (日本語) Oracle internet Support Center [CPUApr2007] Critical Patch Update - April 2007 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=124318 Japan Vulnerability Notes JVNTA07-108A Oracle 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA07-108A/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update - April 2007 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html 【4】PHP に複数の脆弱性 情報源 CIAC Bulletin R-214 PHP Security Update http://www.ciac.org/ciac/bulletins/r-214.shtml 概要 PHP には複数の脆弱性があります。結果として、遠隔の第三者が Apache ユーザの権限で任意のコードを実行するなどの可能性がありま す。 本脆弱性については OS のベンダ、ディストリビュータによって対応状 況が大きく異なります。2007年4月24日現在、JPCERT/CC では、Red Hat Linux 以外の環境で全ての脆弱性を修正したパッケージが公開されてい ることを確認できておりません。Red Hat Linux を使用している場合は、 Red Hat が提供する修正済みのパッケージに PHP を更新することで解 決します。Red Hat Linux 以外の環境で PHP を使用している場合は、 修正済みのパッケージが提供され次第 PHP を更新する、あるいは php.net で公開されているソースを使用して PHP を更新することをご 検討ください。 関連文書 (英語) Red Hat Security Advisory RHSA-2007:0155-2 Important: php security update https://rhn.redhat.com/errata/RHSA-2007-0155.html PHP: Hypertext Preprocessor http://www.php.net/ 【5】open-gorotto にクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#84646028 open-gorotto におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2384646028/index.html 概要 会員制のコミュニティサイトを構築するソフトウェア open-gorotto に は、クロスサイトスクリプティングの脆弱性があります。結果として、 遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したり、 セッション・ハイジャックを行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - open-gorotto 2.0α 2006/04/07版およびそれ以前 この問題は、配布元が提供するセキュリティ修正パッチを適用すること で解決します。 関連文書 (日本語) open-gorotto ダウンロード http://release.open-gorotto.jp/ 独立行政法人 情報処理推進機構 セキュリティセンター JVN#84646028 「open-gorotto」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_84646028.html 【6】「私本管理GOOUT」にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#62334841 「私本管理Plus Ver2 GOOUT」におけるディレクトリトラバーサルの脆弱性 http://jvn.jp/jp/JVN%2362334841/index.html 概要 蔵書管理用システムである「私本管理Plus」のデータをネットワーク経 由で閲覧するためのソフトウェア「私本管理GOOUT」には、ディレクト リトラバーサルの脆弱性があります。結果として、遠隔の第三者が機密 情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - 私本管理GOOUT Ver2.1.7 およびそれ以前 この問題は、配布元が提供する修正済みの「私本管理GOOUT Ver2.1.8 」に更新することで解決します。 関連文書 (日本語) EKAKIN'S SCRIBBLE PAGE http://homepage1.nifty.com/EKAKIN/ 独立行政法人 情報処理推進機構 セキュリティセンター JVN#62334841「私本管理Plus Ver2 GOOUT」におけるディレクトリ・トラバーサルの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_62334841.html 【7】InfoBarrier4 による自己復号ファイルに脆弱性 情報源 Japan Vulnerability Notes JVN#91305178 InfoBarrier4 の自己復号型ファイルにおける脆弱性 http://jvn.jp/jp/JVN%2391305178/index.html 概要 InfoBarrier4 の暗号機能で作成した自己復号ファイルには脆弱性があ ります。結果として、ファイルを入手した第三者が自己復号ファイルの 内容を閲覧したり、パスワードを入手したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - InfoBarrier4 Standard Plus の V4.0L10 および V4.0L20 この問題は、株式会社エフ・エフ・シーが提供するセキュリティパッチ を適用することで解決します。パッチ適用以前に作成した自己復号ファ イルは削除してください。詳細については、ベンダが提供する情報を参 照してください。 関連文書 (日本語) 株式会社FFC ダウンロード・アップデートモジュール InfoBarrier4の自己復号ファイルの脆弱性について http://www.infobarrier.com/infobarrier/download/updata.html 【8】キヤノン ネットワークカメラサーバー VB100 シリーズにクロスサイトスクリプティングの脆弱性 情報源 Japan Vulnerability Notes JVN#06735665 キヤノン ネットワークカメラサーバー VB100 シリーズにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2306735665/index.html 概要 キヤノン ネットワークカメラサーバー VB100 シリーズにはクロスサイ トスクリプティングの脆弱性があります。結果として、遠隔の第三者が カメラサーバーの管理画面にアクセスしたユーザのブラウザ上で任意の スクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - VB100 V3.0 R69 およびそれ以前のバージョン - VB101 V3.0 R69 およびそれ以前のバージョン - VB150 V1.1 R39 およびそれ以前のバージョン この問題は、キヤノンが提供する修正済みのバージョンにファームウェ アを更新することで解決します。 関連文書 (日本語) キヤノン:ダウンロード|ネットワークカメラ ネットワークカメラサーバーをご使用のお客様へ http://cweb.canon.jp/drv-upd/webview/notification.html 独立行政法人 情報処理推進機構 セキュリティセンター JVN#06735665「キヤノン ネットワークカメラサーバー VB100 シリーズ」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_06735665.html 【9】Mozilla 製品の複数の脆弱性に関する追加情報 情報源 US-CERT Vulnerability Notes VU#606260 Mozilla Layout Engine vulnerability http://www.kb.cert.org/vuls/id/606260 CIAC Bulletin R-215 Multiple Security Vulnerabilities in Mozilla Layout Engine http://www.ciac.org/ciac/bulletins/r-215.shtml 概要 JPCERT/CC REPORT 2006-12-27号【1】で紹介した、Mozilla 製品の複数 の脆弱性に関する追加情報です。 Sun が Solaris 8, 9, 10 向けの Mozilla レイアウトエンジンの脆弱 性を修正するパッチを公開しました。 対象となる製品およびバージョンは以下の通りです。 - SPARC プラットフォームで動作する以下の製品 - パッチ 120671-05 未適用の Mozilla 1.7 (Solaris 8 および 9 向け) - Mozilla 1.7 (Solaris 10 向け) - x86 プラットフォームで動作する以下の製品 - パッチ 120672-05 未適用の Mozilla 1.7 (Solaris 8 および 9 向け) - Mozilla 1.7 (Solaris 10 向け) なお、Mozilla 1.4 も本脆弱性の影響を受ける可能性があります。Sun は、Mozilla 1.7 にアップグレードしてから該当するパッチを適用する ことを推奨しています。詳細については、Sun が提供する情報を参照し てください。 関連文書 (日本語) Mozilla Foundation セキュリティアドバイザリ 2006-68 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.9/1.8.1.1) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-68.html JPCERT/CC REPORT 2006-12-27 【1】Mozilla 製品に複数の脆弱性 http://www.jpcert.or.jp/wr/2006/wr065001.html#1 関連文書 (英語) Sun Alert Notification 102885 Multiple Security Vulnerabilities in Mozilla Layout Engine for Solaris 8, 9 and 10 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102885-1 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○長期休暇明けの注意 ゴールデンウィークのような長期休暇の後には、セキュリティ対策に関 して一層の注意が必要です。長期休暇中に使用していなかった PC につ いては、早急に下記のようなセキュリティ対策を行うことをおすすめし ます。また、休暇中外部に持ち出した PC については、内部ネットワー クに接続する前に同様の対策を行うことをおすすめします。 - OS などのソフトウェアのセキュリティアップデートを適用する - ウイルス対策ソフトなどの定義ファイルを更新する - ハードディスクのウイルスチェックを行う - 使用している機器やソフトウェアのセキュリティ関連情報の収集を行 う 参考文献 (日本語) 長期休暇を控えて http://www.jpcert.or.jp/pr/2007/pr070005.txt ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお知らせ ―――――――――――――――――――――――――――――――――――――― ◇次号の発行は 5月9日(水) の予定です。 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRi7I6Yx1ay4slNTtAQFl9wP9FnjC+0SS/JgLna/FgtU5CWRjjmO7CP++ /eGLSIQ+rVpZpuSZxqAhvuGGOfNz5FGeYpAOT2QJXYU1+jTXouCiyxJCBD8SuHuS yGjnTJ/LSNbi5CaWXvJp1dWazGMiys8ooKcKcVWkDaNgNaH1mNMuzFsQNtnH4UCT 90PzMyNzAGE= =Ml5j -----END PGP SIGNATURE-----