APOP におけるパスワード漏えいの脆弱性

JPCERT-WR-2007-1601 2007-04-25 2007-04-15 2007-04-21

APOP におけるパスワード漏えいの脆弱性 Japan Vulnerability Notes JVN#19445002 APOP におけるパスワード漏えいの脆弱性 http://jvn.jp/jp/JVN%2319445002/index.html

APOP には脆弱性があります。結果として、遠隔の第三者が POP アカウントのパスワードを盗み取る可能性があります。この問題は、プロトコル自身の問題であるため、ソフトウェアの修正による根本的な解決はできません。回避策としては、POP over SSL などを利用して、ホスト認証と通信の暗号化を行う方法があります。また、 POP アカウントに使用しているパスワードが他のシステムのパスワードと共通である場合、他のシステムへのアクセスに利用される可能性もあるため、サービス毎に異なるパスワードを使うことを推奨します。

独立行政法人情報処理推進機構セキュリティセンター JVN#19445002 APOP におけるパスワード漏えいの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_19445002.html

Apple の Mac 製品に複数の脆弱性 US-CERT Technical Cyber Security Alert TA07-109A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-109A.html US-CERT Cyber Security Alert SA07-109A Apple Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA07-109A.html US-CERT Vulnerability Notes Database Search Results [apple_2007-004] (全6件・2007年4月24日現在) http://www.kb.cert.org/vuls/byid?searchview&query=apple_2007-004 CIAC Bulletin R-216 Apple Security Update 2007-004 http://www.ciac.org/ciac/bulletins/r-216.shtml

Mac OS X、Mac OS X Server およびこれらに含まれる GNU Tar、MIT Kerberos などには複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取得したり、サービス運用妨害（DoS）攻撃を行ったりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - Intel および PowerPC ベースのシステムで稼動する以下の製品およびバージョン - Apple Mac OS X v10.3.9、v10.4.9 - Apple Mac OS X Server v10.3.9、v10.4.9 この問題は、Apple が提供する Security Update 2007-004 を適用することで解決します。

Japan Vulnerability Notes JVNTA07-109A Apple の Mac 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA07-109A/index.html Apple - Support About Security Update 2007-004 http://docs.info.apple.com/article.html?artnum=305391

Oracle 製品に複数の脆弱性 US-CERT Technical Cyber Security Alert TA07-108A Oracle Releases Patches for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-108A.html US-CERT Vulnerability Note VU#809457 Oracle Database vulnerable to privilege escalation http://www.kb.cert.org/vuls/id/809457 CIAC Bulletin R-213 Oracle Critical Patch Update - April 2007 http://www.ciac.org/ciac/bulletins/r-213.shtml

Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在します。結果として、遠隔の第三者が任意のコードを実行したり、機密情報を取得したり、サービス運用妨害（DoS）攻撃を行ったりする可能性があります。なお、これらの影響は対象製品やコンポーネント、設定等により異なります。対象となるシステムは以下の通りです。 - Oracle Database - Oracle Application Server - Oracle Secure Enterprise Search - Oracle Enterprise Manager - Oracle Collaboration Suite - Ultra Search component - Oracle E-Business Suite - Oracle PeopleSoft Enterprise PeopleTools - Oracle PeopleSoft Enterprise Human Capital Management - JD Edwards EnterpriseOne Tools - JD Edwards OneWorld Tools 詳細については Oracle が提供する情報を参照してください。この問題は、Oracle が提供するパッチを適用することで解決します。

Oracle internet Support Center [CPUApr2007] Critical Patch Update - April 2007 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=124318 Japan Vulnerability Notes JVNTA07-108A Oracle 製品に複数の脆弱性 http://jvn.jp/cert/JVNTA07-108A/index.html Oracle Technology Network Oracle Critical Patch Update - April 2007 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

PHP に複数の脆弱性 CIAC Bulletin R-214 PHP Security Update http://www.ciac.org/ciac/bulletins/r-214.shtml

PHP には複数の脆弱性があります。結果として、遠隔の第三者が Apache ユーザの権限で任意のコードを実行するなどの可能性があります。本脆弱性については OS のベンダ、ディストリビュータによって対応状況が大きく異なります。2007年4月24日現在、JPCERT/CC では、Red Hat Linux 以外の環境で全ての脆弱性を修正したパッケージが公開されていることを確認できておりません。Red Hat Linux を使用している場合は、 Red Hat が提供する修正済みのパッケージに PHP を更新することで解決します。Red Hat Linux 以外の環境で PHP を使用している場合は、修正済みのパッケージが提供され次第 PHP を更新する、あるいは php.net で公開されているソースを使用して PHP を更新することをご検討ください。

Red Hat Security Advisory RHSA-2007:0155-2 Important: php security update https://rhn.redhat.com/errata/RHSA-2007-0155.html PHP: Hypertext Preprocessor http://www.php.net/

open-gorotto にクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#84646028 open-gorotto におけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2384646028/index.html

会員制のコミュニティサイトを構築するソフトウェア open-gorotto には、クロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行したり、セッション・ハイジャックを行ったりする可能性があります。対象となるバージョンは以下の通りです。 - open-gorotto 2.0α 2006/04/07版およびそれ以前この問題は、配布元が提供するセキュリティ修正パッチを適用することで解決します。

open-gorotto ダウンロード http://release.open-gorotto.jp/ 独立行政法人情報処理推進機構セキュリティセンター JVN#84646028 「open-gorotto」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_84646028.html

「私本管理GOOUT」にディレクトリトラバーサルの脆弱性 Japan Vulnerability Notes JVN#62334841 「私本管理Plus Ver2 GOOUT」におけるディレクトリトラバーサルの脆弱性 http://jvn.jp/jp/JVN%2362334841/index.html

蔵書管理用システムである「私本管理Plus」のデータをネットワーク経由で閲覧するためのソフトウェア「私本管理GOOUT」には、ディレクトリトラバーサルの脆弱性があります。結果として、遠隔の第三者が機密情報を取得する可能性があります。対象となるバージョンは以下の通りです。 - 私本管理GOOUT Ver2.1.7 およびそれ以前この問題は、配布元が提供する修正済みの「私本管理GOOUT Ver2.1.8 」に更新することで解決します。

EKAKIN'S SCRIBBLE PAGE http://homepage1.nifty.com/EKAKIN/ 独立行政法人情報処理推進機構セキュリティセンター JVN#62334841「私本管理Plus Ver2 GOOUT」におけるディレクトリ・トラバーサルの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_62334841.html

InfoBarrier4 による自己復号ファイルに脆弱性 Japan Vulnerability Notes JVN#91305178 InfoBarrier4 の自己復号型ファイルにおける脆弱性 http://jvn.jp/jp/JVN%2391305178/index.html

InfoBarrier4 の暗号機能で作成した自己復号ファイルには脆弱性があります。結果として、ファイルを入手した第三者が自己復号ファイルの内容を閲覧したり、パスワードを入手したりする可能性があります。対象となる製品およびバージョンは以下の通りです。 - InfoBarrier4 Standard Plus の V4.0L10 および V4.0L20 この問題は、株式会社エフ・エフ・シーが提供するセキュリティパッチを適用することで解決します。パッチ適用以前に作成した自己復号ファイルは削除してください。詳細については、ベンダが提供する情報を参照してください。

株式会社FFC ダウンロード・アップデートモジュール InfoBarrier4の自己復号ファイルの脆弱性について http://www.infobarrier.com/infobarrier/download/updata.html

キヤノンネットワークカメラサーバー VB100 シリーズにクロスサイトスクリプティングの脆弱性 Japan Vulnerability Notes JVN#06735665 キヤノンネットワークカメラサーバー VB100 シリーズにおけるクロスサイトスクリプティングの脆弱性 http://jvn.jp/jp/JVN%2306735665/index.html

キヤノンネットワークカメラサーバー VB100 シリーズにはクロスサイトスクリプティングの脆弱性があります。結果として、遠隔の第三者がカメラサーバーの管理画面にアクセスしたユーザのブラウザ上で任意のスクリプトを実行する可能性があります。対象となるバージョンは以下の通りです。 - VB100 V3.0 R69 およびそれ以前のバージョン - VB101 V3.0 R69 およびそれ以前のバージョン - VB150 V1.1 R39 およびそれ以前のバージョンこの問題は、キヤノンが提供する修正済みのバージョンにファームウェアを更新することで解決します。

キヤノン：ダウンロード｜ネットワークカメラネットワークカメラサーバーをご使用のお客様へ http://cweb.canon.jp/drv-upd/webview/notification.html 独立行政法人情報処理推進機構セキュリティセンター JVN#06735665「キヤノンネットワークカメラサーバー VB100 シリーズ」におけるクロスサイト・スクリプティングの脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_06735665.html

Mozilla 製品の複数の脆弱性に関する追加情報 US-CERT Vulnerability Notes VU#606260 Mozilla Layout Engine vulnerability http://www.kb.cert.org/vuls/id/606260 CIAC Bulletin R-215 Multiple Security Vulnerabilities in Mozilla Layout Engine http://www.ciac.org/ciac/bulletins/r-215.shtml

JPCERT/CC REPORT 2006-12-27号【1】で紹介した、Mozilla 製品の複数の脆弱性に関する追加情報です。 Sun が Solaris 8, 9, 10 向けの Mozilla レイアウトエンジンの脆弱性を修正するパッチを公開しました。対象となる製品およびバージョンは以下の通りです。 - SPARC プラットフォームで動作する以下の製品 - パッチ 120671-05 未適用の Mozilla 1.7 (Solaris 8 および 9 向け) - Mozilla 1.7 (Solaris 10 向け) - x86 プラットフォームで動作する以下の製品 - パッチ 120672-05 未適用の Mozilla 1.7 (Solaris 8 および 9 向け) - Mozilla 1.7 (Solaris 10 向け) なお、Mozilla 1.4 も本脆弱性の影響を受ける可能性があります。Sun は、Mozilla 1.7 にアップグレードしてから該当するパッチを適用することを推奨しています。詳細については、Sun が提供する情報を参照してください。

Mozilla Foundation セキュリティアドバイザリ 2006-68 メモリ破壊の形跡があるクラッシュ (rv:1.8.0.9/1.8.1.1) http://www.mozilla-japan.org/security/announce/2006/mfsa2006-68.html JPCERT/CC REPORT 2006-12-27 【1】Mozilla 製品に複数の脆弱性 http://www.jpcert.or.jp/wr/2006/wr065001.html#1 Sun Alert Notification 102885 Multiple Security Vulnerabilities in Mozilla Layout Engine for Solaris 8, 9 and 10 http://sunsolve.sun.com/search/document.do?assetkey=1-26-102885-1

長期休暇明けの注意ゴールデンウィークのような長期休暇の後には、セキュリティ対策に関して一層の注意が必要です。長期休暇中に使用していなかった PC については、早急に下記のようなセキュリティ対策を行うことをおすすめします。また、休暇中外部に持ち出した PC については、内部ネットワークに接続する前に同様の対策を行うことをおすすめします。 - OS などのソフトウェアのセキュリティアップデートを適用する - ウイルス対策ソフトなどの定義ファイルを更新する - ハードディスクのウイルスチェックを行う - 使用している機器やソフトウェアのセキュリティ関連情報の収集を行う長期休暇を控えて http://www.jpcert.or.jp/pr/2007/pr070005.txt