JPCERT-WR-2007-2001 2007-05-30 2007-05-20 2007-05-26

US-CERT Vulnerability Note VU#754281 http://www.kb.cert.org/vuls/id/754281 CIAC Bulletin R-245 http://www.ciac.org/ciac/bulletins/r-245.shtml

RSA BSAFE Cert-C および Crypto-C のライブラリには脆弱性がありま す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う 可能性があります。 対象となる製品およびバージョンは以下の通りです。 - RSA BSAFE Cert-C 2.8 より前のバージョン - RSA BSAFE Crypto-C 6.3.1 より前のバージョン この問題は、RSA が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。 Cisco からは、この問題に対する修正済みのバージョンおよび回避策が 公開されております。その他、RSA BSAFE を使用するさまざまなベンダ の製品も影響を受ける可能性があります。詳細については、使用してい る OS のベンダや配布元が提供する情報を参照してください。

Japan Vulnerability Notes JVNVU#754281 http://jvn.jp/cert/JVNVU%23754281/index.html JPCERT/CC Alert 2007-05-24 http://www.jpcert.or.jp/at/2007/at070013.txt RSAセキュリティ http://www.rsa.com/japan/products/bsafe/cert-c.html RSAセキュリティ http://www.rsa.com/japan/products/bsafe/crypto-c.html Cisco Security Advisory: cisco-sa-20070522-crypto.shtml http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c5d.shtml Cisco Applied Intelligence Response http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c96.html Cisco Security Advisory: cisco-sa-20070522-SSL http://www.cisco.com/en/US/products/products_security_advisory09186a0080847c49.shtml Cisco Applied Intelligence Response http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a0080847c7e.html

US-CERT Vulnerability Note VU#659148 http://www.kb.cert.org/vuls/id/659148 US-CERT Vulnerability Note VU#671028 http://www.kb.cert.org/vuls/id/671028 CIAC Bulletin R-244 http://www.ciac.org/ciac/bulletins/r-244.shtml

OPeNDAP 4 Data Server (別名 Hyrax) に含まれる BES には、複数の脆 弱性があります。結果として、遠隔の第三者が任意のコマンドを実行す るなどの可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Hyrax 1.2.1 より前のバージョンに含まれる BES - BES 3.5.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに該当する製品を 更新することで解決します。

OPeNDAP Data Server Security Information http://www.opendap.org/security.html OPeNDAP Server4 Software http://www.opendap.org/download/hyrax.html OPeNDAP BES Software http://www.opendap.org/download/BES.html

CIAC Technical Bulletin CIACTech07-001 http://www.ciac.org/ciac/techbull/CIACTech07-001.shtml

Microsoft は、第三者が任意のコードを埋め込んだ Microsoft Office (Word、Excel、PowerPoint) 文書をユーザに開かせる攻撃手法への対策 として、Microsoft Office Isolated Conversion Environment (MOICE) を公開しました。 このツールを導入すると、Microsoft Office (Word、Excel、 PowerPoint) 文書を開こうとしたとき、Office 文書がより安全な Office 2007 の Open XML 形式に変換され、新しいファイルとして一時 フォルダに格納され、適切な Office アプリケーションを使用して開か れます。 詳細については、下記関連文書を参照してください。

マイクロソフト セキュリティ アドバイザリ (937696) http://www.microsoft.com/japan/technet/security/advisory/937696.mspx マイクロソフト サポート技術情報 (935865) http://support.microsoft.com/kb/935865

生体認証で利用する生体情報の種類には、指紋、虹彩、静脈、声紋、筆 跡のように多くの種類があります。また、これらを利用する生体認証デ バイスも数多く市場に普及しています。 生体認証デバイスの精度/性能は、以下のような数値で評価できます。 - 正しい利用者本人を拒否する確率: 本人拒否率 (FRR: False Reject Rate) - 他人を本人と認識してしまう確率: 他人受入率 (FAR: False Accept Rate) これらの精度評価は、国際的な標準化も進められていますが、現時点で は各メーカが独自に発表しています。生体認証デバイスを採用する際に は、実際に使用して評価検討することが重要です。また、採用するデバ イスで認証できない利用者に対する代替手段の検討も行っておくことを おすすめします。 社団法人日本自動認識システム協会 http://www.jaisa.or.jp/action/group/bio/shoukai.html JPCERT/CC REPORT 2007-05-23 http://www.jpcert.or.jp/wr/2007/wr071901.html#Memo