<<< JPCERT/CC WEEKLY REPORT 2007-07-25 >>>
■07/15(日)〜07/21(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】Oracle 製品に複数の脆弱性
【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報
【4】GIMP に複数の整数オーバーフローの脆弱性
【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性
【6】Nessus に脆弱性
【今週のひとくちメモ】PHP 4 のサポート終了
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr072801.txt
https://www.jpcert.or.jp/wr/2007/wr072801.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA07-199A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-199A.htmlUS-CERT Cyber Security Alert SA07-199A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA07-199A.htmlUS-CERT Vulnerability Notes Database
Search Results [mozilla_20070717] (全2件・2007年7月24日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=mozilla_20070717CIAC Bulletin R-309
Mozilla Products Security Update
http://www.ciac.org/ciac/bulletins/r-309.shtml
概要
Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が あります。結果として、遠隔の第三者が細工した HTML 文書をユーザに 閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 この問題は、JPCERT/CC REPORT 2007-07-19号【4】で紹介した 「FirefoxURL プロトコルハンドラの処理に脆弱性」と同一の脆弱性を 含んでいます。 対象となる製品は以下の通りです。 - Firefox - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可能 性があります。 この問題は、使用している OS のベンダや配布元が提供する以下の修正 済みのバージョンに、該当する製品を更新することで解決します。 - Firefox 2.0.0.5 - Thunderbird 2.0.0.5 詳細については、Mozilla が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Foundation セキュリティアドバイザリ: 2007 年 7 月 17 日
http://www.mozilla-japan.org/security/announce/Mozilla Japan
Firefox 2.0.0.5 リリースノート
http://www.mozilla-japan.org/products/firefox/2.0.0.5/releasenotes/Mozilla Japan
Thunderbird 2.0.0.5 リリースノート
http://www.mozilla-japan.org/products/thunderbird/2.0.0.5/releasenotes/Japan Vulnerability Notes JVNTA07-199A
Mozilla 製品における複数の脆弱性
http://jvn.jp/cert/JVNTA07-199A/index.html@police
Firefox および Thunderbird の脆弱性について(7/20)
http://www.cyberpolice.go.jp/important/2007/20070720_102407.htmlJPCERT/CC REPORT 2007-07-19
【4】FirefoxURL プロトコルハンドラの処理に脆弱性
http://www.jpcert.or.jp/wr/2007/wr072701.html#4
関連文書 (英語)
Red Hat Security Advisory RHSA-2007:0724-4
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2007-0724.htmlRed Hat Security Advisory RHSA-2007:0723-4
Moderate: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2007-0723.htmlRed Hat Security Advisory RHSA-2007:0722-3
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2007-0722.html
【2】Oracle 製品に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA07-200A
Oracle Releases Patches for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-200A.htmlUS-CERT Vulnerability Note VU#322460
Oracle Collaboration Suite denial of service vulnerability
http://www.kb.cert.org/vuls/id/322460CIAC Bulletin R-308
Oracle Critical Patch Update - July 2007
http://www.ciac.org/ciac/bulletins/r-308.shtml
概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報 を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ ります。なお、これらの影響は対象製品やコンポーネント、設定等によ り異なります。 対象となる製品は以下の通りです。 - Oracle Database - Oracle Application Express (旧称 HTML DB) - Oracle Secure Enterprise Search - Oracle Application Server - Oracle Collaboration Suite - Oracle E-Business Suite - Oracle PeopleSoft Enterprise PeopleTools - Oracle PeopleSoft Enterprise Human Capital Management - Oracle PeopleSoft Enterprise Customer Relationship Management 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用することで 解決します。
関連文書 (日本語)
Oracle internet Support Center
[CPUJul2007] Critical Patch Update - July 2007
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=125546Japan Vulnerability Notes JVNTA07-200A
Oracle 製品に複数の脆弱性
http://jvn.jp/cert/JVNTA07-200A/index.htmlOracle Technology Network
Oracle Critical Patch Update - July 2007
http://otn.oracle.co.jp/security/070720_79/top.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update - July 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html
【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報
情報源
CIAC Bulletin R-305
Tomcat Security Update
http://www.ciac.org/ciac/bulletins/r-305.shtml
概要
JPCERT/CC REPORT 2007-06-20号【5】で紹介した「Apache Tomcat に複 数のクロスサイトスクリプティングの脆弱性」に関する追加情報です。 Apache Software Foundation は、この脆弱性に対する修正プログラムを 公開しました。 詳細については、使用している OS のベンダや配布元が提供する情報を 参照してください。
関連文書 (日本語)
JPCERT/CC REPORT 2007-06-20
【5】Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性
http://www.jpcert.or.jp/wr/2007/wr072301.html#5
関連文書 (英語)
Apache Tomcat
Apache Tomcat 4.x vulnerabilities
http://tomcat.apache.org/security-4.htmlApache Tomcat
Apache Tomcat 5.x vulnerabilities
http://tomcat.apache.org/security-5.htmlApache Tomcat
Apache Tomcat 6.x vulnerabilities
http://tomcat.apache.org/security-6.htmlRed Hat Security Advisory RHSA-2007:0569-2
Moderate: tomcat security update
https://rhn.redhat.com/errata/RHSA-2007-0569.html
【4】GIMP に複数の整数オーバーフローの脆弱性
情報源
CIAC Bulletin R-310
Gimp Security Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-310.shtml
概要
GIMP には複数の整数オーバーフローの脆弱性があります。結果として、 遠隔の第三者が細工したメディアファイルをユーザに開かせることで任 意のコードを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに GIMP を更新することで解決します。
関連文書 (英語)
GIMP: The GNU Image Manipulation Program Version 2.2
NEWS 2.2
http://developer.gimp.org/NEWS-2.2Debian Security Advisory DSA-1335-1
gimp -- several vulnerabilities
http://www.debian.org/security/2007/dsa-1335
【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#786920
Trillian Instant Messenger client fails to properly handle malformed URIs
http://www.kb.cert.org/vuls/id/786920CIAC Bulletin R-306
Trillian Instant Messenger Client Vulnerability
http://www.ciac.org/ciac/bulletins/r-306.shtml
概要
Cerulean Studios の Trillian Instant Messenger には、URI の処理 においてバッファオーバーフローの脆弱性があります。結果として、遠 隔の第三者が細工した HTML 文書をユーザに Web ブラウザで開かせる ことで、ユーザの権限で任意のコードを実行する可能性があります。 対象となるバージョンについては Cerulean Studios が提供する情報を 参照してください。 この問題は、Cerulean Studios が提供する修正済みのバージョン 3.1.7.0 に Trillian Instant Messenger を更新することで解決します。
関連文書 (英語)
Cerulean Studios' Blog
Trillian 3.1.7.0
http://blog.ceruleanstudios.com/?p=170
【6】Nessus に脆弱性
情報源
Japan Vulnerability Notes JVN#34058672
Nessus のレポート出力機能において任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN%2334058672/index.html
概要
Tenable Network Security が提供する脆弱性スキャナである Nessus のレポート出力機能には脆弱性があります。結果として、出力された HTML ファイルを閲覧した際に、任意のスクリプトが実行される可能性 があります。 対象となるバージョンは以下の通りです。 - Nessus 3.0.5 for Microsoft Windows およびそれ以前 詳細については、Tenable Network Security が提供する情報を参照し てください。 この問題は、Tenable Network Security が提供する修正済みのバージョ ン 3.0.6 に Nessus を更新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#34058672 「Nessus」のレポート出力機能において任意のスクリプトが実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_34058672.html
関連文書 (英語)
Nessus
26th June, 2007: Nessus 3.0.6 released
http://www.nessus.org/news/#56
■今週のひとくちメモ
○PHP 4 のサポート終了
PHP 4 のサポートが 2007年12月31日で終了します。PHP 4 を利用して いるサーバ管理者及び PHP 4 で稼働するプログラムの開発者は、PHP 5 への移行を検討することをおすすめします。 なお、The PHP Group からは「PHP 4 から PHP 5 への移行」のマニュ アルが提供されています。詳細については、以下の情報を参照してくだ さい。
参考文献 (日本語)
PHP マニュアル
付録 D. PHP 4 から PHP 5 への移行
http://jp.php.net/manual/ja/migration5.php
参考文献 (英語)
PHP: News Archive - 2007
PHP 4 end of life announcement
http://jp.php.net/archive/2007.php#2007-07-13-1
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/