<<< JPCERT/CC WEEKLY REPORT 2007-09-20 >>>
■09/09(日)〜09/15(土) のセキュリティ関連情報
目 次
【1】Apple QuickTime に脆弱性
【2】2007年9月 Microsoft セキュリティ情報 (緊急1件含) について
【3】Linux のカーネルに複数の脆弱性
【4】Cisco Video Surveillance 製品に脆弱性
【5】Clam AntiVirus に複数の脆弱性
【6】X.org にバッファオーバーフローの脆弱性
【7】PhotoParade Player PhPInfo ActiveX コントロールにスタックバッファオーバーフローの脆弱性
【8】Photo Upload Plugin ActiveX コントロールにスタックバッファオーバーフローの脆弱性
【今週のひとくちメモ】Web アプリケーションのパスワード管理
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr073602.txt
https://www.jpcert.or.jp/wr/2007/wr073602.xml
【1】Apple QuickTime に脆弱性
情報源
US-CERT Vulnerability Note VU#751808
Apple QuickTime remote command execution vulnerability
http://www.kb.cert.org/vuls/id/751808
概要
Apple QuickTime には脆弱性があります。結果として、遠隔の第三者が 細工した QuickTime ファイルをユーザに開かせたり、細工した qtl ファ イルを含む HTML 文書を閲覧させることで、任意のコマンドを実行する 可能性があります。なお、本件に関しては攻撃方法に関する情報が公開 されています。 対象となるバージョンは以下の通りです。 - QuickTime 7.x およびそれ以前 なお、iTunes など QuickTime を使用するソフトウェアも影響を受けま す。 2007年9月19日現在、この問題に対する修正プログラムは提供されており ません。 回避策としては、信頼できない QuickTime ファイルや HTML 文書を閲 覧しない、また、Proxy サーバや侵入防止システムで QuickTime ファ イルをブロックするなどの方法があります。 また、Mozilla からは Apple がこの問題を修正するまでの回避策とし て Firefox 2.0.0.7 が公開されています。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#751808
Apple QuickTime に任意のコマンドが実行される脆弱性
http://jvn.jp/cert/JVNVU%23751808/index.htmlMozilla Foundation セキュリティアドバイザリ
Firefox 2.0.0.7 で修正済み
http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#firefox2.0.0.7
【2】2007年9月 Microsoft セキュリティ情報 (緊急1件含) について
情報源
US-CERT Technical Cyber Security Alert TA07-254A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-254A.htmlUS-CERT Cyber Security Alert SA07-254A
Microsoft Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA07-254A.htmlUS-CERT Vulnerability Notes Database
Search Results [ms07-sep] (全3件・2007年9月19日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=ms07-sepCIAC Bulletin R-340
Vulnerability in Microsoft Agent
http://www.ciac.org/ciac/bulletins/r-340.shtmlCIAC Bulletin R-341
Vulnerability in Crystal Reports for Visual Studio
http://www.ciac.org/ciac/bulletins/r-341.shtmlCIAC Bulletin R-343
Vulnerability in MSN Messenger and Windows Live Messenger
http://www.ciac.org/ciac/bulletins/r-343.shtmlCIAC Bulletin R-344
Vulnerability in Windows Services for UNIX
http://www.ciac.org/ciac/bulletins/r-344.shtml
概要
Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 今回の修正には、JPCERT/CC REPORT 2007-09-05号【1】で紹介した 「MSN メッセンジャーおよび Windows Live メッセンジャーにヒープオー バーフローの脆弱性」に対する修正が含まれています。 この問題は、Microsoft Update、Windows Update などを用いて、セキュ リティ更新プログラムを適用することで解決します。なお、MSN メッセ ンジャーおよび Windows Live メッセンジャーに関するアップデートは、 メッセンジャーにサインインした際に表示される更新を促すメッセージ を承諾することで行なわれます。
関連文書 (日本語)
2007 年 9 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms07-sep.mspxマイクロソフト セキュリティ情報 MS07-051 - 緊急
Microsoft エージェントの脆弱性により、リモートでコードが実行される (938827)
http://www.microsoft.com/japan/technet/security/bulletin/MS07-051.mspxマイクロソフト セキュリティ情報 MS07-052 - 重要
Crystal Reports for Visual Studio の脆弱性により、リモートでコードが実行される (941522)
http://www.microsoft.com/japan/technet/security/bulletin/MS07-052.mspxマイクロソフト セキュリティ情報 MS07-053 - 重要
Windows Services for UNIX の脆弱性により、特権の昇格が起こる (939778)
http://www.microsoft.com/japan/technet/security/bulletin/MS07-053.mspxマイクロソフト セキュリティ情報 MS07-054 - 重要
MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099)
http://www.microsoft.com/japan/technet/security/bulletin/MS07-054.mspxJPCERT/CC REPORT 2007-09-05
【1】MSN メッセンジャーおよび Windows Live メッセンジャーにヒープオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2007/wr073401.html#1Japan Vulnerability Notes JVNTA07-254A
Microsoft 製品における複数の脆弱性
http://jvn.jp/cert/JVNTA07-254A/index.html@police
マイクロソフト社のセキュリティ修正プログラムについて(MS07-051,052,053,054)(9/12)
http://www.cyberpolice.go.jp/important/2007/20070912_065514.html
【3】Linux のカーネルに複数の脆弱性
情報源
CIAC Bulletin R-348
Kernel Security Update
http://www.ciac.org/ciac/bulletins/r-348.shtml
概要
Red Hat Enterprise Linux にて標準で提供されている Linux のカーネ ルには、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 なお、上記情報源にて報告されている脆弱性の一部は、Debian GNU/Linux を含む複数の Linux ベンダにて標準で提供されているカー ネルにも存在することが確認されています。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンにカーネルを更新することで解決します。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1363-1
linux-2.6 -- 複数の脆弱性
http://www.debian.org/security/2007/dsa-1363.ja.html
関連文書 (英語)
Red Hat Security Advisory RHSA-2007:0705-2
Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2007-0705.htmlDebian Security Advisory DSA-1356-1
linux-2.6 -- several vulnerabilities
http://www.debian.org/security/2007/dsa-1356
【4】Cisco Video Surveillance 製品に脆弱性
情報源
CIAC Bulletin R-342
Cisco Video Surveillance IP Gateway and Services Platform Authentication Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-342.shtml
概要
Cisco Video Surveillance 製品には脆弱性があります。結果として、遠 隔の第三者が管理者権限を取得する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Video Surveillance IP Gateway Encoder/Decoder (Standalone および Module) - ファームウェアのバージョン 1.8.1 およびそれ以前 - Cisco Video Surveillance SP/ISP Decoder Software - ファームウェアのバージョン 1.11.0 およびそれ以前 - Cisco Video Surveillance SP/ISP - ファームウェアのバージョン 1.23.7 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を 更新することで解決します。詳細については Cisco が提供する情報を参 照してください。
関連文書 (英語)
Cisco Security Advisories 97819
Cisco Video Surveillance IP Gateway and Services Platform Authentication Vulnerabilities
http://www.cisco.com/en/US/products/products_security_advisory09186a00808b4d38.shtmlCisco Applied Intelligence Response 98525
Identifying and Mitigating Exploitation of the Cisco Video Surveillance Authentication Vulnerabilities
http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a00808b4d40.html
【5】Clam AntiVirus に複数の脆弱性
情報源
CIAC Bulletin R-345
ClamAV Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-345.shtml
概要
Clam AntiVirus (ClamAV) には、複数の脆弱性があります。結果として、 遠隔の第三者が任意のコマンドを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Clam AntiVirus を更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1366-1
clamav -- 複数の脆弱性
http://www.debian.org/security/2007/dsa-1366.ja.html
関連文書 (英語)
ClamAV
http://www.clamav.net/
【6】X.org にバッファオーバーフローの脆弱性
情報源
CIAC Bulletin R-347
xorg-server Vulnerability
http://www.ciac.org/ciac/bulletins/r-347.shtml
概要
X.Org には、バッファオーバーフローの脆弱性があります。結果として、 ローカルユーザが権限を昇格して任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - X.Org X Server 1.4 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに X.Org を更新することで解決します。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1372-1
xorg-server -- バッファオーバフロー
http://www.debian.org/security/2007/dsa-1372.ja.html
関連文書 (英語)
X.Org ANNOUNCE
xorg-server 1.4
http://lists.freedesktop.org/archives/xorg-announce/2007-September/000378.html
【7】PhotoParade Player PhPInfo ActiveX コントロールにスタックバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#171449
Callisto PhotoParade Player PhPInfo ActiveX control buffer overflow
http://www.kb.cert.org/vuls/id/171449
概要
Callisto の PhotoParade Player PhPInfo ActiveX コントロールには、 バッファオーバーフローの脆弱性があります。結果として、遠隔の第三 者が細工した HTML 文書をユーザに閲覧させることで、ユーザの権限で 任意のコードを実行する可能性があります。 2007年9月19日現在、この問題に対する修正プログラムは確認されており ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま す。詳細については、下記関連文書を参照してください。
関連文書 (日本語)
マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
関連文書 (英語)
Callisto Corporation
Download PhotoParade Player or PhotoParade Player PLUS
http://www.photoparade.com/player.asp
【8】Photo Upload Plugin ActiveX コントロールにスタックバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#854769
PhotoChannel Networks Photo Upload Plugin ActiveX control stack buffer overflows
http://www.kb.cert.org/vuls/id/854769
概要
PhotoChannel Networks の Photo Upload Plugin ActiveX コントロール には、スタックバッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、 ユーザの権限で任意のコードを実行する可能性があります。 2007年9月19日現在、この問題に対する修正プログラムは確認されており ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま す。詳細については、下記関連文書を参照してください。
関連文書 (日本語)
マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
関連文書 (英語)
PhotoChannel Networks
PNI Digital Media
http://www.photochannel.com/products/photo/photo_retailers.htm
■今週のひとくちメモ
○Web アプリケーションのパスワード管理
Web アプリケーションなどの脆弱性を悪用して、ユーザ ID やパスワー ドなどの認証情報を窃取しようとする攻撃が発生しています。 ユーザ認証を伴う Web アプリケーションのサービス提供者は、パスワー ドをそのまま保存せず、ハッシュ値のみで保存管理することを強く推奨 します。 なんらかの事故や盗難などでユーザの認証情報が漏えいした場合、パス ワードを平文で保存管理していると、そのまま認証情報を悪用される可 能性があります。 一方、パスワードのハッシュ値で保存管理していれば、漏えいした情報 からパスワードを推測することは困難であり、不正に入手した第三者が そのまま使用することはできません。 万一に備えて、上記対策を実施するとともに、認証情報は厳格に管理して ください。
参考文献 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
セキュア・プログラミング講座 パスワードの取扱い
http://www.ipa.go.jp/security/awareness/vendor/programming/b09_01.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/