-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-3602 JPCERT/CC 2007-09-20 <<< JPCERT/CC REPORT 2007-09-20 >>> ―――――――――――――――――――――――――――――――――――――― ■09/09(日)〜09/15(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple QuickTime に脆弱性 【2】2007年9月 Microsoft セキュリティ情報 (緊急1件含) について 【3】Linux のカーネルに複数の脆弱性 【4】Cisco Video Surveillance 製品に脆弱性 【5】Clam AntiVirus に複数の脆弱性 【6】X.org にバッファオーバーフローの脆弱性 【7】PhotoParade Player PhPInfo ActiveX コントロールにスタックバッファオーバーフローの脆弱性 【8】Photo Upload Plugin ActiveX コントロールにスタックバッファオーバーフローの脆弱性 【今週のひとくちメモ】Web アプリケーションのパスワード管理 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr073602.html http://www.jpcert.or.jp/wr/2007/wr073602.xml ============================================================================ 【1】Apple QuickTime に脆弱性 情報源 US-CERT Vulnerability Note VU#751808 Apple QuickTime remote command execution vulnerability http://www.kb.cert.org/vuls/id/751808 概要 Apple QuickTime には脆弱性があります。結果として、遠隔の第三者が 細工した QuickTime ファイルをユーザに開かせたり、細工した qtl ファ イルを含む HTML 文書を閲覧させることで、任意のコマンドを実行する 可能性があります。なお、本件に関しては攻撃方法に関する情報が公開 されています。 対象となるバージョンは以下の通りです。 - QuickTime 7.x およびそれ以前 なお、iTunes など QuickTime を使用するソフトウェアも影響を受けま す。 2007年9月19日現在、この問題に対する修正プログラムは提供されており ません。 回避策としては、信頼できない QuickTime ファイルや HTML 文書を閲 覧しない、また、Proxy サーバや侵入防止システムで QuickTime ファ イルをブロックするなどの方法があります。 また、Mozilla からは Apple がこの問題を修正するまでの回避策とし て Firefox 2.0.0.7 が公開されています。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#751808 Apple QuickTime に任意のコマンドが実行される脆弱性 http://jvn.jp/cert/JVNVU%23751808/index.html Mozilla Foundation セキュリティアドバイザリ Firefox 2.0.0.7 で修正済み http://www.mozilla-japan.org/projects/security/known-vulnerabilities.html#firefox2.0.0.7 【2】2007年9月 Microsoft セキュリティ情報 (緊急1件含) について 情報源 US-CERT Technical Cyber Security Alert TA07-254A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA07-254A.html US-CERT Cyber Security Alert SA07-254A Microsoft Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA07-254A.html US-CERT Vulnerability Notes Database Search Results [ms07-sep] (全3件・2007年9月19日現在) http://www.kb.cert.org/vuls/byid?searchview&query=ms07-sep CIAC Bulletin R-340 Vulnerability in Microsoft Agent http://www.ciac.org/ciac/bulletins/r-340.shtml CIAC Bulletin R-341 Vulnerability in Crystal Reports for Visual Studio http://www.ciac.org/ciac/bulletins/r-341.shtml CIAC Bulletin R-343 Vulnerability in MSN Messenger and Windows Live Messenger http://www.ciac.org/ciac/bulletins/r-343.shtml CIAC Bulletin R-344 Vulnerability in Windows Services for UNIX http://www.ciac.org/ciac/bulletins/r-344.shtml 概要 Microsoft 製品には、複数の脆弱性があります。結果として、遠隔の第 三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行っ たりする可能性があります。 詳細については、Microsoft が提供する情報を参照してください。 今回の修正には、JPCERT/CC REPORT 2007-09-05号【1】で紹介した 「MSN メッセンジャーおよび Windows Live メッセンジャーにヒープオー バーフローの脆弱性」に対する修正が含まれています。 この問題は、Microsoft Update、Windows Update などを用いて、セキュ リティ更新プログラムを適用することで解決します。なお、MSN メッセ ンジャーおよび Windows Live メッセンジャーに関するアップデートは、 メッセンジャーにサインインした際に表示される更新を促すメッセージ を承諾することで行なわれます。 関連文書 (日本語) 2007 年 9 月のセキュリティ情報 http://www.microsoft.com/japan/technet/security/bulletin/ms07-sep.mspx マイクロソフト セキュリティ情報 MS07-051 - 緊急 Microsoft エージェントの脆弱性により、リモートでコードが実行される (938827) http://www.microsoft.com/japan/technet/security/bulletin/MS07-051.mspx マイクロソフト セキュリティ情報 MS07-052 - 重要 Crystal Reports for Visual Studio の脆弱性により、リモートでコードが実行される (941522) http://www.microsoft.com/japan/technet/security/bulletin/MS07-052.mspx マイクロソフト セキュリティ情報 MS07-053 - 重要 Windows Services for UNIX の脆弱性により、特権の昇格が起こる (939778) http://www.microsoft.com/japan/technet/security/bulletin/MS07-053.mspx マイクロソフト セキュリティ情報 MS07-054 - 重要 MSN Messenger および Windows Live Messenger の脆弱性により、リモートでコードが実行される (942099) http://www.microsoft.com/japan/technet/security/bulletin/MS07-054.mspx JPCERT/CC REPORT 2007-09-05 【1】MSN メッセンジャーおよび Windows Live メッセンジャーにヒープオーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2007/wr073401.html#1 Japan Vulnerability Notes JVNTA07-254A Microsoft 製品における複数の脆弱性 http://jvn.jp/cert/JVNTA07-254A/index.html @police マイクロソフト社のセキュリティ修正プログラムについて(MS07-051,052,053,054)(9/12) http://www.cyberpolice.go.jp/important/2007/20070912_065514.html 【3】Linux のカーネルに複数の脆弱性 情報源 CIAC Bulletin R-348 Kernel Security Update http://www.ciac.org/ciac/bulletins/r-348.shtml 概要 Red Hat Enterprise Linux にて標準で提供されている Linux のカーネ ルには、複数の脆弱性があります。結果として、遠隔の第三者がサービ ス運用妨害 (DoS) 攻撃を行う可能性があります。 なお、上記情報源にて報告されている脆弱性の一部は、Debian GNU/Linux を含む複数の Linux ベンダにて標準で提供されているカー ネルにも存在することが確認されています。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンにカーネルを更新することで解決します。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1363-1 linux-2.6 -- 複数の脆弱性 http://www.debian.org/security/2007/dsa-1363.ja.html 関連文書 (英語) Red Hat Security Advisory RHSA-2007:0705-2 Important: kernel security update https://rhn.redhat.com/errata/RHSA-2007-0705.html Debian Security Advisory DSA-1356-1 linux-2.6 -- several vulnerabilities http://www.debian.org/security/2007/dsa-1356 【4】Cisco Video Surveillance 製品に脆弱性 情報源 CIAC Bulletin R-342 Cisco Video Surveillance IP Gateway and Services Platform Authentication Vulnerabilities http://www.ciac.org/ciac/bulletins/r-342.shtml 概要 Cisco Video Surveillance 製品には脆弱性があります。結果として、遠 隔の第三者が管理者権限を取得する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Cisco Video Surveillance IP Gateway Encoder/Decoder (Standalone および Module) - ファームウェアのバージョン 1.8.1 およびそれ以前 - Cisco Video Surveillance SP/ISP Decoder Software - ファームウェアのバージョン 1.11.0 およびそれ以前 - Cisco Video Surveillance SP/ISP - ファームウェアのバージョン 1.23.7 およびそれ以前 この問題は、Cisco が提供する修正済みのバージョンに該当する製品を 更新することで解決します。詳細については Cisco が提供する情報を参 照してください。 関連文書 (英語) Cisco Security Advisories 97819 Cisco Video Surveillance IP Gateway and Services Platform Authentication Vulnerabilities http://www.cisco.com/en/US/products/products_security_advisory09186a00808b4d38.shtml Cisco Applied Intelligence Response 98525 Identifying and Mitigating Exploitation of the Cisco Video Surveillance Authentication Vulnerabilities http://www.cisco.com/en/US/products/products_applied_intelligence_response09186a00808b4d40.html 【5】Clam AntiVirus に複数の脆弱性 情報源 CIAC Bulletin R-345 ClamAV Vulnerabilities http://www.ciac.org/ciac/bulletins/r-345.shtml 概要 Clam AntiVirus (ClamAV) には、複数の脆弱性があります。結果として、 遠隔の第三者が任意のコマンドを実行する可能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Clam AntiVirus を更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1366-1 clamav -- 複数の脆弱性 http://www.debian.org/security/2007/dsa-1366.ja.html 関連文書 (英語) ClamAV http://www.clamav.net/ 【6】X.org にバッファオーバーフローの脆弱性 情報源 CIAC Bulletin R-347 xorg-server Vulnerability http://www.ciac.org/ciac/bulletins/r-347.shtml 概要 X.Org には、バッファオーバーフローの脆弱性があります。結果として、 ローカルユーザが権限を昇格して任意のコードを実行する可能性があり ます。 対象となるバージョンは以下の通りです。 - X.Org X Server 1.4 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに X.Org を更新することで解決します。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1372-1 xorg-server -- バッファオーバフロー http://www.debian.org/security/2007/dsa-1372.ja.html 関連文書 (英語) X.Org ANNOUNCE xorg-server 1.4 http://lists.freedesktop.org/archives/xorg-announce/2007-September/000378.html 【7】PhotoParade Player PhPInfo ActiveX コントロールにスタックバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#171449 Callisto PhotoParade Player PhPInfo ActiveX control buffer overflow http://www.kb.cert.org/vuls/id/171449 概要 Callisto の PhotoParade Player PhPInfo ActiveX コントロールには、 バッファオーバーフローの脆弱性があります。結果として、遠隔の第三 者が細工した HTML 文書をユーザに閲覧させることで、ユーザの権限で 任意のコードを実行する可能性があります。 2007年9月19日現在、この問題に対する修正プログラムは確認されており ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま す。詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト サポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja 関連文書 (英語) Callisto Corporation Download PhotoParade Player or PhotoParade Player PLUS http://www.photoparade.com/player.asp 【8】Photo Upload Plugin ActiveX コントロールにスタックバッファオーバーフローの脆弱性 情報源 US-CERT Vulnerability Note VU#854769 PhotoChannel Networks Photo Upload Plugin ActiveX control stack buffer overflows http://www.kb.cert.org/vuls/id/854769 概要 PhotoChannel Networks の Photo Upload Plugin ActiveX コントロール には、スタックバッファオーバーフローの脆弱性があります。結果とし て、遠隔の第三者が細工した HTML 文書をユーザに閲覧させることで、 ユーザの権限で任意のコードを実行する可能性があります。 2007年9月19日現在、この問題に対する修正プログラムは確認されており ません。 Internet Explorer での回避策として、Kill Bit を設定する、インター ネットゾーンで ActiveX コントロールを無効にするなどの方法がありま す。詳細については、下記関連文書を参照してください。 関連文書 (日本語) マイクロソフト サポートオンライン Internet Explorer で ActiveX コントロールの動作を停止する方法 http://support.microsoft.com/kb/240797/ja 関連文書 (英語) PhotoChannel Networks PNI Digital Media http://www.photochannel.com/products/photo/photo_retailers.htm ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Web アプリケーションのパスワード管理 Web アプリケーションなどの脆弱性を悪用して、ユーザ ID やパスワー ドなどの認証情報を窃取しようとする攻撃が発生しています。 ユーザ認証を伴う Web アプリケーションのサービス提供者は、パスワー ドをそのまま保存せず、ハッシュ値のみで保存管理することを強く推奨 します。 なんらかの事故や盗難などでユーザの認証情報が漏えいした場合、パス ワードを平文で保存管理していると、そのまま認証情報を悪用される可 能性があります。 一方、パスワードのハッシュ値で保存管理していれば、漏えいした情報 からパスワードを推測することは困難であり、不正に入手した第三者が そのまま使用することはできません。 万一に備えて、上記対策を実施するとともに、認証情報は厳格に管理して ください。 参考文献 (日本語) 独立行政法人 情報処理推進機構 セキュリティセンター セキュア・プログラミング講座 パスワードの取扱い http://www.ipa.go.jp/security/awareness/vendor/programming/b09_01.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRvMwPYx1ay4slNTtAQFfJgP+KkdCmLQMuf1deSUtC1+V4fTuTY1nYDo/ 6vakg7mNfcTH5udRYS9R7a4sBOqmojlRhN84+vHCrPcKOSI9t5hULmaaVCpkIgyH cUSXUTP77pIrD9Ws/pAcVq/TRIqi4lhWYu+/DIOX4enQEItp94XY0v2RQ/INJ87c rae9DdiwHSE= =h5iC -----END PGP SIGNATURE-----