-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2007-3801 JPCERT/CC 2007-10-03 <<< JPCERT/CC REPORT 2007-10-03 >>> ―――――――――――――――――――――――――――――――――――――― ■09/23(日)〜09/29(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Linux カーネルに権限昇格の脆弱性 【2】Aipo にセッション固定の脆弱性 【今週のひとくちメモ】インターネットセキュリティの歴史 第9回 「重要インフラのサイバーテロ対策に係る特別行動計画策定」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2007/wr073801.html http://www.jpcert.or.jp/wr/2007/wr073801.xml ============================================================================ 【1】Linux カーネルに権限昇格の脆弱性 情報源 CIAC Bulletin R-360 Kernel Security Update http://www.ciac.org/ciac/bulletins/r-360.shtml 概要 Linux カーネルには、権限昇格の脆弱性があります。結果として、ロー カルユーザが root 権限を取得する可能性があります。 対象となるバージョンは以下の通りです。 - バージョン 2.4.35.3 以前の Linux kernel 2.4.x 系 - バージョン 2.6.22.7 以前の Linux kernel 2.6.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1378-2 linux-2.6 -- 複数の脆弱性 http://www.debian.org/security/2007/dsa-1378.ja.html 関連文書 (英語) Linux Linux Kernel ChangeLog 2.6.22.7 http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.7 Linux Linux Kernel ChangeLog 2.4.35.3 http://www.kernel.org/pub/linux/kernel/v2.4/ChangeLog-2.4.35.3 Red Hat Security Advisory RHSA-2007:0936-2 Important: kernel security update https://rhn.redhat.com/errata/RHSA-2007-0936.html 【2】Aipo にセッション固定の脆弱性 情報源 Japan Vulnerability Notes JVN#70075625 Aipo におけるセッション固定の脆弱性 http://jvn.jp/jp/JVN%2370075625/index.html 概要 株式会社エイムラックが提供するグループウェア Aipo には、セッショ ン固定の脆弱性があります。結果として、遠隔の第三者が、ユーザのロ グイン時に特定のセッション ID を使わせることで、ユーザになりすま す可能性があります。 対象となるバージョンは以下の通りです。 - Aipo V3.0.1.0 およびそれ以前 - Aipo ASP版 V3.0.1.0 およびそれ以前 この問題は、株式会社エイムラックが提供するアップデートプログラム を適用することで解決します。詳細については、株式会社エイムラック が提供する情報を参照してください。 関連文書 (日本語) 株式会社エイムラック アップデートプログラム http://aipo.aimluck.com/download/update.html 独立行政法人 情報処理推進機構 セキュリティセンター JVN#70075625 「Aipo」におけるセッション固定の脆弱性 http://www.ipa.go.jp/security/vuln/documents/2007/JVN_70075625.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第9回 「重要インフラのサイバーテロ対策に係る特別行動計画策定」 2000年12月15日、内閣により「重要インフラのサイバーテロ対策に係る 特別行動計画」が策定されました。同年 1月に、中央省庁のウェブペー ジが次々と書き換えられた事件をきっかけに、日本政府としてはじめて、 サイバーテロ対策のための行動計画を策定したものです。 対象とする重要インフラ分野は、策定当初 7分野でしたが、その後の見 直しにより 3分野が追加され、情報通信、金融、航空、鉄道、電力、ガ ス、政府・行政サービス (地方公共団体を含む)、医療、水道、物流の 10分野となっています。 この重要インフラのサイバーテロ対策を含む情報セキュリティ政策は、 情報セキュリティセンター (NISC、設置当時の名称は「情報セキュリティ 対策推進室」) により、推進されています。 参考文献 (日本語) 内閣官房情報セキュリティセンター 重要インフラ対策チーム http://www.nisc.go.jp/active/infra/index.html 内閣官房情報セキュリティセンター 重要インフラ防護のためのサイバーテロ対策 http://www.nisc.go.jp/active/sisaku/terro-taisaku.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2007 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBRwLyAIx1ay4slNTtAQFm6QQAyHhJFwpwtN/FVIf9PbJAPxcHWSTDrXag E2xlZvARl0w26Y+dJq/dA736lGJ7UdKPa0vywSYG1XOK4ejLds7b2MQRZadNa4eA /m3/zryycg+oIXmAWF+ylPF9F6qDh5oJhv4z5+ucg3zYW2kYoFnUAn1UuhG7Fk5I a1shhmNU9NA= =cYFY -----END PGP SIGNATURE-----