<<< JPCERT/CC WEEKLY REPORT 2007-10-11 >>>
■09/30(日)〜10/06(土) のセキュリティ関連情報
目 次
【1】Java Runtime Environment (JRE) に脆弱性
【2】OpenSSL にバッファオーバーフローの脆弱性
【3】「Apple QuickTime に脆弱性」に関する追加情報
【4】Webmin に OS コマンドインジェクションの脆弱性
【5】Google Gmail にクロスサイトリクエストフォージェリの脆弱性
【6】PowerArchiver にバッファオーバーフローの脆弱性
【今週のひとくちメモ】National Cyber Security Awareness Month
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2007/wr073901.txt
https://www.jpcert.or.jp/wr/2007/wr073901.xml
【1】Java Runtime Environment (JRE) に脆弱性
情報源
US-CERT Vulnerability Note VU#336105
Sun Java JRE vulnerable to unauthorized network access
http://www.kb.cert.org/vuls/id/336105
概要
Java Runtime Environment (JRE) には、脆弱性があります。結果とし て、遠隔の第三者が細工したアプレットをユーザに読み込ませることで、 ネットワーク内の他のリソースにアクセスする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - JDK and JRE 6 Update 2 およびそれ以前 - JDK and JRE 5.0 Update 12 およびそれ以前 - SDK and JRE 1.4.2_15 およびそれ以前 - SDK and JRE 1.3.1_20 およびそれ以前 この問題は、Sun が提供する修正済みのバージョンに、該当する製品を 更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#336105
JRE (Java Runtime Environment) に遠隔の第三者がネットワークリソースへ接続可能な脆弱性
http://jvn.jp/cert/JVNVU%23336105/index.html
関連文書 (英語)
Sun Alert Notification 103079
Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103079-1
【2】OpenSSL にバッファオーバーフローの脆弱性
情報源
CIAC Bulletin S-001
OpenSSL Vulnerability
http://www.ciac.org/ciac/bulletins/s-001.shtml
概要
OpenSSL の libssl ライブラリには、バッファオーバーフローの脆弱性 があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻 撃を行ったり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - OpenSSL 0.9.7l および 0.9.8d また、libssl ライブラリを使用するアプリケーションも影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに OpenSSL を更新するすることで解決します。詳細について は、ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1379-1
openssl -- off-by-one エラー / バッファオーバフロー
http://www.debian.org/security/2007/dsa-1379.ja.html
関連文書 (英語)
OpenSSL
Welcome to the OpenSSL Project
http://openssl.org/
【3】「Apple QuickTime に脆弱性」に関する追加情報
情報源
Japan Vulnerability Notes JVNVU#751808
Apple QuickTime に任意のコマンドが実行される脆弱性
http://jvn.jp/cert/JVNVU%23751808/index.html
概要
JPCERT/CC REPORT 2007-09-20 号【1】で紹介した「Apple QuickTime に 脆弱性」に関する追加情報です。 Apple は、この脆弱性に対するセキュリティアップデートを公開しまし た。詳細については、Apple が提供する情報を参照してください。
関連文書 (日本語)
アップル - サポート
QuickTime 7.2 のセキュリティアップデートについて
http://docs.info.apple.com/article.html?artnum=306560-jaJPCERT/CC REPORT 2007-09-20
【1】Apple QuickTime に脆弱性
http://www.jpcert.or.jp/wr/2007/wr073602.html#1@police
QuickTime の脆弱性について(10/5)
http://www.cyberpolice.go.jp/important/2007/20071005_152642.html
【4】Webmin に OS コマンドインジェクションの脆弱性
情報源
Japan Vulnerability Notes JVN#61208749
Webmin における OS コマンドインジェクションの脆弱性
http://jvn.jp/jp/JVN%2361208749/index.html
概要
Web ベースのシステム管理ツール Webmin の Windows 版には、OS コマ ンドインジェクションの脆弱性があります。結果として、Webmin ユー ザが細工した URL を入力することで、ローカルシステム権限で任意の OS コマンドを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Windows 版 Webmin 1.360 およびそれ以前 この問題は、配布元が提供する修正済みのバージョン 1.370 に Webmin を更新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#61208749 「Webmin」における OS コマンド・インジェクションの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61208749.html独立行政法人 情報処理推進機構 セキュリティセンター
「Webmin」におけるセキュリティ上の弱点(脆弱性)の注意喚起について
http://www.ipa.go.jp/security/vuln/200710_Webmin.html
関連文書 (英語)
Webmin
Security Alerts
http://www.webmin.com/security.htmlWebmin
Change Log
http://www.webmin.com/changes.html
【5】Google Gmail にクロスサイトリクエストフォージェリの脆弱性
情報源
US-CERT Vulnerability Note VU#571584
Google Gmail cross-site request forgery vulnerability
http://www.kb.cert.org/vuls/id/571584
概要
Google Gmail には、クロスサイトリクエストフォージェリの脆弱性があ りました。結果として、遠隔の第三者が細工したメールフィルタを作成 して、メールを任意のアドレスに転送する可能性がありました。 この問題は、Google は既に修正済みと報告しています。ただし、修正 前に被害を受けてしまったユーザは、作成されたフィルタを削除しない 限り、メールを転送してしまう可能性があります。メールフィルタに不 審な設定がないか確認し、見覚えのない設定がある場合は削除してくだ さい。
【6】PowerArchiver にバッファオーバーフローの脆弱性
情報源
Japan Vulnerability Notes JVN#61323184
PowerArchiver におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2361323184/index.html
概要
ConeXware 社が提供するファイル圧縮・展開ソフト PowerArchiver に は、バッファオーバーフローの脆弱性があります。結果として、遠隔の 第三者が細工したアーカイブをユーザに展開させることで、ユーザの権 限で任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - PowerArchiver 10.20.21 より前のバージョン この問題は、ConeXware 社が提供する修正済みのバージョンに PowerArchiver を更新することで解決します。詳細については、 ConeXware 社が提供する情報を参照してください。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#61323184 「PowerArchiver」におけるバッファオーバーフローの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61323184.html
関連文書 (英語)
PowerArchiver 2007
Security Fix for BlackHole Archives
http://www.powerarchiver.com/news/PowerArchiver 2007
Download
http://www.powerarchiver.com/download/
■今週のひとくちメモ
○National Cyber Security Awareness Month
米国では、毎年 10月を "National Cyber Security Awareness Month" として、インターネットの安全性を高めるための啓発活動を展開してい ます。この活動には、米国国土安全省、NCSA (National Cyber Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業 などが参加しており、 様々なユーザ層に向けた活動が行われています。 今年は 10月1日の NCSA Summit を皮切りに全米各地の大学で関連した 啓発イベントなどが開催されています。
参考文献 (英語)
National Cyber Security Alliance
National Cyber Security Awareness Month 2007
http://www.staysafeonline.org/events/index2007b.htmlUS-CERT
October is National Cyber Security Awareness Month
http://www.us-cert.gov/press_room/ncsamonth.htmlSANS Internet Storm Center
Cyber Security Awareness Month - Daily Topics
http://isc.sans.org/diary.html?storyid=3429
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/