-----BEGIN PGP SIGNED MESSAGE-----

                                                         JPCERT-WR-2007-3901
                                                                   JPCERT/CC
                                                                  2007-10-11

                 <<< JPCERT/CC REPORT 2007-10-11 >>>

――――――――――――――――――――――――――――――――――――――
■09/30(日)〜10/06(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Java Runtime Environment (JRE) に脆弱性
【2】OpenSSL にバッファオーバーフローの脆弱性
【3】「Apple QuickTime に脆弱性」に関する追加情報
【4】Webmin に OS コマンドインジェクションの脆弱性
【5】Google Gmail にクロスサイトリクエストフォージェリの脆弱性
【6】PowerArchiver にバッファオーバーフローの脆弱性
【今週のひとくちメモ】National Cyber Security Awareness Month

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        http://www.jpcert.or.jp/wr/2007/wr073901.html
        http://www.jpcert.or.jp/wr/2007/wr073901.xml
============================================================================


【1】Java Runtime Environment (JRE) に脆弱性

    情報源
      US-CERT Vulnerability Note VU#336105
      Sun Java JRE vulnerable to unauthorized network access
      http://www.kb.cert.org/vuls/id/336105

    概要
      Java Runtime Environment (JRE) には、脆弱性があります。結果とし
      て、遠隔の第三者が細工したアプレットをユーザに読み込ませることで、
      ネットワーク内の他のリソースにアクセスする可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - JDK and JRE 6 Update 2 およびそれ以前
      - JDK and JRE 5.0 Update 12 およびそれ以前
      - SDK and JRE 1.4.2_15 およびそれ以前
      - SDK and JRE 1.3.1_20 およびそれ以前

      この問題は、Sun が提供する修正済みのバージョンに、該当する製品を
      更新することで解決します。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#336105
      JRE (Java Runtime Environment) に遠隔の第三者がネットワークリソースへ接続可能な脆弱性
      http://jvn.jp/cert/JVNVU%23336105/index.html

    関連文書 (英語)
      Sun Alert Notification 103079
      Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
      http://sunsolve.sun.com/search/document.do?assetkey=1-26-103079-1

【2】OpenSSL にバッファオーバーフローの脆弱性

    情報源
      CIAC Bulletin S-001
      OpenSSL Vulnerability
      http://www.ciac.org/ciac/bulletins/s-001.shtml

    概要
      OpenSSL の libssl ライブラリには、バッファオーバーフローの脆弱性
      があります。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻
      撃を行ったり、任意のコードを実行したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - OpenSSL 0.9.7l および 0.9.8d

      また、libssl ライブラリを使用するアプリケーションも影響を受ける可
      能性があります。
      この問題は、使用している OS のベンダや配布元が提供する修正済みの
      バージョンに OpenSSL を更新するすることで解決します。詳細について
      は、ベンダや配布元が提供する情報を参照してください。

    関連文書 (日本語)
      Debian セキュリティ勧告 DSA-1379-1
      openssl -- off-by-one エラー / バッファオーバフロー
      http://www.debian.org/security/2007/dsa-1379.ja.html

    関連文書 (英語)
      OpenSSL
      Welcome to the OpenSSL Project
      http://openssl.org/

【3】「Apple QuickTime に脆弱性」に関する追加情報

    情報源
      Japan Vulnerability Notes JVNVU#751808
      Apple QuickTime に任意のコマンドが実行される脆弱性
      http://jvn.jp/cert/JVNVU%23751808/index.html

    概要
      JPCERT/CC REPORT 2007-09-20 号【1】で紹介した「Apple QuickTime に
      脆弱性」に関する追加情報です。

      Apple は、この脆弱性に対するセキュリティアップデートを公開しまし
      た。詳細については、Apple が提供する情報を参照してください。

    関連文書 (日本語)
      アップル - サポート
      QuickTime 7.2 のセキュリティアップデートについて
      http://docs.info.apple.com/article.html?artnum=306560-ja

      JPCERT/CC REPORT 2007-09-20
      【1】Apple QuickTime に脆弱性
      http://www.jpcert.or.jp/wr/2007/wr073602.html#1

      @police
      QuickTime の脆弱性について(10/5)
      http://www.cyberpolice.go.jp/important/2007/20071005_152642.html

【4】Webmin に OS コマンドインジェクションの脆弱性

    情報源
      Japan Vulnerability Notes JVN#61208749
      Webmin における OS コマンドインジェクションの脆弱性
      http://jvn.jp/jp/JVN%2361208749/index.html

    概要
      Web ベースのシステム管理ツール Webmin の Windows 版には、OS コマ
      ンドインジェクションの脆弱性があります。結果として、Webmin ユー
      ザが細工した URL を入力することで、ローカルシステム権限で任意の 
      OS コマンドを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Windows 版 Webmin 1.360 およびそれ以前

      この問題は、配布元が提供する修正済みのバージョン 1.370 に Webmin
      を更新することで解決します。

    関連文書 (日本語)
      独立行政法人 情報処理推進機構 セキュリティセンター
      JVN#61208749 「Webmin」における OS コマンド・インジェクションの脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61208749.html

      独立行政法人 情報処理推進機構 セキュリティセンター
      「Webmin」におけるセキュリティ上の弱点（脆弱性）の注意喚起について
      http://www.ipa.go.jp/security/vuln/200710_Webmin.html

    関連文書 (英語)
      Webmin
      Security Alerts
      http://www.webmin.com/security.html

      Webmin
      Change Log
      http://www.webmin.com/changes.html

【5】Google Gmail にクロスサイトリクエストフォージェリの脆弱性

    情報源
      US-CERT Vulnerability Note VU#571584
      Google Gmail cross-site request forgery vulnerability
      http://www.kb.cert.org/vuls/id/571584

    概要
      Google Gmail には、クロスサイトリクエストフォージェリの脆弱性があ
      りました。結果として、遠隔の第三者が細工したメールフィルタを作成
      して、メールを任意のアドレスに転送する可能性がありました。

      この問題は、Google は既に修正済みと報告しています。ただし、修正
      前に被害を受けてしまったユーザは、作成されたフィルタを削除しない
      限り、メールを転送してしまう可能性があります。メールフィルタに不
      審な設定がないか確認し、見覚えのない設定がある場合は削除してくだ
      さい。

【6】PowerArchiver にバッファオーバーフローの脆弱性

    情報源
      Japan Vulnerability Notes JVN#61323184
      PowerArchiver におけるバッファオーバーフローの脆弱性
      http://jvn.jp/jp/JVN%2361323184/index.html

    概要
      ConeXware 社が提供するファイル圧縮・展開ソフト PowerArchiver に
      は、バッファオーバーフローの脆弱性があります。結果として、遠隔の
      第三者が細工したアーカイブをユーザに展開させることで、ユーザの権
      限で任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - PowerArchiver 10.20.21 より前のバージョン

      この問題は、ConeXware 社が提供する修正済みのバージョンに
      PowerArchiver を更新することで解決します。詳細については、
      ConeXware 社が提供する情報を参照してください。

    関連文書 (日本語)
      独立行政法人 情報処理推進機構 セキュリティセンター
      JVN#61323184 「PowerArchiver」におけるバッファオーバーフローの脆弱性
      http://www.ipa.go.jp/security/vuln/documents/2007/JVN_61323184.html

    関連文書 (英語)
      PowerArchiver 2007
      Security Fix for BlackHole Archives
      http://www.powerarchiver.com/news/

      PowerArchiver 2007
      Download
      http://www.powerarchiver.com/download/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○National Cyber Security Awareness Month

      米国では、毎年 10月を "National Cyber Security Awareness Month" 
      として、インターネットの安全性を高めるための啓発活動を展開してい
      ます。この活動には、米国国土安全省、NCSA (National Cyber
      Security Alliance)、Multi-State ISAC、各種非営利団体、IT 系企業
      などが参加しており、 様々なユーザ層に向けた活動が行われています。
      今年は 10月1日の NCSA Summit を皮切りに全米各地の大学で関連した
      啓発イベントなどが開催されています。

    参考文献 (英語)
      National Cyber Security Alliance
      National Cyber Security Awareness Month 2007
      http://www.staysafeonline.org/events/index2007b.html

      US-CERT
      October is National Cyber Security Awareness Month
      http://www.us-cert.gov/press_room/ncsamonth.html

      SANS Internet Storm Center
      Cyber Security Awareness Month - Daily Topics
      http://isc.sans.org/diary.html?storyid=3429


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        http://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL をご参照ください。

        http://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  をご参照ください。

        http://www.jpcert.or.jp/form/

以上。
__________

2007 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQCVAwUBRw2FhYx1ay4slNTtAQGN5AQAmyR/5ETUZDg54LjHnxxsPlBBDmoJBTc1
nqDQ/l3iZTHWENXhveIljjmX+FazK3O6XIHVAVzqWvLJK9BGubLsT9jda7BnuoZx
vfIoPUdpAFy0LrvU7J1MgtpxSwR90sCWOP8ZUeplXvCIQorAHPSrwo4xaW+A1/HC
OCXeUN07qZY=
=OjTR
-----END PGP SIGNATURE-----