JPCERT-WR-2007-4301
2007-11-07
2007-10-28
2007-11-03
RealPlayer 製品に複数の脆弱性
RealNetworks のマルチメディアプレーヤー RealPlayer には、複数の
ファイル形式の処理においてバッファオーバフローの脆弱性があります。
結果として、遠隔の第三者が細工したマルチメディアファイルをユーザ
に開かせることで、ユーザの権限で任意のコードを実行する可能性があ
ります。
対象となる製品およびバージョンについては RealNetworks の提供する
情報を参照してください。なお Windows, Mac OS X, Linux の全てのプ
ラットフォームで影響を受ける製品が存在します。
この問題は、RealNetworks が提供する修正済みのバージョンに、該当
する製品を更新することで解決します。詳細については、RealNetworks
が提供する情報を参照してください。
なお、本件は JPCERT/CC REPORT 2007-10-24 号【2】で紹介した
「RealPlayer 製品に脆弱性」とは別の問題です。
@police
RealPlayer の脆弱性について(10/29)
http://www.cyberpolice.go.jp/important/2007/20071029_111937.html
CUPS にバッファオーバーフローの脆弱性
CUPS には、バッファオーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工をした IPP リクエストを CUPS サーバに処理させ
ることで、CUPS サーバを実行しているユーザの権限で任意のコードを
実行する可能性があります。
対象となるバージョンは以下の通りです。
- CUPS 1.3.3 およびそれ以前
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに CUPS を更新することで解決します。
Japan Vulnerability Notes JVNVU#446897
CUPS におけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNVU%23446897/index.html
Common UNIX Printing System
Article #508: Common UNIX Printing System 1.3.4
http://www.cups.org/articles.php?L508
Red Hat Security Advisory RHSA-2007:1020-3
Important: cups security and bug fix update
https://rhn.redhat.com/errata/RHSA-2007-1020.html
SonicWall NetExtender の NELaunchCtrl ActiveX コントロールにスタックバッファオーバーフローの脆弱性
SonicWall NetExtender の NELaunchCtrl ActiveX コントロールには、
スタックバッファオーバーフローの脆弱性があります。結果として、遠
隔の第三者が細工した HTML 文書をユーザに閲覧させることで、ユーザ
の権限で任意のコードを実行する可能性があります。なお、本件に関し
ては攻撃方法に関する情報が公開されています。
対象となる製品およびバージョンは以下の通りです。
- SonicWall SSL-VPN 2000 シリーズおよび 4000 シリーズのバージョン
2.5 以前のファームウェアに含まれている NetExtender モジュール
- SonicWall SSL-VPN 200 シリーズの 2.1 Patch Build 以前のファーム
ウェアに含まれている NetExtender モジュール
この問題は、SonicWall が提供する修正済みのバージョンに、該当する
製品のファームウェアを更新することで解決します。なお、クライアン
トは、該当する製品に接続して修正済みの ActiveX コントロールを取得
する必要があります。詳細については、SonicWall が提供する情報を参
照してください。
SonicWall
サポート
http://www.sonicwall.com/japan/support/index.html
SonicWall (登録が必要です)
http://www.sonicwall.com/us/643.htm
SonicWall File Info & Download - Release Note
SonicWALL SSL VPN 2.5 Release Notes
http://www.sonicwall.com/downloads/SonicWALL_SSL-VPN_2.5_Release_Notes.pdf
SonicWall File Info & Download - Release Note
SonicWALL SSL-VPN 200 2.1
http://www.sonicwall.com/downloads/232-001177-00_Rev_A_SSL-VPN_200_2.1_Release_Notes.pdf
Internet Week 2007 のお知らせ
2007年11月19日(月) より 11月22日(木) まで、秋葉原コンベンション
ホールにおいて JPNIC 主催の Internet Week 2007 が開催されます。
JPCERT/CC は以下のプログラムで講演いたします。
- 11月21日 C4: 事業者がやってよいこと悪いことを考えよう
16:00-17:00 (5) 違法・有害情報対策
phishing や自殺サイトなど緊急性を要する場合のオペレーションに
ついて語ります。
- 11月22日 C5: IP Meeting/Internet Forum 2007
11:10-11:50 (3) セキュリティ
今年のホットなセキュリティ issue について述べます。
参加登録申込みについては、以下の Web ページをご参照ください。
事前申込締切は 11月9日(金) までとなっています。この期間にお申し
込みいただきますと、事前割引料金でご参加いただけます。
Internet Week 2007 お申し込みに関して
http://internetweek.jp/timetable/apply.html
夏時間 (Daylight Saving Time)
夏時間 (Daylight Saving Time) は国や地域により導入状況が異なりま
す。米国においては今年から夏時間の期間が延長され、各種 OS ベンダ
やソフトウェアベンダから対応パッチが提供されています。
今年から米国における夏時間は、開始日が 3週間早い 3月の第2日曜日、
終了日が 1週間遅い 11月の第1日曜日となりました。今年の夏時間は 3
月11日から 11月4日までとなります。
コンピュータシステムの時計はログの記録の時刻情報をはじめ、さまざ
まな場面で重要な役割を果たします。この機会に、お使いのシステムの
時刻情報の管理体制やタイムゾーンの設定が正しく行なわれているかを
確認することをお勧めします。
Microsoft サポートオンライン
2007 年の米国の夏時間を構成する方法
http://support.microsoft.com/kb/914387/ja
Microsoft サポートオンライン
Microsoft Windows オペレーティングシステム用の 2007 年 8 月の累積的なタイムゾーン更新プログラム
http://support.microsoft.com/?scid=kb%3Bja%3B933360
Java.com 一般的な質問
米国夏時間調整の開始終了日変更 (2007 年) に伴う Java Runtime Environment への影響
http://www.java.com/ja/download/faq/dst.xml
SANS Internet Storm Center
Daylight Saving Time Reminder for the USA and Canada
http://isc.sans.org/diary.html?storyid=3571