<<< JPCERT/CC WEEKLY REPORT 2008-01-23 >>>
■01/13(日)〜01/19(土) のセキュリティ関連情報
目 次
【1】Apple QuickTime に複数の脆弱性
【2】2008年1月 Oracle Critical Patch Update について
【3】複数のデバイスに UPnP に起因する脆弱性
【4】Linux カーネルの VFS に脆弱性
【5】apt-listchanges に脆弱性
【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報
【今週のひとくちメモ】Internet Explorer 7 の自動更新による配布
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr080301.txt
https://www.jpcert.or.jp/wr/2008/wr080301.xml
【1】Apple QuickTime に複数の脆弱性
情報源
US-CERT Technical Cyber Security Alert TA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-016A.htmlUS-CERT Cyber Security Alert SA08-016A
Apple QuickTime Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA08-016A.html
概要
Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工した HTML 文書を閲覧させることで、任意のコードを実行 したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 対象となる製品は以下の通りです。 - Apple Mac OS X 版 QuickTime 7.4 より前のバージョン - Microsoft Windows 版 QuickTime 7.4 より前のバージョン なお、iTunes など QuickTime を使用するソフトウェアをインストール している場合も影響を受けます。詳細については、Apple が提供する情 報を参照してください。 この問題は、Apple が提供する修正済みのバージョン 7.4 に、 QuickTime を更新することで解決します。なお、JPCERT/CC REPORT 2008-01-17号【2】で紹介した脆弱性に関して Apple からは言及されて いません。
関連文書 (日本語)
Japan Vulnerability Notes JVNTA08-016A
Apple Quicktime における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-016A/index.html@police
QuickTime の脆弱性について(1/17)
http://www.cyberpolice.go.jp/important/2008/20080117_135357.htmlJPCERT/CC REPORT 2008-01-17
Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2008/wr080201.html#2
関連文書 (英語)
Apple - Support
About the security content of QuickTime 7.4
http://docs.info.apple.com/article.html?artnum=307301
【2】2008年1月 Oracle Critical Patch Update について
情報源
US-CERT Technical Cyber Security Alert TA08-017A
Oracle Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA08-017A.htmlCIAC Bulletin S-117
Oracle Critical Patch Update - January 2008
http://www.ciac.org/ciac/bulletins/s-117.shtml
概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報 を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。なお、これらの影響は対象製品やコンポーネント、設定等に より異なります。 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。 なお、次回の Oracle Critical Patch Update は、2008年4月にリリー スされる予定です。
関連文書 (日本語)
Oracle internet Support Center
[CPUJan2008] Critical Patch Update - January 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127343Oracle Technology Network
Critical Patch Update - January 2008
http://otn.oracle.co.jp/security/080118_81/top.htmlJapan Vulnerability Notes JVNTA08-017A
Oracle 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA08-017A/index.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - January 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html
【3】複数のデバイスに UPnP に起因する脆弱性
情報源
US-CERT Vulnerability Note VU#347812
UPnP enabled by default in multiple devices
http://www.kb.cert.org/vuls/id/347812CIAC Bulletin S-120
Universal Plug and Play Vulnerability
http://www.ciac.org/ciac/bulletins/s-120.shtml
概要
複数のベンダの UPnP (Universal Plug and Play)をサポートするデバ イスには、UPnP プロトコルに起因する脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書を閲覧させることで、UPnP が有効 になっているデバイスを操作したり、設定を変更したりする可能性があ ります。なお、本件に関しては攻撃方法に関する情報が公開されていま す。 2008年1月22日現在、この問題に対する解決策は提供されていません。 回避策としては、デバイスなどの UPnP 機能を無効にしたり、Mozilla Firefox では、NoScript 拡張によりスクリプトやプラグインの実行を 許可するサイトを限定したりする方法などがあります。例えば、 Microsoft Windows XP で UPnP サービスを無効にする方法については、 下記関連文書 MS07-019 に記載されている回避策を参照してください。
関連文書 (日本語)
マイクロソフト セキュリティ情報
ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019)
http://www.microsoft.com/japan/technet/security/bulletin/ms07-019.mspx
関連文書 (英語)
UPnP Forum
Welcome to the UPnP Forum!
http://www.upnp.org/
【4】Linux カーネルの VFS に脆弱性
情報源
CIAC Bulletin S-121
VFS Vulnerability
http://www.ciac.org/ciac/bulletins/s-121.shtml
概要
Linux カーネルの VFS には、脆弱性があります。結果として、ローカ ルユーザが任意のファイルにアクセスしたり、権限を昇格したりする可 能性があります。 対象となるバージョンは以下の通りです。 - バージョン 2.6.22.16 以前の Linux kernel - バージョン 2.6.23.14 以前の Linux kernel 2.6.23.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。
関連文書 (英語)
Linux
Linux Kernel ChangeLog Linux 2.6.22.16
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16Linux
Linux Kernel ChangeLog Linux 2.6.23.14
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14
【5】apt-listchanges に脆弱性
情報源
CIAC Bulletin S-119
apt-listchanges Vulnerability
http://www.ciac.org/ciac/bulletins/s-119.shtml
概要
Debian のパッケージ変更履歴通知ツール apt-listchanges には、脆弱 性があります。結果として、ローカルユーザが任意のコードを実行する 可能性があります。 対象となるバージョンは以下の通りです。 - apt-listchanges 2.82 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに apt-listchanges を更新することで解決します。詳細に ついては、ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
Debian セキュリティ勧告 DSA-1465-2
apt-listchanges -- プログラムミス
http://www.debian.org/security/2008/dsa-1465.ja.html
関連文書 (英語)
Debian Project
apt-listchanges (2.82)
http://packages.debian.org/changelogs/pool/main/a/apt-listchanges/apt-listchanges_2.82/changelog
【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報
情報源
CIAC Bulletin S-116
HP-UX Running X Font Server (xfs) Software
http://www.ciac.org/ciac/bulletins/s-116.shtml
概要
JPCERT/CC REPORT 2007-10-17 号【6】で紹介した「X Font Server に 整数オーバーフローの脆弱性」に関する追加情報です。 HP が HP-UX に関して修正済みのバージョンを公開しました。詳細につ いては、HP が提供する情報を参照してください。
関連文書 (日本語)
JPCERT/CC REPORT 2007-10-17号
【6】X Font Server に整数オーバーフローの脆弱性
http://www.jpcert.or.jp/wr/2007/wr074001.html#6
関連文書 (英語)
HP Support document c01323725
HPSBUX02303 SSRT071468 rev.1 - HP-UX Running X Font Server (xfs) Software, Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01323725
■今週のひとくちメモ
○Internet Explorer 7 の自動更新による配布
Microsoft は 2008年2月13日から、Internet Explorer 7 (IE7) 日本語 版の自動更新による配布を開始すると発表しています。 業務アプリケーションなどで Internet Explorer を使用している場合 は、事前に IE7 で動作を確認することをおすすめします。 動作が確認できないなどの理由により IE7 に自動更新したくない場合 は、Microsoft が提供する自動配布の無効化ツールキットを使用して、 IE7 への自動更新をブロックすることが可能です。
参考文献 (日本語)
Microsoft TechNet
Internet Explorer 7 の自動更新による配布
http://www.microsoft.com/japan/technet/updatemanagement/windowsupdate/ie7announcement.mspxMicrosoft ダウンロードセンター
自動配布の無効化ツールキット (Blocker Toolkit)
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C12D92F-808D-4C21-96CA-DC191A0A8E41&displaylang=ja
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/