-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-0301 JPCERT/CC 2008-01-23 <<< JPCERT/CC REPORT 2008-01-23 >>> ―――――――――――――――――――――――――――――――――――――― ■01/13(日)〜01/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple QuickTime に複数の脆弱性 【2】2008年1月 Oracle Critical Patch Update について 【3】複数のデバイスに UPnP に起因する脆弱性 【4】Linux カーネルの VFS に脆弱性 【5】apt-listchanges に脆弱性 【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報 【今週のひとくちメモ】Internet Explorer 7 の自動更新による配布 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr080301.html http://www.jpcert.or.jp/wr/2008/wr080301.xml ============================================================================ 【1】Apple QuickTime に複数の脆弱性 情報源 US-CERT Technical Cyber Security Alert TA08-016A Apple QuickTime Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-016A.html US-CERT Cyber Security Alert SA08-016A Apple QuickTime Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/alerts/SA08-016A.html 概要 Apple QuickTime には、複数の脆弱性があります。結果として、遠隔の 第三者が細工した HTML 文書を閲覧させることで、任意のコードを実行 したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性がありま す。 対象となる製品は以下の通りです。 - Apple Mac OS X 版 QuickTime 7.4 より前のバージョン - Microsoft Windows 版 QuickTime 7.4 より前のバージョン なお、iTunes など QuickTime を使用するソフトウェアをインストール している場合も影響を受けます。詳細については、Apple が提供する情 報を参照してください。 この問題は、Apple が提供する修正済みのバージョン 7.4 に、 QuickTime を更新することで解決します。なお、JPCERT/CC REPORT 2008-01-17号【2】で紹介した脆弱性に関して Apple からは言及されて いません。 関連文書 (日本語) Japan Vulnerability Notes JVNTA08-016A Apple Quicktime における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-016A/index.html @police QuickTime の脆弱性について(1/17) http://www.cyberpolice.go.jp/important/2008/20080117_135357.html JPCERT/CC REPORT 2008-01-17 Apple QuickTime RTSP の Response message の処理にバッファオーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2008/wr080201.html#2 関連文書 (英語) Apple - Support About the security content of QuickTime 7.4 http://docs.info.apple.com/article.html?artnum=307301 【2】2008年1月 Oracle Critical Patch Update について 情報源 US-CERT Technical Cyber Security Alert TA08-017A Oracle Updates for Multiple Vulnerabilities http://www.us-cert.gov/cas/techalerts/TA08-017A.html CIAC Bulletin S-117 Oracle Critical Patch Update - January 2008 http://www.ciac.org/ciac/bulletins/s-117.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報 を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性が あります。なお、これらの影響は対象製品やコンポーネント、設定等に より異なります。 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。 なお、次回の Oracle Critical Patch Update は、2008年4月にリリー スされる予定です。 関連文書 (日本語) Oracle internet Support Center [CPUJan2008] Critical Patch Update - January 2008 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127343 Oracle Technology Network Critical Patch Update - January 2008 http://otn.oracle.co.jp/security/080118_81/top.html Japan Vulnerability Notes JVNTA08-017A Oracle 製品における複数の脆弱性に対するアップデート http://jvn.jp/cert/JVNTA08-017A/index.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - January 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2008.html 【3】複数のデバイスに UPnP に起因する脆弱性 情報源 US-CERT Vulnerability Note VU#347812 UPnP enabled by default in multiple devices http://www.kb.cert.org/vuls/id/347812 CIAC Bulletin S-120 Universal Plug and Play Vulnerability http://www.ciac.org/ciac/bulletins/s-120.shtml 概要 複数のベンダの UPnP (Universal Plug and Play)をサポートするデバ イスには、UPnP プロトコルに起因する脆弱性があります。結果として、 遠隔の第三者が細工した HTML 文書を閲覧させることで、UPnP が有効 になっているデバイスを操作したり、設定を変更したりする可能性があ ります。なお、本件に関しては攻撃方法に関する情報が公開されていま す。 2008年1月22日現在、この問題に対する解決策は提供されていません。 回避策としては、デバイスなどの UPnP 機能を無効にしたり、Mozilla Firefox では、NoScript 拡張によりスクリプトやプラグインの実行を 許可するサイトを限定したりする方法などがあります。例えば、 Microsoft Windows XP で UPnP サービスを無効にする方法については、 下記関連文書 MS07-019 に記載されている回避策を参照してください。 関連文書 (日本語) マイクロソフト セキュリティ情報 ユニバーサル プラグ アンド プレイの脆弱性により、リモートでコードが実行される (931261) (MS07-019) http://www.microsoft.com/japan/technet/security/bulletin/ms07-019.mspx 関連文書 (英語) UPnP Forum Welcome to the UPnP Forum! http://www.upnp.org/ 【4】Linux カーネルの VFS に脆弱性 情報源 CIAC Bulletin S-121 VFS Vulnerability http://www.ciac.org/ciac/bulletins/s-121.shtml 概要 Linux カーネルの VFS には、脆弱性があります。結果として、ローカ ルユーザが任意のファイルにアクセスしたり、権限を昇格したりする可 能性があります。 対象となるバージョンは以下の通りです。 - バージョン 2.6.22.16 以前の Linux kernel - バージョン 2.6.23.14 以前の Linux kernel 2.6.23.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Linux カーネルを更新することで解決します。詳細につ いては、ベンダや配布元が提供する情報を参照してください。 関連文書 (英語) Linux Linux Kernel ChangeLog Linux 2.6.22.16 http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.22.16 Linux Linux Kernel ChangeLog Linux 2.6.23.14 http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.14 【5】apt-listchanges に脆弱性 情報源 CIAC Bulletin S-119 apt-listchanges Vulnerability http://www.ciac.org/ciac/bulletins/s-119.shtml 概要 Debian のパッケージ変更履歴通知ツール apt-listchanges には、脆弱 性があります。結果として、ローカルユーザが任意のコードを実行する 可能性があります。 対象となるバージョンは以下の通りです。 - apt-listchanges 2.82 より前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに apt-listchanges を更新することで解決します。詳細に ついては、ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) Debian セキュリティ勧告 DSA-1465-2 apt-listchanges -- プログラムミス http://www.debian.org/security/2008/dsa-1465.ja.html 関連文書 (英語) Debian Project apt-listchanges (2.82) http://packages.debian.org/changelogs/pool/main/a/apt-listchanges/apt-listchanges_2.82/changelog 【6】「X Font Server に整数オーバーフローの脆弱性」に関する追加情報 情報源 CIAC Bulletin S-116 HP-UX Running X Font Server (xfs) Software http://www.ciac.org/ciac/bulletins/s-116.shtml 概要 JPCERT/CC REPORT 2007-10-17 号【6】で紹介した「X Font Server に 整数オーバーフローの脆弱性」に関する追加情報です。 HP が HP-UX に関して修正済みのバージョンを公開しました。詳細につ いては、HP が提供する情報を参照してください。 関連文書 (日本語) JPCERT/CC REPORT 2007-10-17号 【6】X Font Server に整数オーバーフローの脆弱性 http://www.jpcert.or.jp/wr/2007/wr074001.html#6 関連文書 (英語) HP Support document c01323725 HPSBUX02303 SSRT071468 rev.1 - HP-UX Running X Font Server (xfs) Software, Remote Execution of Arbitrary Code http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01323725 ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Internet Explorer 7 の自動更新による配布 Microsoft は 2008年2月13日から、Internet Explorer 7 (IE7) 日本語 版の自動更新による配布を開始すると発表しています。 業務アプリケーションなどで Internet Explorer を使用している場合 は、事前に IE7 で動作を確認することをおすすめします。 動作が確認できないなどの理由により IE7 に自動更新したくない場合 は、Microsoft が提供する自動配布の無効化ツールキットを使用して、 IE7 への自動更新をブロックすることが可能です。 参考文献 (日本語) Microsoft TechNet Internet Explorer 7 の自動更新による配布 http://www.microsoft.com/japan/technet/updatemanagement/windowsupdate/ie7announcement.mspx Microsoft ダウンロードセンター 自動配布の無効化ツールキット (Blocker Toolkit) http://www.microsoft.com/downloads/details.aspx?FamilyId=4C12D92F-808D-4C21-96CA-DC191A0A8E41&displaylang=ja ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBR5aaw4x1ay4slNTtAQhg3AQAjl0OeCe9ySv93Gv7qm48tLjEX0+69D1G SsYuKfxvAL7XkYKMTLP7vI45bRhoorRzB5GH5F/NYDdsNYpqg4pkCyKCzMNv6cS8 rWRe7hFw7ylFiq4JjQOG0PH2Bxlqbzz7SuMZZTxyEd6E7MUdTz+BeLbnm89LR0S0 a4gOxrimWeE= =Gxzl -----END PGP SIGNATURE-----