<<< JPCERT/CC WEEKLY REPORT 2008-04-23 >>>
■04/13(日)〜04/19(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に脆弱性
【2】Safari に複数の脆弱性
【3】2008年4月 Oracle Critical Patch Update について
【4】HP OpenView Network Node Manager に複数の脆弱性
【5】Ruby の WEBrick ライブラリにディレクトリトラバーサルの脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第16回 「『電子認証』関連法制度−IT 書面一括法、e-文書法」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr081601.txt
https://www.jpcert.or.jp/wr/2008/wr081601.xml
【1】Mozilla 製品群に脆弱性
情報源
US-CERT Vulnerability Note VU#441529
Mozilla Firefox JavaScript engine fails to properly handle garbage collection
http://www.kb.cert.org/vuls/id/441529
概要
Mozilla Firefox をはじめとする Mozilla 製品群の JavaScript エン ジンには、脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox - SeaMonkey - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 2.0.0.14 なお、2008年4月22日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダ、配布元 が提供する情報を参照してください。
関連文書 (日本語)
Mozilla Japan
Foundation セキュリティアドバイザリ: 2008 年 4 月 16 日
http://www.mozilla-japan.org/security/announce/Mozilla Japan
Firefox 2.0.0.14 の新機能と改良点
http://www.mozilla-japan.org/products/firefox/2.0.0.14/releasenotes/
関連文書 (英語)
Red Hat Security Advisory RHSA-2008:0222-2
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2008-0222.htmlRed Hat Security Advisory RHSA-2008:0223-3
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2008-0223.html
【2】Safari に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#529441
Apple Safari fails to properly handle a file name
http://www.kb.cert.org/vuls/id/529441US-CERT Vulnerability Note VU#705529
Apple Safari WebKit fails to properly handle a crafted URL
http://www.kb.cert.org/vuls/id/705529
概要
Safari には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 3.1 for Windows - Safari 3.1 for Mac OS X この問題は、Apple が提供する修正済みのバージョン Safari 3.1.1 に 更新することで解決します。
関連文書 (英語)
Apple Support
About the security content of Safari 3.1.1
http://support.apple.com/kb/HT1467Apple Support Download
Safari 3.1.1
http://www.apple.com/support/downloads/safari311.html
【3】2008年4月 Oracle Critical Patch Update について
情報源
CERT/CC Current Activity Archive
Oracle Releases Critical Patch Update for April 2008
http://www.us-cert.gov/current/archive/2008/04/17/archive.html#oracle_releases_critical_patch_update2CIAC Bulletin S-264
Oracle Critical Patch Update - April 2008
http://www.ciac.org/ciac/bulletins/s-264.shtml
概要
Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が認証を回避するなどの可能性がありま す。なお、これらの影響は対象製品やコンポーネント、設定等により異 なります。 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。 なお、次回の Oracle Critical Patch Update は、2008年7月にリリー スされる予定です。
関連文書 (日本語)
Oracle internet Support Center
[CPUApr2008] Oracle Critical Patch Update Advisory - April 2008
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127788Oracle Technology Network
Critical Patch Update - April 2008
http://www.oracle.com/technology/global/jp/security/080418_82/top.html
関連文書 (英語)
Oracle Technology Network
Oracle Critical Patch Update Advisory - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.htmlHP Support document c00727143
HPSBMA02133 SSRT061201 rev.8 - HP Oracle for OpenView (OfO) Critical Patch Update
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143
【4】HP OpenView Network Node Manager に複数の脆弱性
情報源
CIAC Bulletin S-266
HP OpenView Network Node Manager (OV NNM) Running Apache
http://www.ciac.org/ciac/bulletins/s-266.shtml
概要
HP OpenView Network Node Manager には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - HP-UX、Solaris および Linux の Apache 上で実行する以下のバージョン - HP OpenView Network Node Manager v6.41、v7.01、v7.51 この問題は、HP が提供するパッチを HP OpenView Network Node Manager に適用することで解決します。詳細については、HP が提供す る情報を参照してください。
関連文書 (英語)
HP Support document c01428449
HPSBMA02328 SSRT071293 rev.2 - HP OpenView Network Node Manager (OV NNM) Running Apache, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Execute Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01428449
【5】Ruby の WEBrick ライブラリにディレクトリトラバーサルの脆弱性
情報源
US-CERT Vulnerability Note VU#404515
Ruby WEBrick vulnerable to directory traversal
http://www.kb.cert.org/vuls/id/404515
概要
Ruby の WEBrick ライブラリには、ディレクトリトラバーサルの脆弱性 があります。結果として、公開を意図していないリソースに遠隔の第三 者がアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - Ruby 1.8.4 およびそれ以前のバージョン - Ruby 1.8.5-p114 およびそれ以前のバージョン - Ruby 1.8.6-p113 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9.0-1 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。
関連文書 (日本語)
オブジェクト指向スクリプト言語 Ruby
WEBrickの非公開ファイルにアクセスされる脆弱性について
http://www.ruby-lang.org/ja/news/2008/03/03/webrick-file-access-vulnerability/
■今週のひとくちメモ
○インターネットセキュリティの歴史 第16回 「『電子認証』関連法制度−IT 書面一括法、e-文書法」
2000年11月、「書面の交付等に関する情報通信の技術の利用のための関 係法律の整備に関する法律」(IT 書面一括法) が成立し、翌 2001年4月 から施行されました。また、2004年11月には「民間事業者等が行う書面 の保存等における情報通信の技術の利用に関する法律」と「同法施行に 伴う関係法律の整備等に関する法律」(e-文書法)が成立し、翌 2005年4 月から施行されました。 IT 書面一括法においては、証券取引法、薬事法、保険業法など法律 50 法を対象に、書面の交付あるいは書面による手続を義務としていた部分 について、電子的手段による交付を容認することとされ、e-文書法にお いては、書面の保存等が法令上義務付けられている場合について、原則 として当該書面に係る電磁的記録による保存等を行うことを可能にする こととされました。 電子署名法を含めたこれらの法整備により、法制度上、紙媒体を想定し ていた多くの場面で、電子データを用いることができるようになりまし た。日常生活に関わる様々な場面で紙媒体から電子データへの移行が進 められていることから、電子データを安全に正しく扱うことがより重要 になってきています。
参考文献 (日本語)
高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)
http://www.kantei.go.jp/jp/singi/it2/index.html経済産業省
文書の電子化・活用ガイド
http://www.meti.go.jp/policy/it_policy/e-doc/guide/index.html総務省
電子署名及び認証業務に関する法律の概要
http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf総務省
電子署名・電子認証ホームページ
http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/