-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2008-1601 JPCERT/CC 2008-04-23 <<< JPCERT/CC REPORT 2008-04-23 >>> ―――――――――――――――――――――――――――――――――――――― ■04/13(日)〜04/19(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に脆弱性 【2】Safari に複数の脆弱性 【3】2008年4月 Oracle Critical Patch Update について 【4】HP OpenView Network Node Manager に複数の脆弱性 【5】Ruby の WEBrick ライブラリにディレクトリトラバーサルの脆弱性 【今週のひとくちメモ】インターネットセキュリティの歴史 第16回 「『電子認証』関連法制度−IT 書面一括法、e-文書法」 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 http://www.jpcert.or.jp/wr/2008/wr081601.html http://www.jpcert.or.jp/wr/2008/wr081601.xml ============================================================================ 【1】Mozilla 製品群に脆弱性 情報源 US-CERT Vulnerability Note VU#441529 Mozilla Firefox JavaScript engine fails to properly handle garbage collection http://www.kb.cert.org/vuls/id/441529 概要 Mozilla Firefox をはじめとする Mozilla 製品群の JavaScript エン ジンには、脆弱性があります。結果として、遠隔の第三者が任意のコー ドを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性 があります。 対象となる製品は以下の通りです。 - Firefox - SeaMonkey - Thunderbird その他に Mozilla コンポーネントを用いている製品も影響を受ける可 能性があります。 この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに、該当する製品を更新することで解決します。Mozilla か らは、この問題の修正として以下のバージョンが公開されています。 - Firefox 2.0.0.14 なお、2008年4月22日現在、SeaMonkey および Thunderbird の修正プロ グラムは提供されていません。詳細については、OS のベンダ、配布元 が提供する情報を参照してください。 関連文書 (日本語) Mozilla Japan Foundation セキュリティアドバイザリ: 2008 年 4 月 16 日 http://www.mozilla-japan.org/security/announce/ Mozilla Japan Firefox 2.0.0.14 の新機能と改良点 http://www.mozilla-japan.org/products/firefox/2.0.0.14/releasenotes/ 関連文書 (英語) Red Hat Security Advisory RHSA-2008:0222-2 Critical: firefox security update https://rhn.redhat.com/errata/RHSA-2008-0222.html Red Hat Security Advisory RHSA-2008:0223-3 Critical: seamonkey security update https://rhn.redhat.com/errata/RHSA-2008-0223.html 【2】Safari に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#529441 Apple Safari fails to properly handle a file name http://www.kb.cert.org/vuls/id/529441 US-CERT Vulnerability Note VU#705529 Apple Safari WebKit fails to properly handle a crafted URL http://www.kb.cert.org/vuls/id/705529 概要 Safari には、複数の脆弱性があります。結果として、遠隔の第三者が 任意のコードを実行したり、ユーザのブラウザ上で任意のスクリプトを 実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - Safari 3.1 for Windows - Safari 3.1 for Mac OS X この問題は、Apple が提供する修正済みのバージョン Safari 3.1.1 に 更新することで解決します。 関連文書 (英語) Apple Support About the security content of Safari 3.1.1 http://support.apple.com/kb/HT1467 Apple Support Download Safari 3.1.1 http://www.apple.com/support/downloads/safari311.html 【3】2008年4月 Oracle Critical Patch Update について 情報源 CERT/CC Current Activity Archive Oracle Releases Critical Patch Update for April 2008 http://www.us-cert.gov/current/archive/2008/04/17/archive.html#oracle_releases_critical_patch_update2 CIAC Bulletin S-264 Oracle Critical Patch Update - April 2008 http://www.ciac.org/ciac/bulletins/s-264.shtml 概要 Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま す。結果として、遠隔の第三者が認証を回避するなどの可能性がありま す。なお、これらの影響は対象製品やコンポーネント、設定等により異 なります。 詳細については Oracle が提供する情報を参照してください。 この問題は、Oracle が提供するパッチを該当する製品に適用すること で解決します。 なお、次回の Oracle Critical Patch Update は、2008年7月にリリー スされる予定です。 関連文書 (日本語) Oracle internet Support Center [CPUApr2008] Oracle Critical Patch Update Advisory - April 2008 http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=127788 Oracle Technology Network Critical Patch Update - April 2008 http://www.oracle.com/technology/global/jp/security/080418_82/top.html 関連文書 (英語) Oracle Technology Network Oracle Critical Patch Update Advisory - April 2008 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html HP Support document c00727143 HPSBMA02133 SSRT061201 rev.8 - HP Oracle for OpenView (OfO) Critical Patch Update http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00727143 【4】HP OpenView Network Node Manager に複数の脆弱性 情報源 CIAC Bulletin S-266 HP OpenView Network Node Manager (OV NNM) Running Apache http://www.ciac.org/ciac/bulletins/s-266.shtml 概要 HP OpenView Network Node Manager には、複数の脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用 妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のスクリプト を実行したりする可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - HP-UX、Solaris および Linux の Apache 上で実行する以下のバージョン - HP OpenView Network Node Manager v6.41、v7.01、v7.51 この問題は、HP が提供するパッチを HP OpenView Network Node Manager に適用することで解決します。詳細については、HP が提供す る情報を参照してください。 関連文書 (英語) HP Support document c01428449 HPSBMA02328 SSRT071293 rev.2 - HP OpenView Network Node Manager (OV NNM) Running Apache, Remote Cross Site Scripting (XSS), Denial of Service (DoS), Execute Arbitrary Code http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01428449 【5】Ruby の WEBrick ライブラリにディレクトリトラバーサルの脆弱性 情報源 US-CERT Vulnerability Note VU#404515 Ruby WEBrick vulnerable to directory traversal http://www.kb.cert.org/vuls/id/404515 概要 Ruby の WEBrick ライブラリには、ディレクトリトラバーサルの脆弱性 があります。結果として、公開を意図していないリソースに遠隔の第三 者がアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Ruby 1.8 系の以下のバージョン - Ruby 1.8.4 およびそれ以前のバージョン - Ruby 1.8.5-p114 およびそれ以前のバージョン - Ruby 1.8.6-p113 およびそれ以前のバージョン - Ruby 1.9 系の以下のバージョン - Ruby 1.9.0-1 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みの バージョンに Ruby を更新することで解決します。詳細については、各 ベンダや配布元が提供する情報を参照してください。 関連文書 (日本語) オブジェクト指向スクリプト言語 Ruby WEBrickの非公開ファイルにアクセスされる脆弱性について http://www.ruby-lang.org/ja/news/2008/03/03/webrick-file-access-vulnerability/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○インターネットセキュリティの歴史 第16回 「『電子認証』関連法制度−IT 書面一括法、e-文書法」 2000年11月、「書面の交付等に関する情報通信の技術の利用のための関 係法律の整備に関する法律」(IT 書面一括法) が成立し、翌 2001年4月 から施行されました。また、2004年11月には「民間事業者等が行う書面 の保存等における情報通信の技術の利用に関する法律」と「同法施行に 伴う関係法律の整備等に関する法律」(e-文書法)が成立し、翌 2005年4 月から施行されました。 IT 書面一括法においては、証券取引法、薬事法、保険業法など法律 50 法を対象に、書面の交付あるいは書面による手続を義務としていた部分 について、電子的手段による交付を容認することとされ、e-文書法にお いては、書面の保存等が法令上義務付けられている場合について、原則 として当該書面に係る電磁的記録による保存等を行うことを可能にする こととされました。 電子署名法を含めたこれらの法整備により、法制度上、紙媒体を想定し ていた多くの場面で、電子データを用いることができるようになりまし た。日常生活に関わる様々な場面で紙媒体から電子データへの移行が進 められていることから、電子データを安全に正しく扱うことがより重要 になってきています。 参考文献 (日本語) 高度情報通信ネットワーク社会推進戦略本部(IT戦略本部) http://www.kantei.go.jp/jp/singi/it2/index.html 経済産業省 文書の電子化・活用ガイド http://www.meti.go.jp/policy/it_policy/e-doc/guide/index.html 総務省 電子署名及び認証業務に関する法律の概要 http://www.soumu.go.jp/joho_tsusin/top/denshi_syomei/2-1.pdf 総務省 電子署名・電子認証ホームページ http://www.soumu.go.jp/joho_tsusin/top/ninshou-law/law-index.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 http://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2008 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQCVAwUBSA6RkIx1ay4slNTtAQiklAP/WDzTwXT3Gc3fVDS5eDa+MTEclwbpCVtl +S11nIiEY6M6Vg+Wwo38fDfh7gTS+UlPwp6LWGCHSBApi+eNjrKqiYRrSnm4qT3k EWZQ8lRnLyQan1CNvpEcBeFW2P6onGron0cAf5RDIPKcF3UcDuuVuZPHynNbetEX bkGSmX232g0= =BW3T -----END PGP SIGNATURE-----