JPCERT-WR-2008-2001
2008-05-28
2008-05-18
2008-05-24
「Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性」に関する追加情報
JPCERT/CC REPORT 2008-05-21 号【2】で紹介した「Debian および
Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性」
に関する追加情報です。
Debian JP Project は、この問題に関して、OpenSSL パッケージの脆弱
性と他の環境への影響についての情報を公開しています。詳細について
は、Debian JP Project が提供する情報を参照してください。
JPCERT/CC REPORT 2008-05-21
【2】Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性
http://www.jpcert.or.jp/wr/2008/wr081901.html#2
GnuTLS に複数の脆弱性
GnuTLS には、複数の脆弱性があります。結果として、遠隔の第三者が
細工したメッセージを処理させることで任意のコードを実行したり、サー
ビス運用妨害 (DoS) 攻撃を行ったりする可能性があります。
対象となるバージョンは以下の通りです。
- GnuTLS 2.2.5 より前のバージョン
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GnuTLS パッケージを更新することで解決します。
Debian セキュリティ勧告 DSA-1581-1
gnutls13 -- 複数の脆弱性
http://www.debian.org/security/2008/dsa-1581.ja.html
GNU
GnuTLS 2.2.4 - Security release
http://lists.gnu.org/archive/html/gnutls-devel/2008-05/msg00051.html
GNU
GnuTLS 2.2.5 - Brown paper bag release
http://lists.gnu.org/archive/html/gnutls-devel/2008-05/msg00060.html
CERT-FI
CERT-FI Vulnerability Advisory on GnuTLS
http://www.cert.fi/haavoittuvuudet/advisory-gnutls.html
Red Hat Security Advisory RHSA-2008:0489-5
Critical: gnutls security update
https://rhn.redhat.com/errata/RHSA-2008-0489.html
HP-UX の Apache および PHP を含むパッケージに脆弱性
HP-UX の Apache および PHP を含むパッケージには、脆弱性がありま
す。結果として、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行っ
たり、権限を昇格したりする可能性があります。
対象となるプラットフォームおよびバージョンは以下の通りです。
- HP-UX B.11.11、B.11.23、B11.31 の Apache 2.18 で動作する
PHP 5.2.4 またはそれ以前
この問題は、HP が提供する修正済みのバージョンにパッケージを更新
することで解決します。
HP Support document c01438646
HPSBUX02332 SSRT080056 rev.2 - HP-UX Running Apache With PHP, Remote Denial of Service (DoS), Gain Extended Privileges
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01438646
libxslt に脆弱性
libxslt には、XSL の処理に起因する脆弱性があります。結果として、
遠隔の第三者が細工したファイルを処理させることで任意のコードを実
行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があり
ます。
この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに libxslt パッケージを更新することで解決します。詳細
については、OS のベンダや配布元が提供する情報を参照してください。
xmlsoft.org
The XSLT C library for GNOME - libxslt
http://xmlsoft.org/XSLT/
Red Hat Security Advisory RHSA-2008:0287-2
Important: libxslt security update
https://rhn.redhat.com/errata/RHSA-2008-0287.html
FireFTP にディレクトリトラバーサルの脆弱性
Mozilla Firefox 向けの拡張機能である FireFTP には、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者が
Firefox 実行中の PC の任意の場所に、ユーザの権限でファイルを書き
込む可能性があります。
対象となるバージョンは以下の通りです。
- FireFTP 0.97.1 およびそれ以前
この問題は、配布元が提供する修正済みのバージョンに FireFTP を更
新することで解決します。
FireFTP :: Firefox Add-ons
FireFTP 0.97.2
https://addons.mozilla.org/ja/firefox/addon/684
FireFTP Developer Information
release notes 0.99
http://fireftp.mozdev.org/developers.html
PhotoStockPlus ActiveX コントロールにバッファオーバーフローの脆弱性
PhotoStockPlus ActiveX コントロールには、バッファオーバーフロー
の脆弱性があります。結果として、遠隔の第三者が細工した HTML 文書
を閲覧させることで、そのユーザの権限で任意のコードを実行する可能
性があります。
2008年5月27日現在、この問題に対する修正プログラムは確認されてお
りません。
Internet Explorer での回避策として、Kill Bit を設定する、インター
ネットゾーンで ActiveX コントロールを無効にするなどの方法があり
ます。詳細については、下記関連文書を参照してください。
マイクロソフト サポートオンライン
Internet Explorer で ActiveX コントロールの動作を停止する方法
http://support.microsoft.com/kb/240797/ja
PhotStockPlus.com
http://www.photostockplus.com/
Web ブラウザ tips: Opera/Safari 編
安全が確認できていない Web サイトを閲覧する際には Javascript 機
能を無効にすることが推奨されます。
Windows 版 Opera の場合、「ツール」→「クイック設定」と辿ったメ
ニューに「Javascript を有効にする」チェックがあり、デフォルトで
ON になっています。この項目を選択することで Javascript 機能の
ON/OFF を行なうことができます。
Windows 版 Safari の場合、「編集」→「設定」→「セキュリティ」と
辿ったメニューに「Javascript を有効にする」チェックがあり、デフォ
ルトで ON になっています。
Safari において、より簡単に Javascript 機能の ON/OFF をするため
には、メニューバーに[開発]メニューを表示させると便利です。「編集」
→「設定」→「詳細」と辿ったメニューで「メニューバーに[開発]メ
ニューを表示」にチェックを入れることにより「開発」メニューを表示
させることができます。「開発」メニューのなかに「Javascript を無
効にする」という項目があり、この項目を選択することで Javascript
機能の ON/OFF を行なうことができます。
CERT/CC Tech Tips
Securing Your Web Browser
http://www.cert.org/tech_tips/securing_browser/