<<< JPCERT/CC WEEKLY REPORT 2008-12-03 >>>
■11/23(日)〜11/29(土) のセキュリティ関連情報
目 次
【1】iPhone OS および iPhone OS for iPod touch OS に複数の脆弱性
【2】Symantec Backup Exec に複数の脆弱性
【3】アイ・オー・データの HDL-F シリーズにクロスサイトリクエストフォージェリの脆弱性
【今週のひとくちメモ】インターネットセキュリティの歴史 第23回「ハードディスクレコーダを踏み台にしたコメントスパム」
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2008/wr084701.txt
https://www.jpcert.or.jp/wr/2008/wr084701.xml
【1】iPhone OS および iPhone OS for iPod touch OS に複数の脆弱性
情報源
US-CERT Current Activity Archive
Apple Releases iPhone OS 2.2 and iPhone OS for iPod touch 2.2
http://www.us-cert.gov/current/archive/2008/11/25/archive.html#apple_releases_os_2_2Apple - Support HT3318
About the security content of iPhone OS 2.2 and iPhone OS for iPod touch 2.2
http://support.apple.com/kb/HT3318
概要
iPhone OS および iPhone OS for iPod touch には、複数の脆弱性があ ります。結果として、遠隔の第三者が任意のコードを実行したり、任意 の番号に電話をかけたり、サービス運用妨害 (DoS) 攻撃を行ったりす る可能性があります。 対象となるプラットフォームおよびバージョンは以下の通りです。 - iPhone OS 1.0 から 2.1 まで - iPhone OS for iPod touch 1.1 から 2.1 まで この問題は、Apple が提供する修正済みのバージョンに、該当するプラッ トフォームを更新することで解決します。詳細については Apple が提 供する情報を参照してください。
関連文書 (日本語)
Apple - サポート HT3318
iPhone OS 2.2 および iPhone OS for iPod touch 2.2 のセキュリティコンテンツについて
http://support.apple.com/kb/HT3318?viewlocale=ja_JP
関連文書 (英語)
Apple security-announce Mailing List
APPLE-SA-2008-11-20 iPhone OS 2.2 and iPhone OS for iPod touch 2.2
http://lists.apple.com/archives/security-announce//2008/Nov/msg00002.html
【2】Symantec Backup Exec に複数の脆弱性
情報源
US-CERT Current Activity Archive
Symantec Releases Security Advisory for Backup Exec
http://www.us-cert.gov/current/archive/2008/11/25/archive.html#symantec_releases_security_advisory_for
概要
Symantec Backup Exec には、複数の脆弱性があります。結果として、 遠隔の第三者が認証を回避し、情報を取得または削除したり、サービス 運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Symantec Backup Exec 12.5 revision 2213 - Symantec Backup Exec 12 revision 1364 - Symantec Backup Exec 11d revision 7170 - Symantec Backup Exec 11d revision 6235 なお、この脆弱性は、メディアサーバおよびリモートサーバ双方に 存在するリモートエージェントに影響します。 この問題は、Symantec が提供するアップデートを適用することで解決 します。詳細については、Symantec が提供する情報を参照してくださ い。
関連文書 (日本語)
Symantec Security Response SYM08-021
Symantec Backup Exec の認証回避およびバッファオーバーフローが発生する脆弱性
http://www.symantec.com/region/jp/avcenter/security/content/2008.11.19.html
【3】アイ・オー・データの HDL-F シリーズにクロスサイトリクエストフォージェリの脆弱性
情報源
Japan Vulnerability Notes JVN#70599814
アイ・オー・データ製 HDL-F シリーズにおけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN70599814/index.html
概要
アイ・オー・データが提供する HDL-F シリーズの Web 管理画面には、 クロスサイトリクエストフォージェリの脆弱性があります。結果として、 遠隔の第三者が細工した Web ページを管理者に読み込ませることで、 ハードディスク上のデータを削除したり、設定を変更したりする可能性 があります。 対象となる製品は以下の通りです。 - HDL-F シリーズ この問題は、アイ・オー・データが提供する修正済みのバージョンに、 該当する製品のファームウェアを更新することで解決します。
関連文書 (日本語)
アイ・オー・データ
LAN接続型ハードディスク「HDL-Fシリーズ」ご愛用のお客様へ大切なお知らせ
http://www.iodata.jp/news/2008/important/hdl-f.htm
■今週のひとくちメモ
○インターネットセキュリティの歴史 第23回「ハードディスクレコーダを踏み台にしたコメントスパム」
Web を閲覧できる機能をもつテレビや、遠隔地から録画予約が可能なビ デオレコーダなどに代表される、インターネットにアクセス可能な家電 を「ネット家電」と呼びます。 2004年9月、東芝のハードディスクレコーダ RD シリーズをインターネッ トからアクセス可能な状態にしておくと、匿名プロキシサーバとして使 われてしまう問題が明らかになりました。実際にこの問題を使ってブロ グに大量のコメントスパムが書き込まれるという被害が発生しました。 これをきっかけに「ネット家電」のセキュリティ問題が大きく注目され るようになりました。
参考文献 (日本語)
Japan Vulnerability Notes JVN#E7DDE712
東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能
http://jvn.jp/jp/JVNE7DDE712/index.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/