<<< JPCERT/CC WEEKLY REPORT 2012-03-28 >>>
■03/18(日)〜03/24(土) のセキュリティ関連情報
目 次
【1】Apache Traffic Server にバッファオーバーフローの脆弱性
【2】RSA enVision に複数の脆弱性
【3】複数のテープライブラリ製品に複数の脆弱性
【4】Quagga に複数の脆弱性
【5】Janetter に複数の脆弱性
【6】InspIRCd にメモリ破損の脆弱性
【7】WebGlimpse に OS コマンドインジェクションの脆弱性
【8】AtMail に複数の脆弱性
【9】Apache Wicket に脆弱性
【今週のひとくちメモ】ユーザアカウントとメールアドレスの整理
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2012/wr121201.txt
https://www.jpcert.or.jp/wr/2012/wr121201.xml
【1】Apache Traffic Server にバッファオーバーフローの脆弱性
情報源
CERT-FI - FICORA #612884
CERT-FI Advisory on Apache Traffic Server
http://www.cert.fi/en/reports/2012/vulnerability612884.html
概要
Apache Traffic Server には、バッファオーバーフローの脆弱性があります。 結果として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となるバージョンは以下の通りです。 - Apache Traffic Server 3.0.2 およびそれ以前の 2.0.x 系、3.0.x 系 - Apache Traffic Server 3.1.2 およびそれ以前の 2.1.x 系、3.1.x 系 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Apache Traffic Server を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#194833
Apache Traffic Server にバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU194833/index.html
関連文書 (英語)
The Apache Software Foundation
Apache Traffic Server
http://trafficserver.apache.org/Apache Traffic Server Downloads
Current (stable) Release -- 3.0.4
http://trafficserver.apache.org/downloads#3.0.4
【2】RSA enVision に複数の脆弱性
情報源
JC3-CIRC Technical Bulletin U-129
RSA enVision Bugs Permit Cross-Site Scripting, SQL Injection, and Directory Traversal Attacks
http://circ.jc3.doe.gov/bulletins/U-129.shtml
概要
RSA enVision には、複数の脆弱性があります。結果として、遠隔の第三者が機 密情報を取得したり、任意の SQL コマンドを実行したり、ユーザのブラウザ上 で任意のスクリプトを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - EMC RSA enVision 4.1 Patch 4 より前の 4.x この問題は、EMC が提供する修正済みのバージョンに RSA enVision を更新す ることで解決します。
関連文書 (日本語)
EMC
RSA enVision
http://japan.rsa.com/node.aspx?id=3170
関連文書 (英語)
EMC
RSA Customer Support
http://www.emc.com/support/rsa/index.htm
【3】複数のテープライブラリ製品に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#913483
Quantum Scalar i500, Dell ML6000 and IBM TS3310 tape libraries web interface and preconfigured password vulnerabilities
http://www.kb.cert.org/vuls/id/913483
概要
テープライブラリ Quantum Scalar i500、Dell ML6000 および IBM TS3310 に は、複数の脆弱性があります。結果として、遠隔の第三者が任意のコードを実 行したり、機密情報を取得したりする可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Quantum Scalar i500 i7.0.3 (604G.GS00100) より前のバージョン - Dell ML6000 A20-00 (590G.GS00100) より前のバージョン - IBM TS3310 R6C (606G.GS001) より前のバージョン この問題は、各ベンダが提供する修正済みのバージョンに該当する製品のファー ムウェアを更新することで解決します。詳細については、各ベンダが提供する 情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#913483
テープライブラリに複数の問題
https://jvn.jp/cert/JVNVU913483/index.html
関連文書 (英語)
Quantum
Midrange Company Tape Library - Scalar i500 - Support and Services
http://www.quantum.com/ServiceandSupport/SoftwareandDocumentationDownloads/SI500/Index.aspxDELL
Welcome to Dell Technical Support
http://support.dell.com/IBM
IBM Support: Fix Central - フィックスの選択 -
http://www-933.ibm.com/support/fixcentral/swg/selectFixes?parent=Tape+autoloaders+and+libraries&product=ibm/Storage_Tape/TS3100+Tape+Library+Express+Model&release=1.0&platform=All&function=all
【4】Quagga に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#551715
Quagga contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/551715
概要
ルーティングソフトウェア Quagga には、複数の脆弱性があります。結果とし て、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Quagga 0.99.20 およびそれ以前のバージョン この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Quagga を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#551715
Quagga に複数の脆弱性
https://jvn.jp/cert/JVNVU551715/index.html
関連文書 (英語)
Quagga Routing Software
Quagga 0.99.20.1 Released
http://savannah.nongnu.org/forum/forum.php?forum_id=7151
【5】Janetter に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#10745573
Janetter における情報漏えいの脆弱性
https://jvn.jp/jp/JVN10745573/index.htmlJapan Vulnerability Notes JVN#83459967
Janetter におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN83459967/index.html
概要
Twitter 用クライアントソフトウェア Janetter には、複数の脆弱性がありま す。結果として、遠隔の第三者が細工した Web ページを読み込ませることで、 セッション情報などを取得したり、ユーザになりすまして Twitter に投稿した り、当該製品を実行している権限で任意の OS コマンドを実行したりする可能 性があります。 対象となるバージョンは以下の通りです。 - Windows 版 Janetter 3.3.0.0 より前のバージョン - Macintosh 版 Janetter 3.3.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに Janetter を更新する ことで解決します。
関連文書 (日本語)
Jane, Inc.
Janetterの更新情報
http://janetter.net/jp/history.html
【6】InspIRCd にメモリ破損の脆弱性
情報源
US-CERT Vulnerability Note VU#212651
InspIRCd heap corruption vulnerability
http://www.kb.cert.org/vuls/id/212651
概要
InspIRCd には、ヒープメモリ破損の脆弱性があります。結果として、遠隔の第 三者がプログラムを実行しているユーザの権限で任意のコードを実行する可能 性があります。 対象となる製品は以下の通りです。 - InspIRCd この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに InspIRCd を更新することで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#212651
InspIRCd にメモリ破損の脆弱性
https://jvn.jp/cert/JVNVU212651/index.html
関連文書 (英語)
Gitorious
inspircd
https://gitorious.org/inspircdgithub
inspircd / inspircd
https://github.com/inspircd/inspircd
【7】WebGlimpse に OS コマンドインジェクションの脆弱性
情報源
US-CERT Vulnerability Note VU#364363
WebGlimpse command injection vulnerability
http://www.kb.cert.org/vuls/id/364363
概要
WebGlimpse の webglimpse.cgi には、OS コマンドインジェクションの脆弱性 があります。結果として、遠隔の第三者が Web サーバの権限で、任意の OS コ マンドを実行する可能性があります。なお、本脆弱性を使用した攻撃活動が確 認されています。 対象となるバージョンは以下の通りです。 - Webglimpse 2.20.0 より前のバージョン この問題は、配布元が提供する修正済みのバージョンに WebGlimpse を更新す ることで解決します。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#364363
WebGlimpse に OS コマンドインジェクションの脆弱性
https://jvn.jp/cert/JVNVU364363/index.html
関連文書 (英語)
WebGlimpse
Downloads
http://webglimpse.net/download.php
【8】AtMail に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#743555
@Mail Open webmail interface contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/743555
概要
AtMail (@Mail Open) の Web メールインタフェースには、複数の脆弱性があり ます。結果として、遠隔の第三者がシステム上の任意のファイルを読み書きし たり、バックドアを作成したりする可能性があります。 対象となるバージョンは以下の通りです。 - AtMail 1.04 この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに AtMail を更新することで解決します。詳細については、ベンダや配布元 が提供する情報を参照してください。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#743555
AtMail に複数の脆弱性
https://jvn.jp/cert/JVNVU743555/index.html
関連文書 (英語)
AtMail
AtMail Open: PHP Webmail client
http://atmail.org/
【9】Apache Wicket に脆弱性
情報源
JC3-CIRC Technical Bulletin U-132
Apache Wicket Input Validation Flaw in 'wicket:pageMapName' Parameter Permits Cross-Site Scripting Attacks
http://circ.jc3.doe.gov/bulletins/U-132.shtml
概要
Apache Wicket には、クロスサイトスクリプティングの脆弱性があります。結 果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する 可能性があります。 対象となるバージョンは以下の通りです。 - Apache Wicket 1.4.20 より前の 1.4.x この問題は、使用している OS のベンダや配布元が提供する修正済みのバージョ ンに Apache Wicket を更新することで解決します。詳細については、ベンダや 配布元が提供する情報を参照してください。
関連文書 (英語)
The Apache Software Foundation
CVE-2011-2712 - Apache Wicket XSS vulnerability
http://wicket.apache.org/2011/08/23/cve-2011-2712.html
■今週のひとくちメモ
○ユーザアカウントとメールアドレスの整理
年度がまもなく終わろうとしています。システム管理者の方は、新年度の人事 異動などに備えて、アカウントやメールアドレスをリスト化するなどの準備を 行っておくことをおすすめします。同時にアカウントの権限についても、この 機会に棚卸しを行い、不要な権限が付与されていないか確認しましょう。
参考文献 (日本語)
JPCERT/CC REPORT 2008-03-19号 [今週の一口メモ]
ユーザアカウントとパスワードの整理
https://www.jpcert.or.jp/wr/2008/wr081101.html#Memo
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/