<<< JPCERT/CC WEEKLY REPORT 2007-07-25 >>>

■07/15(日)〜07/21(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】Oracle 製品に複数の脆弱性

【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報

【4】GIMP に複数の整数オーバーフローの脆弱性

【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性

【6】Nessus に脆弱性

【今週のひとくちメモ】PHP 4 のサポート終了

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-199A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-199A.html

US-CERT Cyber Security Alert SA07-199A
Mozilla Updates for Multiple Vulnerabilities
http://www.us-cert.gov/cas/alerts/SA07-199A.html

US-CERT Vulnerability Notes Database
Search Results [mozilla_20070717] (全2件・2007年7月24日現在)
http://www.kb.cert.org/vuls/byid?searchview&query=mozilla_20070717

CIAC Bulletin R-309
Mozilla Products Security Update
http://www.ciac.org/ciac/bulletins/r-309.shtml

概要

Mozilla Firefox をはじめとする Mozilla 製品群には、複数の脆弱性が
あります。結果として、遠隔の第三者が細工した HTML 文書をユーザに
閲覧させることで任意のコードを実行したり、サービス運用妨害 (DoS)
攻撃を行ったりする可能性があります。

この問題は、JPCERT/CC REPORT 2007-07-19号【4】で紹介した
「FirefoxURL プロトコルハンドラの処理に脆弱性」と同一の脆弱性を
含んでいます。

対象となる製品は以下の通りです。

- Firefox
- Thunderbird

その他に Mozilla コンポーネントを用いている製品も影響を受ける可能
性があります。

この問題は、使用している OS のベンダや配布元が提供する以下の修正
済みのバージョンに、該当する製品を更新することで解決します。

- Firefox 2.0.0.5
- Thunderbird 2.0.0.5

詳細については、Mozilla が提供する情報を参照してください。

関連文書 (日本語)

Mozilla Japan
Foundation セキュリティアドバイザリ: 2007 年 7 月 17 日
http://www.mozilla-japan.org/security/announce/

Mozilla Japan
Firefox 2.0.0.5 リリースノート
http://www.mozilla-japan.org/products/firefox/2.0.0.5/releasenotes/

Mozilla Japan
Thunderbird 2.0.0.5 リリースノート
http://www.mozilla-japan.org/products/thunderbird/2.0.0.5/releasenotes/

Japan Vulnerability Notes JVNTA07-199A
Mozilla 製品における複数の脆弱性
http://jvn.jp/cert/JVNTA07-199A/index.html

@police
Firefox および Thunderbird の脆弱性について(7/20)
http://www.cyberpolice.go.jp/important/2007/20070720_102407.html

JPCERT/CC REPORT 2007-07-19
【4】FirefoxURL プロトコルハンドラの処理に脆弱性
http://www.jpcert.or.jp/wr/2007/wr072701.html#4

関連文書 (英語)

Red Hat Security Advisory RHSA-2007:0724-4
Critical: firefox security update
https://rhn.redhat.com/errata/RHSA-2007-0724.html

Red Hat Security Advisory RHSA-2007:0723-4
Moderate: thunderbird security update
https://rhn.redhat.com/errata/RHSA-2007-0723.html

Red Hat Security Advisory RHSA-2007:0722-3
Critical: seamonkey security update
https://rhn.redhat.com/errata/RHSA-2007-0722.html

【2】Oracle 製品に複数の脆弱性

情報源

US-CERT Technical Cyber Security Alert TA07-200A
Oracle Releases Patches for Multiple Vulnerabilities
http://www.us-cert.gov/cas/techalerts/TA07-200A.html

US-CERT Vulnerability Note VU#322460
Oracle Collaboration Suite denial of service vulnerability
http://www.kb.cert.org/vuls/id/322460

CIAC Bulletin R-308
Oracle Critical Patch Update - July 2007
http://www.ciac.org/ciac/bulletins/r-308.shtml

概要

Oracle 製品およびそのコンポーネントには、複数の脆弱性が存在しま
す。結果として、遠隔の第三者が任意のコードを実行したり、機密情報
を取得したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能性があ
ります。なお、これらの影響は対象製品やコンポーネント、設定等によ
り異なります。

対象となる製品は以下の通りです。

- Oracle Database
- Oracle Application Express (旧称 HTML DB)
- Oracle Secure Enterprise Search
- Oracle Application Server
- Oracle Collaboration Suite
- Oracle E-Business Suite
- Oracle PeopleSoft Enterprise PeopleTools
- Oracle PeopleSoft Enterprise Human Capital Management
- Oracle PeopleSoft Enterprise Customer Relationship Management

詳細については Oracle が提供する情報を参照してください。

この問題は、Oracle が提供するパッチを該当する製品に適用することで
解決します。

関連文書 (日本語)

Oracle internet Support Center
[CPUJul2007] Critical Patch Update - July 2007
http://support.oracle.co.jp/krown_external/oisc_showDoc.do?id=125546

Japan Vulnerability Notes JVNTA07-200A
Oracle 製品に複数の脆弱性
http://jvn.jp/cert/JVNTA07-200A/index.html

Oracle Technology Network
Oracle Critical Patch Update - July 2007
http://otn.oracle.co.jp/security/070720_79/top.html

関連文書 (英語)

Oracle Technology Network
Oracle Critical Patch Update - July 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2007.html

【3】「Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性」に関する追加情報

情報源

CIAC Bulletin R-305
Tomcat Security Update
http://www.ciac.org/ciac/bulletins/r-305.shtml

概要

JPCERT/CC REPORT 2007-06-20号【5】で紹介した「Apache Tomcat に複
数のクロスサイトスクリプティングの脆弱性」に関する追加情報です。

Apache Software Foundation は、この脆弱性に対する修正プログラムを
公開しました。

詳細については、使用している OS のベンダや配布元が提供する情報を
参照してください。

関連文書 (日本語)

JPCERT/CC REPORT 2007-06-20
【5】Apache Tomcat に複数のクロスサイトスクリプティングの脆弱性
http://www.jpcert.or.jp/wr/2007/wr072301.html#5

関連文書 (英語)

Apache Tomcat
Apache Tomcat 4.x vulnerabilities
http://tomcat.apache.org/security-4.html

Apache Tomcat
Apache Tomcat 5.x vulnerabilities
http://tomcat.apache.org/security-5.html

Apache Tomcat
Apache Tomcat 6.x vulnerabilities
http://tomcat.apache.org/security-6.html

Red Hat Security Advisory RHSA-2007:0569-2
Moderate: tomcat security update
https://rhn.redhat.com/errata/RHSA-2007-0569.html

【4】GIMP に複数の整数オーバーフローの脆弱性

情報源

CIAC Bulletin R-310
Gimp Security Vulnerabilities
http://www.ciac.org/ciac/bulletins/r-310.shtml

概要

GIMP には複数の整数オーバーフローの脆弱性があります。結果として、
遠隔の第三者が細工したメディアファイルをユーザに開かせることで任
意のコードを実行する可能性があります。

この問題は、使用している OS のベンダや配布元が提供する修正済みの
バージョンに GIMP を更新することで解決します。

関連文書 (英語)

GIMP: The GNU Image Manipulation Program Version 2.2
NEWS 2.2
http://developer.gimp.org/NEWS-2.2

Debian Security Advisory DSA-1335-1
gimp -- several vulnerabilities
http://www.debian.org/security/2007/dsa-1335

【5】Trillian Instant Messenger にバッファオーバーフローの脆弱性

情報源

US-CERT Vulnerability Note VU#786920
Trillian Instant Messenger client fails to properly handle malformed URIs
http://www.kb.cert.org/vuls/id/786920

CIAC Bulletin R-306
Trillian Instant Messenger Client Vulnerability
http://www.ciac.org/ciac/bulletins/r-306.shtml

概要

Cerulean Studios の Trillian Instant Messenger には、URI の処理
においてバッファオーバーフローの脆弱性があります。結果として、遠
隔の第三者が細工した HTML 文書をユーザに Web ブラウザで開かせる
ことで、ユーザの権限で任意のコードを実行する可能性があります。

対象となるバージョンについては Cerulean Studios が提供する情報を
参照してください。

この問題は、Cerulean Studios が提供する修正済みのバージョン
3.1.7.0 に Trillian Instant Messenger を更新することで解決します。

関連文書 (英語)

Cerulean Studios' Blog
Trillian 3.1.7.0
http://blog.ceruleanstudios.com/?p=170

【6】Nessus に脆弱性

情報源

Japan Vulnerability Notes JVN#34058672
Nessus のレポート出力機能において任意のスクリプトが実行される脆弱性
http://jvn.jp/jp/JVN%2334058672/index.html

概要

Tenable Network Security が提供する脆弱性スキャナである Nessus 
のレポート出力機能には脆弱性があります。結果として、出力された 
HTML ファイルを閲覧した際に、任意のスクリプトが実行される可能性
があります。

対象となるバージョンは以下の通りです。

- Nessus 3.0.5 for Microsoft Windows およびそれ以前

詳細については、Tenable Network Security が提供する情報を参照し
てください。

この問題は、Tenable Network Security が提供する修正済みのバージョ
ン 3.0.6 に Nessus を更新することで解決します。

関連文書 (日本語)

独立行政法人 情報処理推進機構 セキュリティセンター
JVN#34058672 「Nessus」のレポート出力機能において任意のスクリプトが実行される脆弱性
http://www.ipa.go.jp/security/vuln/documents/2007/JVN_34058672.html

関連文書 (英語)

Nessus
26th June, 2007: Nessus 3.0.6 released
http://www.nessus.org/news/#56

■今週のひとくちメモ

○PHP 4 のサポート終了

PHP 4 のサポートが 2007年12月31日で終了します。PHP 4 を利用して
いるサーバ管理者及び PHP 4 で稼働するプログラムの開発者は、PHP 5 
への移行を検討することをおすすめします。

なお、The PHP Group からは「PHP 4 から PHP 5 への移行」のマニュ
アルが提供されています。詳細については、以下の情報を参照してくだ
さい。

参考文献 (日本語)

PHP マニュアル
付録 D. PHP 4 から PHP 5 への移行
http://jp.php.net/manual/ja/migration5.php

参考文献 (英語)

PHP: News Archive - 2007
PHP 4 end of life announcement
http://jp.php.net/archive/2007.php#2007-07-13-1

■JPCERT/CC からのお願い