<<< JPCERT/CC WEEKLY REPORT 2006-11-29 >>>
■11/19(日)〜11/25(土) のセキュリティ関連情報
目 次
【1】Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性
【2】CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性
【3】gv にバッファオーバフローの脆弱性
【4】NaviCOPA Web サーバにバッファオーバーフローの脆弱性
【5】eyeOS にクロスサイトスクリプティングの脆弱性
【6】phpComasy にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】暗号化ファイルシステム使用時の注意
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2006/wr064601.txt
https://www.jpcert.or.jp/wr/2006/wr064601.xml
【1】Apple Mac OS X に DMG ファイルの取扱いに関する脆弱性
情報源
US-CERT Vulnerability Note VU#367424
Apple Mac OS X fails to properly handle corrupted DMG image structures
http://www.kb.cert.org/vuls/id/367424
概要
Apple Mac OS X の com.apple.AppleDiskImageController には、DMG ファイルを取り扱う際にメモリ破損が発生する脆弱性があります。結果 として、遠隔の第三者が任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃をしたりする可能性があります。なお、すでに攻撃方法に関 する情報が公開されています。 対象となる製品は以下の通りです。 - Mac OS X 2006年11月28日現在、セキュリティアップデートは提供されていません。 回避策としては以下の方法があります。 - 信頼できないサイトから DMG ファイルをダウンロードしない - Safari の設定において、「ダウンロード後、"安全な"ファイ ルを開く」を無効にする
関連文書 (日本語)
JP Vendor Status Notes JVNVU#367424
Apple Mac OS X における DMG ファイルの取扱いに関する脆弱性
http://jvn.jp/cert/JVNVU%23367424/index.html
【2】CA BrightStor ARCserve Tape Engine の RPC リクエスト処理に脆弱性
情報源
US-CERT Vulnerability Note VU#437300
Computer Associates BrightStor ARCserve Backup Tape Engine fails to properly handle RPC requests
http://www.kb.cert.org/vuls/id/437300
概要
BrightStor ARCserve Backup 製品を使用してテープドライブにバック アップを取るための機能である CA BrightStor ARCserve Tape Engine には、RPC リクエスト処理に脆弱性があります。結果として、遠隔の第 三者が SYSTEM 権限で任意のコードを実行する可能性があります。 2006年11月28日現在、この問題の修正プログラムはリリースされており ません。回避策として、ファイアウォールなどで TCP 6502 番ポートを フィルタリングする方法があります。
【3】gv にバッファオーバフローの脆弱性
情報源
CIAC Bulletin R-053
gv
http://www.ciac.org/ciac/bulletins/r-053.shtml
概要
X Window System 向けの PostScript と PDF 用のビューアである gv の PostScript 解析コードには、バッファオーバーフローの脆弱性がありま す。結果として、遠隔の第三者が任意のコードを実行する可能性があり ます。 この問題は、使用している OS のベンダや配布元が提供する修正済みの パッケージに gv を更新することで解決します。
関連文書 (英語)
Debian Security Advisory DSA-1214-1
gv -- buffer overflow
http://www.debian.org/security/2006/dsa-1214
【4】NaviCOPA Web サーバにバッファオーバーフローの脆弱性
情報源
US-CERT Vulnerability Note VU#693992
NaviCOPA Web Server fails to properly handle certain HTTP requests
http://www.kb.cert.org/vuls/id/693992CIAC Bulletin R-054
NaviCOPA Web Server Vulnerability
http://www.ciac.org/ciac/bulletins/r-054.shtml
概要
Microsoft Windows 上で動作する HTTP サーバであるNaviCOPA Web サー バにはバッファオーバーフローの脆弱性があります。結果として、遠隔 の第三者が任意のコードを実行する可能性があります。 この問題は、NaviCOPA Web サーバを V2.01 に更新することで解決しま す。
関連文書 (英語)
Web Server - NaviCOPA
Web Server - Download Free Trial Software - NaviCOPA
http://www.navicopa.com/download.html
【5】eyeOS にクロスサイトスクリプティングの脆弱性
情報源
JP Vendor Status Notes JVN#46244305
eyeOS におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2346244305/index.html
概要
Web ベースのデスクトップ環境を提供する eyeOS には、クロスサイト スクリプティングの脆弱性があります。結果として、遠隔の第三者がユー ザのブラウザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - eyeOS バージョン 0.8.10 から 0.8.15 この問題は、配布元が提供する修正済みのバージョン 0.9.0 またはそれ 以降に eyeOS を更新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#46244305「eyeOS」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_46244305_eyeOS.html
関連文書 (英語)
eyeOS Downloads
http://eyeos.org/downloads
【6】phpComasy にクロスサイトスクリプティングの脆弱性
情報源
JP Vendor Status Notes JVN#57280612
phpComasy におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2357280612/index.html
概要
コンテンツ管理システム phpComasy には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行したり、セッション・ハイジャックを行っ たりする可能性があります。 対象となるバージョンは以下の通りです。 - phpComasy 0.7.9-pre およびそれ以前 この問題は、配布元が提供する修正済みのバージョンに phpComasy を更 新することで解決します。
関連文書 (日本語)
独立行政法人 情報処理推進機構 セキュリティセンター
JVN#57280612「phpComasy」におけるクロスサイト・スクリプティングの脆弱性
http://www.ipa.go.jp/security/vuln/documents/2006/JVN_57280612_phpComasy.html
関連文書 (英語)
phpComasy
phpcomasy
http://www.phpcomasy.com/index.php?id=18
■今週のひとくちメモ
○暗号化ファイルシステム使用時の注意
暗号化ファイルシステムは、ディスク等のメディアが紛失や盗難に遭っ た場合に於いてデータの機密を保持するのに有効です。 ただし、暗号化ファイルシステムの使用にあたっては、その機能や特徴 を正しく把握することが大切です。主な注意点を以下に示します。 - 暗号化に使用している鍵やパスフレーズの管理に注意する - メモリ等に保持されている鍵の存在に注意する - ファイルシステム内のデータを使用しないときは、ファイルシステム をマウントしない - 侵入などに対しては、ファイル単位での暗号化など別途対策が必要で あることに留意する
参考文献 (日本語)
JPCERT/CC REPORT 2006-11-22号 [今週の一口メモ]
暗号化ファイルシステムの導入
http://www.jpcert.or.jp/wr/2006/wr064501.htmlMicrosoft サポートオンライン
暗号化ファイル システムの最善の使用方法
http://support.microsoft.com/kb/223316/ja
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/