 |
≫ |
|
|
|
HP SECURITY BULLETIN
HPSBOV01209 REVISION: 0
SSRT5956 改訂0 HP OpenVMS Secure Web Browser Mozilla アプリケーションのリモート非認証特権
注意: 本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
以下のセキュリティ報告情報に従って、できるだけ速やかに対処してください。
初期リリース: 2005年6月28日
潜在的セキュリティ被害: システム特権のリモートエスカレーション
発信元: HEWLETT-PACKARD COMPANY
HP Software Security Response Team
脆弱性サマリ:
いくつかの潜在的脆弱性が Mozilla 1.7.8 で修正され、Secure Web Browser for
HP OpenVMS Alpha に組み込まれました。
背景のセクションに、修正された問題と Mozilla Foundation Security Advisory
のリファレンス番号を記載しています。
リファレンス: CAN-2005-1476 CAN-2005-1477 CAN-2005-1531 CAN-2005-1532
サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。
Secure Web Browser V1.7-7 for HP OpenVMS Alpha
背景:
本セキュリティ報告のPGF署名入りバージョンについては、security-alert@hp.com
までお問い合わせください。
以下のセキュリティ問題については、Mozilla 1.7.8で対処されました。
MFSA 2005-33 JavaScript の「ラムダ」置き換えにより、メモリの内容が読み出される
MFSA 2005-35 ブロックされた「javascript:」形式のポップアップを表示する際に、
誤った特権付きコンテキストが用いられる
MFSA 2005-36 グローバルスコープ汚染を通じたクロスサイトスクリプティング
MFSA 2005-37 「javascript:」形式の favicon を通じたコードの実行
MFSA 2005-38 検索プラグインを通じたクロスサイトスクリプティング
MFSA 2005-40 インストールオブジェクトのインスタンスチェック欠落
MFSA 2005-41 DOMプロパティの上書きを通じた特権の拡大
解決策:
Secure Web Browser V1.7-8 for OpenVMS Alpha のウェブキットは、
以下のサイトからダウンロード可能です。
http://h71000.www7.hp.com/openvms/products/ips/cswb/cswb_download.html
ダウンロードファイル:
CSWB-OPENVMS-ALPHA-V178.SFX_AXPEXE (自動解凍式 PCSI キット)
報告リビジョン履歴:
改訂0 - 2005年6月28日
- 初期リリース
サポート: さらなる情報については、HPサービスサポートチャネルへお問
い合わせください。
レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポート
するには、security-alert@hp.comへemailをお送りください。HPに送信するセキュ
リティ関連情報(特に脆弱性情報)はPGPを使って暗号化されることを強く推奨します。
セキュリティ警告PGPキーを取得するには、emailの件名を「get key」にして
security-alert@hp.comへお送りください
購読: HP Security Bulletinsをemailにて定期受信を開始するには、以下
へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC
webページ: ITRC security bulletins and patch sign-up
Step1: your IRTC security bulletins and patchesの下で、
- 警告が必要とされるすべてのカテゴリをチェックし、続行します。
Step2: your IRTC operating systemsの下で、
- オペレテーィングシステムの選択がチェックがされているかチェックし、保存します。
既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php
Subscriber's choice for Business: sign-inページでログインします。
Subscriber's Choice: your profile summaryページのEdit Profileから
該当するセクションを更新します。
発行済みSecurity Bulletinsを参照するには、
https://www.itrc.hp.com/service/cki/secBullArchive.doへアクセスしてください。
* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault
システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。
「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」
------------------------------------------------------------------
(c) Copyright 2005 Hewlett-Packard Development Company, L.P.
Hewlett-Packard Companyは、ここに含まれている技術上または編集上の誤り、
もしくは欠落などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。
|
