NetCOBOL for .NETへのWindowsの脆弱性[MS04-028]の影響について (2004年9月28日)
本情報は、該当製品におけるセキュリティ上の問題について、広報日までに、コンピュータ緊急対応センター「CERT/CC」に報告されたものもしくは、弊社独自の調査により検出されたものに基づき、情報を提供するものです。
また、該当製品には他社が開発した製品が含まれている場合もあり、その製品については、他社から提供された情報をそのまま掲載している場合があります。
本ドキュメントに関して、弊社は、本情報の正確性、完全性あるいは特定目的への適合性について何ら保証するものではなく、本情報に従い対応を行った(あるいは行わなかった)ことによりお客様に生じた損害について一切の責任を負いかねます。
お客様には、常に最新の情報をご確認いただきますようお願い申し上げます。
本セキュリティ広報を再配布する際には、全文を転載すること。
[概要]
| 問題点: | NetCOBOL for .NETにはWindowsの脆弱性[MS04-028]を含むソフトウェアが同梱されています。 | ||||
| 製品提供元: | 富士通株式会社 | ||||
| 該当製品: |
| ||||
| 該当システム: | FM Vシリーズ, PRIMERGY/GRANPOWER5000, CELSIUS, IBM PC/AT互換機 | ||||
| システムへの影響: | リモートからコードが実行される可能性があります。 | ||||
| 一時的な回避方法: | 4.に示します。 | ||||
| パッチ: | あり。(マイクロソフト社から提供済み、提供範囲は「5.パッチ情報」を参照) |
1. 背景
2004年9月15日にマイクロソフト社よりWindowsの脆弱性「JPEG処理(GDI+)のバッファオーバーランにより、コードが実行される」(MS04-028)が公表されました。この脆弱性の最大深刻度は「緊急」です。
NetCOBOL for .NETにはこの脆弱性を含むソフトウェアが同梱されており、これらのソフトウェアに対してセキュリティ修正プログラムを適用する必要があります。
Windowsの脆弱性[MS04-028]に関しては、マイクロソフト社の以下のページを参照してください。
http://technet.microsoft.com/ja-jp/security/bulletin/ms04-028
NetCOBOLについては以下のページを参照してください。
http://software.fujitsu.com/jp/cobol/index.html
2. 該当システムの範囲
| 該当コマンド/ファイル | 製品名 | 対象OS |
|---|---|---|
| Microsoft .NET Framework version 1.0 | NetCOBOL Base Edition for .NET V1.0L10, V1.1L10 | Windows NT 4.0, 2000, XP |
| Microsoft .NET Framework version 1.0 | NetCOBOL Base Edition クライアント運用パッケージ for .NET V1.0L10, V1.1L10 | Windows 98, ME, NT 4.0, 2000, XP |
| Microsoft .NET Framework version 1.0 | NetCOBOL Base Edition サーバ運用パッケージ for .NET V1.0L10, V1.1L10 | Windows NT 4.0, 2000 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Base Edition for .NET V2.0L10 | Windows 2000, XP, Server 2003 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Base Edition 開発パッケージ for .NET V2.1L10 | Windows 2000, XP, Server 2003 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Base Edition クライアント運用パッケージ for .NET V2.0L10, V2.1L10 | Windows 98, ME, NT 4.0, 2000, XP |
| Microsoft .NET Framework version 1.1 | NetCOBOL Base Edition サーバ運用パッケージ for .NET V2.0L10, V2.1L10 | Windows NT 4.0, 2000, Server 2003 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Standard Edition for .NET V2.0L10 | Windows 2000, XP, Server 2003 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Standard Edition 開発パッケージ for .NET V2.1L10 | Windows 2000, XP, Server 2003 |
| Microsoft .NET Framework version 1.1 | NetCOBOL Standard Edition クライアント運用パッケージ for .NET V2.0L10, V2.1L10 | Windows 98, ME, NT 4.0, 2000, XP |
| Microsoft .NET Framework version 1.1 | NetCOBOL Standard Edition サーバ運用パッケージ for .NET V2.0L10, V2.1L10 | Windows NT 4.0, 2000, Server 2003 |
| Microsoft Visual Basic .NET Standard | NetCOBOL Base Edition for .NET V1.0L10, V1.1L10 | Windows NT 4.0, 2000, XP |
| Microsoft Visual Studio .NET Integrated Development Environment 2003 | NetCOBOL Base Edition for .NET V2.0L10 | Windows 2000, XP, Server 2003 |
| Microsoft Visual Studio .NET Integrated Development Environment 2003 | NetCOBOL Base Edition 開発パッケージ for .NET V2.1L10 | Windows 2000, XP, Server 2003 |
| Microsoft Visual Studio .NET Integrated Development Environment 2003 | NetCOBOL Standard Edition for .NET V2.0L10 | Windows 2000, XP, Server 2003 |
| Microsoft Visual Studio .NET Integrated Development Environment 2003 | NetCOBOL Standard Edition 開発パッケージ for .NET V2.1L10 | Windows 2000, XP, Server 2003 |
3. 発見されている問題点
NetCOBOL for .NETには実行環境として以下のソフトウェアが同梱されています。
・Microsoft .NET Framework version 1.0 (NetCOBOL for .NET V1.0およびV1.1の場合)
・Microsoft .NET Framework version 1.1 (NetCOBOL for .NET V2.0およびV2.1の場合)
また、NetCOBOL for .NETの開発環境製品(クライアント運用パッケージまたはサーバ運用パッケージ以外)には、統合開発環境を提供するために以下のソフトウェアが同梱されています。
・Microsoft Visual Basic .NET Standard (NetCOBOL for .NET V1.0およびV1.1の場合)
・Microsoft Visual Studio .NET Integrated Development Environment 2003(NetCOBOL for .NET V2.0およびV2.1の場合)
これらのソフトウェアはWindowsの脆弱性[MS04-028]を含んでおり、マイクロソフト社が提供するセキュリティ更新プログラムを適用する必要があります。
特に、開発環境製品に同梱されるVisual BasicおよびVisual Studioにつきましては、WindowsUpdateの対象外であり、セキュリティ更新プログラムを手動で適用する必要があることにご注意ください。
4. 一時的な回避方法
マイクロソフト社がhttp://technet.microsoft.com/ja-jp/security/bulletin/ms04-028において公開している情報を参照してください。
マイクロソフト社よりセキュリティ更新プログラムが提供されています。セキュリティ更新プログラムの適用に関しては、「5. パッチ情報」を参照してください。
5. パッチ情報
マイクロソフト社よりセキュリティ更新プログラムが提供されています。
http://www.microsoft.com/japan/protect/computer/updates/bulletins/200409_jpeg_tool.mspxにおいて公開されている情報に従って対処してください。
NetCOBOL for .NET V1.0/ V1.1の開発環境製品に含まれるMicrosoft Visual Basic .NET Standardにつきましては、上記ページのMirosoft Visual Basic .NET 2002に対する対処を、NetCOBOL for .NET V2.0/ V2.1の開発環境製品に含まれるMicrosoft Visual Studio .NET Integrated Development Environment 2003につきましては、上記ページのMirosoft Visual Studio .NET 2003に対する対処を適用してください。
6. 改版履歴
- 2004年9月28日 新規掲載
