セキュリティホール情報<2001/07/30> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2001/07/30>

脆弱性と脅威 セキュリティホール・脆弱性

<Microsoft>
▽ Windows
Windows Media Player .NSC ファイル処理に未チェックのバッファが含まれる問題 (MS01-042)

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-042


<Linux>
▼ vipw
/etc/shadow のパーミッションが正しくセットされない問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=732

Red Hat Linux 7.1 の vipw コマンドには /etc/shadow ファイルを編集するオプションが追加されましたが、/etc/shadow ファイルを編集したあと、その /etc/shadow のパーミッションが world-readable になり、全てのユーザが参照可能になります。

□ 関連情報:

Red Hat, Inc. Red Hat Security Advisory RHSA-2001:095-04 New util-linux packages available to fix vipw
http://www.redhat.com/support/errata/RHSA-2001-095.html

<Unix共通>
▼ OpenSSL
OpenSSL に PRNG が適切にランダム化されていない問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=726

OpenSSL 0.9.6a 以前には PRNG(pseudo-random numbergenerator) が適切にランダム化されていない問題が発見されました。出力される PRNG リクエストを分析することで、攻撃者が PRNG の内部 state を再構築し、PRNG の出力を予測できるようになります。

□ 関連情報:

http://marc.theaimsgroup.com/?l=openssl-announce&m=98655255404174&w=2
2001/7/27 更新

http://marc.theaimsgroup.com/?l=openssl-announce&m=99470949306468&w=2
2001/7/27 更新

OpenSSL Security Advisory [10 July 2001] PRNG weakness in versions up to 0.9.6a
http://www.openssl.org/news/secadv_prng.txt

Red Hat, Inc. Red Hat Security Advisory RHSA-2001:051-18 Updated openssl packages available 2001/7/27 更新
http://www.redhat.com/support/errata/RHSA-2001-051.html

MandrakeSoft Security Advisory MDKSA-2001:065 openssl update 2001/7/27 更新
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-065.php3?dis=SNF7.2

▽ telnetd
telnetd に含まれる脆弱性に関する注意喚起。BSDをベースとするtelnetdには、バッファオーバーフロー攻撃によりルート権限を奪われる脆弱性が存在する。

http://www.jpcert.or.jp/at/2001/at010016.txt
http://www.cert.org/advisories/CA-2001-21.html


<FreeBSD>
▽ telnetd
telnetd のバッファオーバーフロー脆弱性に対応したパッチが更新された。

ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-01:49.telnetd.v1.1.asc


<その他の製品>
▽ Sambar
Sambar サーバにパスワードを解読できる脆弱性の問題。

Sambar Server password decryption
http://www.securityfocus.com/archive/1/199418
http://www.security.nnov.ru/advisories/sambarpass.asp


<セキュリティトピックス>
▼ 警告・注意情報
JPCERT/CC telnetd に含まれる脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010016.txt

▼ トピック
『SirCam』ワームの拡大がやや下火に
http://cnet.sphere.ne.jp/News/2001/Item/010727-2.html

▼ トピック
FBIが「サーカム」被害、内部文書が流出
http://www.mainichi.co.jp/digital/netfile/archive/200107/26-3.html

▼ 警告・注意情報
CERT/CC CA-2001-22 W32/Sircam Malicious Code
http://www.cert.org/advisories/CA-2001-22.html

▼ 警告・注意情報
CERT/CC CA-2001-23 Continued Threat of the "Code Red" Worm
http://www.cert.org/advisories/CA-2001-23.html

▼ 警告・注意情報
IPA 8月 5日発病:「VBS/Haptime」ウイルスに注意
http://www.ipa.go.jp/security/topics/newvirus/haptime.html

▼ 警告・注意情報
JPCERT/CC Microsoft IIS サーバの脆弱性を使って伝播するワーム
http://www.jpcert.or.jp/at/2001/at010014.txt

▼ 統計
JPCERT/CC インシデント報告件数の推移
http://www.jpcert.or.jp/stat/reports.html

▼ 統計
JPCERT/CC JPCERT/CC 活動概要 [ 2001年4月1日 〜 2001年6月30日 ]
http://www.jpcert.or.jp/pr/2001/pr010005.txt

▼ トピック
SirCamウイルス,ヤマは越えたが「引き続き警戒を」
http://www.zdnet.co.jp/news/0107/27/e_sircam.html

▼ 警告・注意情報
JPCERT/CC SSH のパスワード認証の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2001/at010015.txt

▼ リリース情報
SAINT 3.3.6
http://wwdsilx.wwdsi.com/saint/


【株式会社ソフテック提供: http://sid.softek.co.jp/

【詳細な情報サービスのお申し込みはこちら
http://vagabond.co.jp/cgi-bin/mm/mmid3.cgi?sof01_sdx

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  5. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×