セキュリティホール情報<2001/11/05> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2001/11/05>

脆弱性と脅威 セキュリティホール・脆弱性

<Microsoft>
▽ Windows
 Windows の UPnP(ユニバーサルプラグアンドプレイ)に、システムパフォーマンスを低下させるなどの脆弱性。

 Invalid Universal Plug and Play Request can Disrupt System Operation
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-054.asp
http://www.microsoft.com/technet/security/bulletin/MS01-054.asp
 Microsoft Universal Plug and Play Remote DoS Vulnerability
http://www.incidents.org/diary/november01/110101.php#3

 Viralator Remote Command Execution Vulnerability
http://www.incidents.org/diary/november01/110101.php#4
http://archives.neohapsis.com/archives/bugtraq/2001-11/0001.html

▽ ISA Server
 Microsoft Internet Security and Acceleration (ISA) Server に、Dos攻撃を可能にする脆弱性。

 BUGTRAQ
 Microsoft ISA Server Denial of Service Vulnerability
http://www.securityfocus.com/bid/3501

▽ Internet Explorer
 マイクロソフト社のIEには、IPアドレスのドット無し表記によってIEがセキュリティーゾーンを正しく認識しない脆弱性がある。この時、Java SCRIPTの機能により、IEのセキュリティ設定の「スクリプトによる貼りつけ処理の許可」をオンに設定しているとがクリップボードの内容を漏洩する脆弱性。

 Java House TAKAGI, Hiromitsu
http://java-house.etl.go.jp/~takagi/security/misc/jscript-clipboard/test.html


<Red Hat Linux>
▽ kernel
 【更新】Red Hat kernel 2.2 、2.4 には、Dos 攻撃を防御するためのsyncookie(デフォルトではオフになっている) が含まれている。syncookie の脆弱性に関する情報が更新された。

 kernel 2.2 and 2.4: syncookie vulnerability
http://www.redhat.com/support/errata/RHSA-2001-142.html

▽ lpd printing daemon
 lpr package の lpd printing デーモンに、バッファフロー攻撃を可能にする脆弱性。

 The lpd printing daemon provided by the lpr package posses a remotely exploitable hole
http://www.redhat.com/support/errata/RHSA-2001-147.html
(Ver.6.2)


<Macintosh>
▽ iTunes 2.0
 Mac OS Xの「iTunes 2.0」のインストール時に全ファイル消失の可能性。特定の Mac OS X で、iTunes 2.0 をインストールしようとすると、深刻な問題が発生する。すでに、この問題を解消したバージョンを配布中。

 running the iTunes 2.0 installer can result in loss of user data
http://www.apple.com/itunes/download/

▼ Internet Explorer
 ダウンロードしたアプリケーションが自動実行する問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=833

 Macintosh OS X 上で実行される Internet Explorer 5.1 を利用してBinHex 及び MacBinary の二つタイプのファイルをダウンロードした場合、ダウンロードが完了した時点で、ダウンロードされたアプリケーションが自動的に実行します。

□ 関連情報:

 Microsoft Security Bulletin MS01-053
http://www.microsoft.com/technet/security/bulletin/MS01-053.asp

 よく寄せられる質問
http://www.microsoft.com/technet/security/bulletin/MS01-053.asp

 マイクロソフトセキュリティ情報 (日本語) MS01-053 ダウンロードされたアプリケーションが OS X の Internet Explorer 5.1 for Mac で実行される
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-053


<その他の製品>
▼ Compaq Insight Manager XE
 Insight Manager XE にバッファオーバーフロー
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=848

 Compaq Insight Manager XE の全てのバージョンにおいて SNMP 及び DMIをサポートする機能の中にバッファオーバーフローが存在します。攻撃者はこの弱点を利用することにより root 権限を奪取し、任意のコードを実行することが可能になります。

□ 関連情報:

 Compaq Insight Manager XE Software Security Vulnerability
http://www.compaq.com/products/servers/management/mg
 tsw-advisory.html
http://www.compaq.com/products/servers/management/mgtsw-advisory.html


<リリース情報>
▽ RedHat
 kernel 2.2 and 2.4: syncookie vulnerabilityに関する情報がupdateされる。
http://www.redhat.com/support/errata/RHSA-2001-142.html
(Ver.7.1)
http://www.redhat.com/support/errata/RHSA-2001-142.html
(Ver6.2)


▽ RedHat
6.2、7、7.1 のアップデートされた ucd-snmp を入手することができる。

New ucd-snmp package to fix several security vulnerabilities
http://www.redhat.com/support/errata/RHSA-2001-101.html (6.2)

▽ snort
 バグフィックスなど施した、Snort 1.8.2がリリースされる

http://snort.sourcefire.com/


<セキュリティトピックス>
▽ 福岡市市民局市民啓発課を詐称するウィルスメール
 11月2日から福岡市市民局市民啓発課のメールアドレスでNimda のウィルスつきのメールが発信されている。福岡市市では、受信を拒絶するか、即時削除をよびかけている。

 ニムダ入りの電子メールばらまかれる
http://www.city.fukuoka.jp/

▽ マイクロソフト社が、無料のセキュリティ電話サポート
 11月1日、マイクロソフト株式会社は、同社製品に関するセキュリティ問題に対応する無料電話相談窓口「マイクロソフト セキュリティ情報センター」を11月1日(木)付けで設置した。この電話窓口は、もともとは、Code Red、Nimda への特別対応として臨時に設置されたものを常設化したものである。

http://www.microsoft.com/japan/presspass/releases/nl110101stpp.htm


【詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  5. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  6. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×