セキュリティホール情報<2001/12/28> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.04.23(月)

セキュリティホール情報<2001/12/28>

脆弱性と脅威 セキュリティホール・脆弱性

<Microsoft>
▽ Windows XP/ME/98
ユニバーサル プラグ アンド プレイ (UPnP) に含まれる未チェックのバッファによりシステムが侵害される (MS01-059)(更新)

http://www.microsoft.com/japan/technet/security/frame_prekb.asp?sec_cd=MS01-059

□ 関連情報

 CA-2001-37 Buffer Overflow in UPnP Service On Microsoft Windows翻訳版掲載

http://www.lac.co.jp/security/intelligence/CERT/CA-2001_37.html

▼ Internet Explorer
 IE にローカルファイルが参照可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=941

 Microsoft Internet Explorer の Microsoft.XMLHTTP コンポーネントが原因で、弱点が存在します。攻撃者はリモートからこの弱点を利用して、ローカルファイル (バイナリファイルとテキストファイル) を参照することが可能となります。

□ 関連情報:

 公式な発表はされていません。


<UNIX共通>
▼ sendmail
 Sendmail に root 権限が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=748

 Sendmail はデバッキングコードの入力したデータを適切にチェックしないことが原因で、バッファオーバーフローが存在します。攻撃者はローカルからこの弱点を利用して root 権限を奪取し、任意のコードを実行することが可能となります。

□ 関連情報:

 CIAC L-133: Sendmail Debugger Arbitrary Code Execution Vulnerability
http://www.ciac.org/ciac/bulletins/l-133.shtml

 Sendmail
ftp://ftp.sendmail.org/pub/sendmail/RELEASE_NOTES

 OpenBSD 3.0 errata This is the OpenBSD 3.0 release errata & patch list
http://www.openbsd.org/errata.html#sendmail2

 FreeBSD CVS log for src/contrib/sendmail/src/trace.c
http://www.jp.freebsd.org/cgi/cvsweb.cgi/src/contrib/sendmail/src/trace.c

 Caldera Systems, Inc. Security Advisory 2001/08/28 追加
 CSSA-2001-032.0 Linux - sendmail instant root exploit
http://www.caldera.com/support/security/advisories/CSSA-2001-032.0.txt

 SuSE Security Announcement 2001/08/28 追加
 SuSE-SA:2001:028 sendmail
http://www.suse.de/de/support/security/2001_028_sendmail_txt.txt

 NetBSD Security Advisory 2001/09/18 追加
 SA2001-017 sendmail(8) incorrect command line argument check
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2001-017.txt.asc

 Red Hat Linux Errata Advisory 2001/09/18 追加
 RHSA-2001:106-06 New sendmail packages available which fix a local root exploit
http://www.redhat.com/support/errata/RHSA-2001-106.html

 MandrakeSoft Security Advisory 2001/09/18 追加
 MDKSA-2001:075 sendmail update
http://www.linux-mandrake.com/en/updates/2001/MDKSA-2001-075.php3

 Hewlett-Packard IT リソース・センター 2001/12/27 追加
http://www.itresourcecenter.hp.com/

 CIAC 2001/12/27 追加
 M-028: HPLX-sendmail Vulnerability
http://www.ciac.org/ciac/bulletins/m-028.shtml

 Common Vulnerabilities and Exposures (CVE) 2001/12/27 追加
 CAN-2001-0653
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0653


<AIX>
▽ login
 IBM AIX 5.1のログインモジュールで、ユーザーが無効になっているパスワードでログインすることが可能になる問題が発見された。これによりルート権限が奪取される可能性がある。

 CERT
 IBM AIX login fails to adequately authenticate user when configured to use loadable authentication modules
http://www.kb.cert.org/vuls/id/249491


<Debian Linux>
▽ gpm
 gpm-rootにフォーマットストリングの脆弱性が存在し、攻撃者がルート権限を奪取できる問題が発見された。

 Debian: 'gpm' local root vulnerability
http://www.linuxsecurity.com/advisories/debian_advisory-1770.html


<その他の製品>
▽ 3Com HomeConnect Cable Modem
 3Com HomeConnect Cable Modemに、特殊なGETコマンドを用いることにより、モデムをリセットさせることが出来る問題が発見された。これにより、保存されているデータを消去し、接続を停止することが可能になる。

 CERT
 3Com HomeConnect Cable Modem vulnerable to DoS via long string of characters
http://www.kb.cert.org/vuls/id/500027

▽ Citrix
 Citrix client version 6.01に存在する脆弱性により、全てのファイルの閲覧、変更、トロイの木馬の設置などが可能になる問題が発見された。

Serious Security Flaw in Citrix Client
http://www.securiteam.com/securitynews/6N00Q1P3FM.html

▽ stunnel
stunnelにフォーマットストリングの脆弱性が存在し、メールサーバーに扮した攻撃が可能になる問題が発見された。この問題を解決したバージョンがリリースされている。

 LINUXSECURITY.COM
 There is a format string vulnerability in stunnel.
http://www.linuxsecurity.com/advisories/other_advisory-1769.html


<リリース情報>
▽ Namazu
 Namazu 2.0.10 がリリースされた。バッファオーバーフローの可能性が、可能な限り排除されている。

http://www.namazu.org/

<セキュリティトピックス>
▽ トピックス
 JPCERT/CCが、12/17(月) から 12/21(金) のセキュリティ抜粋レポートを公開した。
http://www.jpcert.or.jp/wr/2001/wr013101.txt

【詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×