セキュリティホール情報<2002/01/17> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

セキュリティホール情報<2002/01/17>

脆弱性と脅威 セキュリティホール・脆弱性

<UNIX共通>
▼ Bugzilla
 Bugzilla に複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=774

 Bugzilla の実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合は、リモートからグループ制限によって保護されているバグデータを奪取される可能性があります。また、この他にも幾つかのセキュリティホールが存在します。

□ 関連情報:

 Bugzilla Security Advisory
 Bugzilla Security Advisory for v2.12/2.13
http://www.mozilla.org/projects/bugzilla/security2_14.html

 Red Hat Linux Errata Advisory
 RHSA-2001:107-07 New bugzilla packages are available
http://www.redhat.com/support/errata/RHSA-2001-107.html

 Bugzilla Security Advisory 2002/01/16 追加
 Bugzilla Security Advisory for v2.14 and v2.15 prior to 2002-Jan-04
http://www.mozilla.org/projects/bugzilla/security2_14_1.html

 Red Hat Linux Errata Advisory 2002/01/16 追加
 RHSA-2002:001-10 Updated bugzilla packages available
http://www.redhat.com/support/errata/RHSA-2002-001.html

▼ glibc
 glibc に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=934

 glibc (GNU C Library) の glob(3) 実装上の原因により、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受けたり、任意のコードの実行されたりする可能性があります。

□ 関連情報:

 Red Hat Linux Errata Advisory
 RHSA-2001:160-09 Updated glibc packages are available
http://www.redhat.com/support/errata/RHSA-2001-160.html

 Hewlett-Packard IT リソース・センター
http://www.itresourcecenter.hp.com/

 Common Vulnerabilities and Exposures (CVE) CAN-2001-0886
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0886

 MandrakeSoft Security Advisory MDKSA-2001:095 glibc
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-095.php3?dis=8.1

 SuSE Security Announcement 2001/12/26 追加
 SuSE-SA:2001:046 glibc/shlibs, in.ftpd
http://www.suse.de/de/support/security/2001_046_glibc_txt.txt

 CIAC 2001/12/27 追加
 M-029: Red Hat glibc Vulnerability
http://www.ciac.org/ciac/bulletins/m-029.shtml

 Turbolinux Japan Security Center 2002/01/07 追加
 glibc 悪意のあるユーザーによるアプリケーションの停止
http://www.turbolinux.co.jp/security/glibc-2.2.4-9.html

 Vine Linux errata 2002/01/07 追加
 glibc にセキュリティホール
http://www.vinelinux.org/errata/2x/20011231.html

 MandrakeSoft Security Advisory 2002/01/09 追加
 MDKSA-2001:095-1 glibc
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-095-1.php3?dis=8.0

 Debian GNU/Linux ─ Security Information 2002/01/16 追加
 DSA-103-1 glibc: buffer overflow
http://www.debian.org/security/2002/dsa-103


<Linux共通>
▼ CIPE
 CIPE に DoS 攻撃を受ける問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=968

 CIPE は暗号化 UDP を利用して IP パケットをトンネリングするプロトコルです。この CIPE は VPN で受信するパケットの扱い方が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受ける可能性があります。

□ 関連情報:

 CIPE CIPE - Crypto IP Encapsulation
http://sites.inka.de/~bigred/devel/cipe.html

 Debian GNU/Linux ─ Security Information
 DSA-104-1 cipe : DoS attack
http://www.debian.org/security/2002/dsa-104

▼ gzip
 gzip に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=969

 gzip は圧縮する際のファイル名を適切にチェックしていないことが原因で、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、ローカルから任意のコードを実行される可能性があります。

□ 関連情報:

 The gzip home page
http://www.gzip.org/

 Debian GNU/Linux ─ Security Information
 DSA-100-1 gzip : Potential buffer overflow
http://www.debian.org/security/2002/dsa-100


<その他の製品>
▽ Pi3Web
 Pi3Webに、バッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートの攻撃者が特殊なリクエストを発することで、サーバーをクラッシュさせることが可能になる。

 SecuriTeam.com
 John Roy Pi3Web Long Request Buffer Overflow Vulnerability
http://www.securiteam.com/windowsntfocus/5QP0H1P60E.html

▽ 4D/eCommerce
 4D/eCommerce 3.5.3に複数の脆弱性が発見された。一つ目はディレクトリーの横断攻撃が可能になる問題。もう一つはリクエストのバッファオーバーフローの脆弱性。これらを利用することで、DoS攻撃などが可能になる。

 SecurityFocus
 MDG Computer Services 4D/eCommerce Directory Traversal Vulnerability
http://www.securityfocus.com/bid/3872

 MDG Computer Services Web Server 4D/eCommerce DoS Vulnerability
http://www.securityfocus.com/bid/3874

▽ www.address.com
 Webメールサービスのwww.address.comで使用されているレジストレーションフォームに、他のアカウントの情報を上書きできる脆弱性が発見された。上書きされた場合、本来の使用者は、そのアカウントを使用できなくなる。

 SecuriTeam.com
 www.address.com Account Hijacking Vulnerability
http://www.securiteam.com/securitynews/5SP0J1P60O.html


<リリース情報>
▽ Slackware
 SlackwareのAdministrators Security Tool Kitがリリースされた。

 SecuriTeam.com
 Slackware Administrators Security Tool Kit
http://www.securiteam.com/tools/5MP0D1P60K.html

▽ RedHat Linux
 xchatのアップデートパッケージがリリースされた。

 RHSA-2002:005-09 Updated xchat packages are available
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-005J.html

▼ Squid
 Squid 2.5 PRE3がリリースされた。
http://www.squid-cache.org/

▼ IP Filter
IP Filter 3.4.23がリリースされた。
http://coombs.anu.edu.au/~avalon/ip-filter.html


<セキュリティトピックス>
▼ 警告・注意情報
 マイクロソフト 「Passport のセキュリティに関する緊急情報」メールに関する最新情報
http://www.microsoft.com/japan/technet/security/topics/passport.asp

▼ 警告・注意情報
 マイクロソフト デマウィルスに気をつけましょう
http://www.microsoft.com/japan/technet/security/topics/hoax.asp


▼ 警告・注意情報
 マイクロソフト Gigger に関する情報
http://www.microsoft.com/japan/technet/security/virus/gigger.asp

▼ 警告・注意情報
 マイクロソフト “.NET ウイルス” に関する情報
http://www.microsoft.com/japan/technet/security/topics/netvirus.asp

▼ ウイルス情報
 トレンドマイクロ 新種ウイルス情報 PE_DONUT.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_DONUT.A


【更に詳細な情報サービスのお申し込みはこちら
   http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx

《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  6. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  7. Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

  8. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  9. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×