<UNIX共通> ▼ sudo sudo に root 権限で任意のコードが実行可能な問題[更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=973 sudo はユーザの環境変数を適切にクリアしていないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから root 権限で任意のコードを実行される可能性があります。 □ 関連情報: Sudo Main Page http://www.courtesan.com/sudo/ Debian GNU/Linux ─ Security Information DSA 101-1 sudo: Local root exploit http://www.debian.org/security/2002/dsa-101 Red Hat Linux Errata Advisory RHSA-2002:011-06 Updated sudo packages are available http://www.redhat.com/support/errata/RHSA-2002-011.html Red Hat Linux Errata Advisory RHSA-2002:013-03 Updated sudo packages are available http://www.redhat.com/support/errata/RHSA-2002-013.html SuSE Security Announcement SuSE-SA:2002:002 sudo http://www.suse.de/de/support/security/2002_002_sudo_txt.txt MandrakeSoft Security Advisory MDKSA-2002:003 sudo http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-003.php? FreeBSD Security Advisory FreeBSD-SA-02:06 sudo ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:06.sudo.asc 011: SECURITY FIX: January 17, 2002 http://www.openbsd.org/errata.html#sudo <Linux共通> ▼ at at に権限が昇格可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。 □ 関連情報: Debian GNU/Linux ─ Security Information DSA-102-1 at:daemon exploit http://www.debian.org/security/2002/dsa-102 Debian GNU/Linux ─ Security Information DSA 102-2:New at packages really fix heap corruption vulnerability http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00010.html SuSE Security Announcement SuSE-SA:2002:003 at http://www.suse.de/de/support/security/2002_003_at_txt.txt SecurityFocus AT Maliciously Formatted Time Heap Overflow Vulnerability http://www.securityfocus.com/bid/3886 ▽ enscript enscriptに不正なテンポラリファイルを作成する問題が発見された。この問題は1.6.2-4.1.で修正されている。 RHSA-2002:012-06:Updated enscript packages fix temporary file handling vulnerabilities http://www.redhat.com/support/errata/RHSA-2002-012.html DSA-105-1:enscript creates temporary files insecurely http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00011.html <Debian GNU/Linux> ▽ icecast-server icecast-serverをDebian GNU/Linux 2.2 alias potatoでコンパイルした場合に、正常にコンパイルされず、動作させることが出来ない不具合が発見された。この問題はバージョン1.3.10-1.1.で修正されている。 DSA-089-2:updated i386 icecast-server package http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00012.html <その他の製品> ▼ Cisco Media Gateway Controller Media Gateway Controller にセキュリティ上の問題[更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=795 MGC はデフォルトインストールされている Solaris が原因で、複数のセキュリティホールが存在します。攻撃者にこれらの弱点を利用された場合、リモートからシステムをコントロールされる可能性があります。また、セキュリティ上の問題も存在します。 □ 関連情報: Cisco Security Advisory Hardening of Solaris OS for MGC http://www.cisco.com/warp/public/707/Solaris-for-MGC-pub.shtml Cisco Product Security Incident Response http://www.cisco.com/warp/public/707/sec_incident_response.shtml Cisco - Internet Security Advisories Welcome to the PSI RT (Product Security Incident Response Team) advisories. http://www.cisco.com/go/psirt ▽ PGP Wipe/BCWipe/East-Tec Eraser/etc ネットワークアソシエイツ社のPGP Wipe、Jetico社のBCWipe、East-Tec社のEast-Tec Eraserなどのファイル削除ユーティリティで、ファイルシステムがNTFSの場合に、ファイルが削除しきれずに残ってしまう問題が発見された。もし、ハードディスクなどを処分する際、これらのユーティリティを使っても、データが復旧することができ、情報漏えいに繋がる可能性がある。 BUGTRAQ Kurt Seifried Security Advisory 003 (KSSA-003): Multiple windows file wiping utilities do not properly wipe data with NTFS file systems http://msgs.securepoint.com/cgi-bin/get/bugtraq0201/181.html【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
