セキュリティホール情報<2002/01/29> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.21(火)

セキュリティホール情報<2002/01/29>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▽ Mozilla/Netscape Communicator
 Mozilla に Cookie が奪取可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985

Mozilla は Netscape Communications 社が開発している Web ブラウザです。この Mozilla は特定の URL を適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからCookie を奪取される可能性があります。

□ 関連情報:

 mozilla.org
 Mozilla 0.9.7 Release Notes
http://www.mozilla.org/releases/mozilla0.9.7/

 Netscape Security Center by VeriSign: Security on the In ternet Security News
http://home.netscape.com/security/

The Unofficial Cookie FAQ
http://www.cookiecentral.com/faq/


<UNIX共通>
▼ sniffit
 sniffit に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=986

 sniffit はネットワークパケットをモニタリングするためのツールです。この sniffit は実装上の原因により、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードを実行される可能性があります。

□ 関連情報:

 sniffit Page
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

▼ sort
 sort コマンドにシンボリックリンク攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=491

 sort はテキストファイルの行をソートするコマンドです。この sort コマンドは予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。

□ 関連情報:

 FreeBSD Security Advisory
 SA-01:13 sort uses insecure temporary files
http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/678

 Caldera International, Inc. Security Advisory 2002/01/28 追加
 CSSA-2002-SCO.2 Open UNIX, UnixWare 7: sort creates temporary files insecurely
ftp://stage.caldera.com/pub/security/openunix/CSSA-2002-SCO.2/CSSA-2002-SCO.2.txt

▼ squid
 squid に DoS 攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=822

 squid は高性能な代理キャッシュサーバです。この squid は Put リクエストを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受ける可能性があります。

□ 関連情報:

 Squid Web Proxy Cache
http://www.squid-cache.org/

 Squid Bugzilla
http://www.squid-cache.org/bugs/show_bug.cgi?id=233

 Vine Linux 2001/11/06 追加
squid にセキュリティホール
http://www.vinelinux.org/errata/2x/20011024-2.html

 SuSE Security Announcement 2001/11/10 追加
 SuSE-SA:2001:037 squid
http://www.suse.de/de/support/security/2001_037_squid_txt.txt

 Turbolinux Security Announcement 2002/01/28 追加
 TL-Security-Announce] squid-2.4.STABLE2-3 TLSA2002003
http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000447.html


<Linux共通>
▼ uucp
 uucp に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910

 uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。

□ 関連情報:

 The UUCP Project
http://www.uucp.org/index.shtml

 Caldera International, Inc. Security Advisory
 CSSA-2001-033.0 Linux - uucp argument handling problems
http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt

 MandrakeSoft Security Advisory 2001/10/08 追加
 MDKSA-2001:078 uucp
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3?

 SuSE Security Announcement 2001/11/16 追加
 SuSE-SA:2001:38 uucp
http://www.suse.de/de/support/security/2001_038_uucp_txt.txt

 Red Hat Linux Errata Advisory 2002/01/18 追加
 RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucp
https://www.redhat.com/support/errata/RHSA-2001-165.html

 Common Vulnerabilities and Exposures (CVE) 2002/01/18追加
 CAN-2001-0873
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
 Hewlett-Packard IT リソース・センタ
http://itrc.hp.com


▼ at
 at に権限の昇格が可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971

 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。

□ 関連情報:

 Debian GNU/Linux ─ Security Information
 DSA-102-1 at:daemon exploit
http://www.debian.org/security/2002/dsa-102

 SuSE Security Announcement
 SuSE-SA:2002:003 at
http://www.suse.de/de/support/security/2002_003_at_txt.txt

 MandrakeSoft Security Advisory 2002/01/22 追加
 MDKSA-2002:007 at
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1

 Red Hat Linux Errata Advisory 2002/01/24 追加
 RHSA-2002:015-13 Updated at package available
http://www.redhat.com/support/errata/RHSA-2002-015.html

 Turbolinux Japan Security Center 2002/01/28 追加
 at ローカルユーザーによるるroot権限奪取
http://www.turbolinux.co.jp/security/at-3.1.8-9.html

▼ xinetd
 xinetd に複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=796

 xinetd は inetd の スーパーデーモン版です。この xinetd は実装上の原因により、複数の弱点が存在します。攻撃者にこれらの弱点を利用された場合、リモートから DoS 攻撃を受けたり root 権限を奪取される可能性があります。

□ 関連情報:

 Red Hat Linux Errata Advisory
 RHSA-2001:109-05 Updated xinetd package available for Red Hat Linux 7 and 7.1
http://www.redhat.com/support/errata/RHSA-2002-007.html

 MandrakeSoft Security Advisory 2001/09/30 追加
 MDKSA-2001:076 xinetd update
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-076.php3?

 Turbolinux Security Announcement 2002/01/28 追加
  [TL-Security-Announce] xinetd-2.3.3-2 TLSA2002004
http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000448.html

▼ enscript
 enscript にシンボリックリンク攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=976

 enscript は PostScript に変換するためのプログラムです。この enscript は予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。

□ 関連情報:

 enscript - GNU Project - Free Software Foundation (FSF)
http://www.gnu.org/software/enscript/enscript.html

 enscript : GNU Free Software Directory
http://www.gnu.org/directory/enscript.html

 Red Hat Linux Errata Advisory
 RHSA-2002:012-06 Updated enscript packages fix temporary file handling vulnerabilities
http://www.redhat.com/support/errata/RHSA-2002-012.html

 Debian GNU/Linux ─ Security Information
 DSA-105-1 enscript: insecure temporary files
http://www.debian.org/security/2002/dsa-105

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
http://itrc.hp.com


【更に詳細な情報サービスのお申し込みはこちら
   http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

  2. ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

    ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

  3. 「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

    「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

  4. Savitech製USBオーディオドライバに、ルートCA証明書を導入される脆弱性(JVN)

  5. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  6. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  7. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  8. トレンドマイクロの管理マネージャに複数の脆弱性(JVN)

  9. 2017年第3四半期はダウンローダーの検出が急増、前四半期の約31倍に(IPA)

  10. Apple IDの不正使用があったとし、セキュリティ質問再設定のリンクに誘導(フィッシング対策協議会)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×