<プラットフォーム共通> ▽ Mozilla/Netscape Communicator Mozilla に Cookie が奪取可能な問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985 Mozilla は Netscape Communications 社が開発している Web ブラウザです。この Mozilla は特定の URL を適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからCookie を奪取される可能性があります。 □ 関連情報: mozilla.org Mozilla 0.9.7 Release Notes http://www.mozilla.org/releases/mozilla0.9.7/ Netscape Security Center by VeriSign: Security on the In ternet Security News http://home.netscape.com/security/ The Unofficial Cookie FAQ http://www.cookiecentral.com/faq/<UNIX共通> ▼ sniffit sniffit に任意のコードが実行可能な問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=986 sniffit はネットワークパケットをモニタリングするためのツールです。この sniffit は実装上の原因により、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードを実行される可能性があります。 □ 関連情報: sniffit Page http://reptile.rug.ac.be/~coder/sniffit/sniffit.html ▼ sort sort コマンドにシンボリックリンク攻撃を受ける問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=491 sort はテキストファイルの行をソートするコマンドです。この sort コマンドは予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。 □ 関連情報: FreeBSD Security Advisory SA-01:13 sort uses insecure temporary files http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/678 Caldera International, Inc. Security Advisory 2002/01/28 追加 CSSA-2002-SCO.2 Open UNIX, UnixWare 7: sort creates temporary files insecurely ftp://stage.caldera.com/pub/security/openunix/CSSA-2002-SCO.2/CSSA-2002-SCO.2.txt ▼ squid squid に DoS 攻撃を受ける問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=822 squid は高性能な代理キャッシュサーバです。この squid は Put リクエストを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受ける可能性があります。 □ 関連情報: Squid Web Proxy Cache http://www.squid-cache.org/ Squid Bugzilla http://www.squid-cache.org/bugs/show_bug.cgi?id=233 Vine Linux 2001/11/06 追加 squid にセキュリティホール http://www.vinelinux.org/errata/2x/20011024-2.html SuSE Security Announcement 2001/11/10 追加 SuSE-SA:2001:037 squid http://www.suse.de/de/support/security/2001_037_squid_txt.txt Turbolinux Security Announcement 2002/01/28 追加 TL-Security-Announce] squid-2.4.STABLE2-3 TLSA2002003 http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000447.html <Linux共通> ▼ uucp uucp に任意のコードが実行可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910 uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。 □ 関連情報: The UUCP Project http://www.uucp.org/index.shtml Caldera International, Inc. Security Advisory CSSA-2001-033.0 Linux - uucp argument handling problems http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt MandrakeSoft Security Advisory 2001/10/08 追加 MDKSA-2001:078 uucp http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3? SuSE Security Announcement 2001/11/16 追加 SuSE-SA:2001:38 uucp http://www.suse.de/de/support/security/2001_038_uucp_txt.txt Red Hat Linux Errata Advisory 2002/01/18 追加 RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucp https://www.redhat.com/support/errata/RHSA-2001-165.html Common Vulnerabilities and Exposures (CVE) 2002/01/18追加 CAN-2001-0873 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873 Hewlett-Packard IT リソース・センタ 2002/01/28 追加 Hewlett-Packard IT リソース・センタ http://itrc.hp.com ▼ at at に権限の昇格が可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。 □ 関連情報: Debian GNU/Linux ─ Security Information DSA-102-1 at:daemon exploit http://www.debian.org/security/2002/dsa-102 SuSE Security Announcement SuSE-SA:2002:003 at http://www.suse.de/de/support/security/2002_003_at_txt.txt MandrakeSoft Security Advisory 2002/01/22 追加 MDKSA-2002:007 at http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1 Red Hat Linux Errata Advisory 2002/01/24 追加 RHSA-2002:015-13 Updated at package available http://www.redhat.com/support/errata/RHSA-2002-015.html Turbolinux Japan Security Center 2002/01/28 追加 at ローカルユーザーによるるroot権限奪取 http://www.turbolinux.co.jp/security/at-3.1.8-9.html ▼ xinetd xinetd に複数のセキュリティホール [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=796 xinetd は inetd の スーパーデーモン版です。この xinetd は実装上の原因により、複数の弱点が存在します。攻撃者にこれらの弱点を利用された場合、リモートから DoS 攻撃を受けたり root 権限を奪取される可能性があります。 □ 関連情報: Red Hat Linux Errata Advisory RHSA-2001:109-05 Updated xinetd package available for Red Hat Linux 7 and 7.1 http://www.redhat.com/support/errata/RHSA-2002-007.html MandrakeSoft Security Advisory 2001/09/30 追加 MDKSA-2001:076 xinetd update http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-076.php3? Turbolinux Security Announcement 2002/01/28 追加 [TL-Security-Announce] xinetd-2.3.3-2 TLSA2002004 http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000448.html ▼ enscript enscript にシンボリックリンク攻撃を受ける問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=976 enscript は PostScript に変換するためのプログラムです。この enscript は予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。 □ 関連情報: enscript - GNU Project - Free Software Foundation (FSF) http://www.gnu.org/software/enscript/enscript.html enscript : GNU Free Software Directory http://www.gnu.org/directory/enscript.html Red Hat Linux Errata Advisory RHSA-2002:012-06 Updated enscript packages fix temporary file handling vulnerabilities http://www.redhat.com/support/errata/RHSA-2002-012.html Debian GNU/Linux ─ Security Information DSA-105-1 enscript: insecure temporary files http://www.debian.org/security/2002/dsa-105 Hewlett-Packard IT リソース・センタ 2002/01/28 追加 http://itrc.hp.com【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
