セキュリティホール情報<2002/01/29> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.23(土)

セキュリティホール情報<2002/01/29>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▽ Mozilla/Netscape Communicator
 Mozilla に Cookie が奪取可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985

Mozilla は Netscape Communications 社が開発している Web ブラウザです。この Mozilla は特定の URL を適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからCookie を奪取される可能性があります。

□ 関連情報:

 mozilla.org
 Mozilla 0.9.7 Release Notes
http://www.mozilla.org/releases/mozilla0.9.7/

 Netscape Security Center by VeriSign: Security on the In ternet Security News
http://home.netscape.com/security/

The Unofficial Cookie FAQ
http://www.cookiecentral.com/faq/


<UNIX共通>
▼ sniffit
 sniffit に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=986

 sniffit はネットワークパケットをモニタリングするためのツールです。この sniffit は実装上の原因により、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードを実行される可能性があります。

□ 関連情報:

 sniffit Page
http://reptile.rug.ac.be/~coder/sniffit/sniffit.html

▼ sort
 sort コマンドにシンボリックリンク攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=491

 sort はテキストファイルの行をソートするコマンドです。この sort コマンドは予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。

□ 関連情報:

 FreeBSD Security Advisory
 SA-01:13 sort uses insecure temporary files
http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/678

 Caldera International, Inc. Security Advisory 2002/01/28 追加
 CSSA-2002-SCO.2 Open UNIX, UnixWare 7: sort creates temporary files insecurely
ftp://stage.caldera.com/pub/security/openunix/CSSA-2002-SCO.2/CSSA-2002-SCO.2.txt

▼ squid
 squid に DoS 攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=822

 squid は高性能な代理キャッシュサーバです。この squid は Put リクエストを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受ける可能性があります。

□ 関連情報:

 Squid Web Proxy Cache
http://www.squid-cache.org/

 Squid Bugzilla
http://www.squid-cache.org/bugs/show_bug.cgi?id=233

 Vine Linux 2001/11/06 追加
squid にセキュリティホール
http://www.vinelinux.org/errata/2x/20011024-2.html

 SuSE Security Announcement 2001/11/10 追加
 SuSE-SA:2001:037 squid
http://www.suse.de/de/support/security/2001_037_squid_txt.txt

 Turbolinux Security Announcement 2002/01/28 追加
 TL-Security-Announce] squid-2.4.STABLE2-3 TLSA2002003
http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000447.html


<Linux共通>
▼ uucp
 uucp に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910

 uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。

□ 関連情報:

 The UUCP Project
http://www.uucp.org/index.shtml

 Caldera International, Inc. Security Advisory
 CSSA-2001-033.0 Linux - uucp argument handling problems
http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt

 MandrakeSoft Security Advisory 2001/10/08 追加
 MDKSA-2001:078 uucp
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3?

 SuSE Security Announcement 2001/11/16 追加
 SuSE-SA:2001:38 uucp
http://www.suse.de/de/support/security/2001_038_uucp_txt.txt

 Red Hat Linux Errata Advisory 2002/01/18 追加
 RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucp
https://www.redhat.com/support/errata/RHSA-2001-165.html

 Common Vulnerabilities and Exposures (CVE) 2002/01/18追加
 CAN-2001-0873
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
 Hewlett-Packard IT リソース・センタ
http://itrc.hp.com


▼ at
 at に権限の昇格が可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971

 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。

□ 関連情報:

 Debian GNU/Linux ─ Security Information
 DSA-102-1 at:daemon exploit
http://www.debian.org/security/2002/dsa-102

 SuSE Security Announcement
 SuSE-SA:2002:003 at
http://www.suse.de/de/support/security/2002_003_at_txt.txt

 MandrakeSoft Security Advisory 2002/01/22 追加
 MDKSA-2002:007 at
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1

 Red Hat Linux Errata Advisory 2002/01/24 追加
 RHSA-2002:015-13 Updated at package available
http://www.redhat.com/support/errata/RHSA-2002-015.html

 Turbolinux Japan Security Center 2002/01/28 追加
 at ローカルユーザーによるるroot権限奪取
http://www.turbolinux.co.jp/security/at-3.1.8-9.html

▼ xinetd
 xinetd に複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=796

 xinetd は inetd の スーパーデーモン版です。この xinetd は実装上の原因により、複数の弱点が存在します。攻撃者にこれらの弱点を利用された場合、リモートから DoS 攻撃を受けたり root 権限を奪取される可能性があります。

□ 関連情報:

 Red Hat Linux Errata Advisory
 RHSA-2001:109-05 Updated xinetd package available for Red Hat Linux 7 and 7.1
http://www.redhat.com/support/errata/RHSA-2002-007.html

 MandrakeSoft Security Advisory 2001/09/30 追加
 MDKSA-2001:076 xinetd update
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-076.php3?

 Turbolinux Security Announcement 2002/01/28 追加
  [TL-Security-Announce] xinetd-2.3.3-2 TLSA2002004
http://www.turbolinux.com/pipermail/tl-security-announce/2002-January/000448.html

▼ enscript
 enscript にシンボリックリンク攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=976

 enscript は PostScript に変換するためのプログラムです。この enscript は予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。

□ 関連情報:

 enscript - GNU Project - Free Software Foundation (FSF)
http://www.gnu.org/software/enscript/enscript.html

 enscript : GNU Free Software Directory
http://www.gnu.org/directory/enscript.html

 Red Hat Linux Errata Advisory
 RHSA-2002:012-06 Updated enscript packages fix temporary file handling vulnerabilities
http://www.redhat.com/support/errata/RHSA-2002-012.html

 Debian GNU/Linux ─ Security Information
 DSA-105-1 enscript: insecure temporary files
http://www.debian.org/security/2002/dsa-105

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
http://itrc.hp.com


【更に詳細な情報サービスのお申し込みはこちら
   http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  6. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  7. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

  10. Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×