セキュリティホール情報<2002/01/30> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.22(水)

セキュリティホール情報<2002/01/30>

脆弱性と脅威 セキュリティホール・脆弱性

<Linux共通>
▽ rsync
 rsyncで、任意のスタックにNullコード記述することにより、プログラムフローをコントロールすることが可能になる問題が発見された。この問題を利用することによりルート権限を奪取することが可能になる。現在、この問題が修正されたアップデートが公開されている。[更新]

 LINUX SECURITY
 EnGarde: rsync' vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-1853.html

 LINUX SECURITY
 SuSE: 'rsync' vulnerability
http://www.linuxsecurity.com/advisories/caldera_advisory-1854.html

 LINUX SECURITY
 SuSE: 'rsync' Remote command execution
http://www.linuxsecurity.com/advisories/suse_advisory-1855.html

 LINUX SECURITY
 CONECTIVA LINUX SECURITY ANNOUNCEMENT
http://www.linuxsecurity.com/advisories/other_advisory-1856.html

 Slackware: 'rsync' Remote command execution
http://www.linuxsecurity.com/advisories/slackware_advisory-1858.html

 Debian: 'rsync' Remote command execution
http://www.linuxsecurity.com/advisories/debian_advisory-1857.html

 Red Hat Linux Errata Advisory
 RHSA-2002:018-05 New rsync packages available
https://www.redhat.com/support/errata/RHSA-2002-018.html

 CONECTIVA LINUX
 CLA-2002:458 : rsync : Remote vulnerability
http://www.securityfocus.com/advisories/3828

 Mandrake: 'rsync' Remote command execution
http://www.linuxsecurity.com/advisories/mandrake_advisory-1862.html

▼ enscript
 enscript にシンボリックリンク攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=976

 enscript は PostScript に変換するためのプログラムです。この enscript は予測可能なテンポラリファイルを作成することが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルからシンボリックリンク攻撃を受ける可能性があります。

□ 関連情報:

 enscript - GNU Project - Free Software Foundation (FSF)
http://www.gnu.org/software/enscript/enscript.html

 enscript : GNU Free Software Directory
http://www.gnu.org/directory/enscript.html

 Red Hat Linux Errata Advisory
 RHSA-2002:012-06 Updated enscript packages fix temporary file handling vulnerabilities
http://www.redhat.com/support/errata/RHSA-2002-012.html

 Debian GNU/Linux ─ Security Information
 DSA-105-1 enscript: insecure temporary files
http://www.debian.org/security/2002/dsa-105

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
http://itrc.hp.com

 Mandrake: 'enscript' Temporary file handling vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-1863.html


<その他の製品>
▽ Snort
 Snort 1.8.3以前のバージョンで、「ICMP Echo」および「ICMP Echo-Reply」に、5バイト以下のパケットを適切に取り扱うことができない問題が発見された。この問題を利用することにより、DoS攻撃が可能になる。

http://xforce.iss.net/alerts/advise108.php

▽ USBメモリー・キー
 IBM 32MB USBメモリー・キーの一部の製品にウイルスが混入しているとの発表があった。このウイルスはWyx(またはEek)と呼ばれる物で、破壊活動もなく、拡散性もないウイルスである。ウイルス自体は、ブートセクターに存在しているが、この製品自体にブート機能が無いため、活動のおそれもない。現在同社では、駆除ユーティリティーの配布を行っている。

http://www-6.ibm.com/jp/pc/support/thinkpad/j020116.html

▽ Tarantella Enterprise 3
 Tarantella Enterprise 3のインストールプロセスに脆弱性が発見された。この問題を利用することにより、攻撃者がインストールを行ったユーザーの権限を使うことが可能になる。

 Tarantella Enterprise 3 gunzip Race Condition Vulnerability
http://www.securityfocus.com/bid/3966

▽ PGPFire
 PGPFireに、外部からフィンガープリントを確認できる問題が発見された。フィンガープリントの情報が、攻撃に利用されるおそれがある。

 PGPFire Desktop Firewall ICMP Fingerprinting Vulnerability
http://www.securityfocus.com/bid/3961


<リリース情報>
▽ InterScan VirusWall
 InterScan VirusWall for UNIX (Solaris版)のPatch2が公開された。今回のアップデートにより、いくつかの問題が修正されている。
http://www.trendmicro.co.jp/support/news/news.asp?id=160

▽ FreeBSD
 FreeBSD 4.5Rがリリースされた。
http://www.jp.freebsd.org/

▽ Mandrake Linux
 Mandrake Linux 8.2ベータをリリース
http://www.linux-mandrake.com/en/82beta.php3

▽ dnstracer
 dnstracer 1.2がリリースされた。
http://www.mavetju.org/unix/general.php

▽ ftpproxy
 ftpproxy 1.1.4がリリースされた。
http://www.ftpproxy.org/

▽ Postfix
 Postfix 1.1.2がリリースされた。
http://www.postfix.org/

▽ xlockmore
 xlockmore 5.03がリリースされた。
http://www.tux.org/~bagleyd/latest/


【更に詳細な情報サービスのお申し込みはこちら
   http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

    Microsoft Windows OS において DLL Hijacking により UAC を回避する手法(Scan Tech Report)

  2. ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

    ランサムウェア「Bad Rabbit」感染に注意喚起、水飲み場攻撃を実行か(IPA)

  3. 「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

    「GNU Wget」にリモートから任意のコードを実行される複数の脆弱性(JVN)

  4. Savitech製USBオーディオドライバに、ルートCA証明書を導入される脆弱性(JVN)

  5. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  6. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  7. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  8. トレンドマイクロの管理マネージャに複数の脆弱性(JVN)

  9. 2017年第3四半期はダウンローダーの検出が急増、前四半期の約31倍に(IPA)

  10. Apple IDの不正使用があったとし、セキュリティ質問再設定のリンクに誘導(フィッシング対策協議会)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×