<プラットフォーム共通> ▽ Oracle 9iAS Oracle 9iASに複数のバッファオーバーフローの脆弱性が発見された。この問題は、ApacheをベースとしたOracle 9iASのサービスで発生する物で、任意のコードが実行可能になる。 SecurityFocus Multiple Buffer Overflows in Oracle 9iAS http://www.securityfocus.com/archive/1/254426 ▽ Oracle 9iAS Oracle 9iASに含まれるOracleJSPで、任意のコードにアクセスできる問題が発見された。この問題を利用することにより、.javaファイルに含まれるテキスト情報などが参照できる。 SecurityFocus JSP translation file access under Oracle 9iAS http://www.securityfocus.com/archive/1/254435 ▽ Oracle 9i PL/SQLで、任意のライブラリーを認証無しに呼び出すことが可能になる問題が発見された。この問題を利用することにより任意の機能を実行することが可能になる。 SecurityFocus Remote Compromise in Oracle 9i Database Server http://www.securityfocus.com/archive/1/254412 <UNIX共通> ▼ rsync rsync に任意のコードが実行可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=989 rsync はファイル転送プログラムで、リモートマシン上のファイルを高速で同期化できることが特徴です。この rsync の I/O 機能が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードが実行される可能性があります。 □ 関連情報:rsync Home Page http://rsync.samba.org/ Debian GNU/Linux ─ Security Information DSA-106-1 rsync remote exploit http://www.debian.org/security/2002/dsa-106 Red Hat Linux Errata Advisory 2002/02/01 更新 RHSA-2002:018-10 New rsync packages available http://www.redhat.com/support/errata/RHSA-2002-018.html SuSE Security Announcement SuSE-SA:2002:004 rsync http://www.suse.de/de/support/security/2002_004_rsync_txt.txt MandrakeSoft Security Advisory MDKSA-2002:009 rsync http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-009.php?dis=8.1 Turbolinux Japan Security Center 2002/02/01 追加 rsync ローカルユーザーによるroot権限奪取 http://www.turbolinux.co.jp/security/rsync-2.4.6-3.html CIAC 2002/02/01 追加 M-035: Red Hat Linux "rsync" Vulnerability http://www.ciac.org/ciac/bulletins/m-035.shtml Vine Linux errata 2002/02/06 追加 rsync に セキュリティホール http://www.vinelinux.org/errata/2x/20020131.html ▼ xchat xchat に任意の IRC コマンドが実行可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=974 xchat は CTCP PING リクエストを適切にチェックしていないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザになりすまして任意の IRC コマンドを IRC サーバに送信したり DoS 攻撃などをされる可能性があります。 □ 関連情報: xchat - IRC (chat) client for UNIX http://www.debian.org/security/2002/dsa-099 Debian GNU/Linux ─ Security Information DSA-099-1 xchat: IRC session hijacking http://www.debian.org/security/2002/dsa-099 Red Hat Linux Errata Advisory RHSA-2002:005-09 Updated xchat packages are available http://www.redhat.com/support/errata/RHSA-2002-005.html MandrakeSoft Security Advisory MDKSA-2002:006 xchat http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-006.php Common Vulnerabilities and Exposures (CVE) CAN-2002-0006 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0006 Vine Linux errata 2002/02/06 追加 xchat に セキュリティホール http://www.vinelinux.org/errata/2x/20020205-2.html <Linux共通> ▼ uucp uucp に任意のコードが実行可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910 uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。 □ 関連情報: The UUCP Project http://www.uucp.org/index.shtml Caldera International, Inc. Security Advisory CSSA-2001-033.0 Linux - uucp argument handling problems http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt MandrakeSoft Security Advisory 2001/10/08 追加 MDKSA-2001:078 uucp http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3? SuSE Security Announcement 2001/11/16 追加 SuSE-SA:2001:38 uucp http://www.suse.de/de/support/security/2001_038_uucp_txt.txt Red Hat Linux Errata Advisory 2002/01/18 追加 RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucphttps://www.redhat.com/support/errata/RHSA-2001-165.html Common Vulnerabilities and Exposures (CVE) 2002/01/18 追加 CAN-2001-0873 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873 Hewlett-Packard IT リソース・センタ 2002/01/28 追加 Hewlett-Packard IT リソース・センタ http://itrc.hp.com Vine Linux errata 2002/02/06 追加 uucp に セキュリティホール http://www.vinelinux.org/errata/2x/20020205-4.html ▼ at at に権限の昇格が可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。 □ 関連情報: Debian GNU/Linux ─ Security Information DSA-102-1 at:daemon exploit http://www.debian.org/security/2002/dsa-102 SuSE Security Announcement SuSE-SA:2002:003 at http://www.suse.de/de/support/security/2002_003_at_txt.txt MandrakeSoft Security Advisory 2002/01/22 追加 MDKSA-2002:007 at http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1 Red Hat Linux Errata Advisory 2002/01/24 追加 RHSA-2002:015-13 Updated at package available http://www.redhat.com/support/errata/RHSA-2002-015.html Turbolinux Japan Security Center 2002/01/28 追加 at ローカルユーザーによるるroot権限奪取 http://www.turbolinux.co.jp/security/at-3.1.8-9.html Vine Linux 2002/02/06 追加 at のバージョンアップ http://www.vinelinux.org/errata/2x/20020205-3.html <User-mode-Linux> ▽ kernel Linux version patch-2.4.17-8のユーザー取り扱いに脆弱性が発見された。この問題を利用することにより攻撃者が高い権限を奪取できる。 SecuriTeam.com User-mode-Linux Security Flaws http://www.securiteam.com/exploits/5NP041P6AW.html <Astaro Security Linux> ▽ Multiple Astaro Security Linuxに複数の脆弱性が発見された。今回発見されたのは、設計上による問題が5つ、理論上の設計問題が2つ、可能になると思われる設計上の問題が1つ、Astaro社による修正版のリリースが保証されない問題。 SecuriTeam.com Vulnerabilities in Astaro Security Linux http://www.securiteam.com/unixfocus/5LP021P6AG.html <リリース情報> ▽ Lucent VitalSuite Lucent VitalSuite 8.0/8.1/8.2用の修正パッチがリリースされた。 SecuriTeam.com Vulnerability in Lucent VitalSuite Software http://www.securiteam.com/securitynews/5MP031P6AO.html ▽ ウイルスバスター ウイルスバスター2002を、3月から全国のコンビニ2万1,000店で発売 http://www.trendmicro.co.jp/company/news/2002/news020206.asp <セキュリティトピックス> ▽ 事件 愛媛CATV加入者のメールアドレス56件が流出 http://www.e-catv.ne.jp/ ▽ 資料 JPCERT/CC REPORT 2002-02-06、翻訳公開 http://www.jpcert.or.jp/wr/2002/wr020501.txt ▽ 事件 ヤフーが引き落としミス オークション参加費 http://auctions.yahoo.co.jp/phtml/auc/jp/notice/20020205.html【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
