セキュリティホール情報<2002/02/07> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.25(月)

セキュリティホール情報<2002/02/07>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▽ Oracle 9iAS
 Oracle 9iASに複数のバッファオーバーフローの脆弱性が発見された。この問題は、ApacheをベースとしたOracle 9iASのサービスで発生する物で、任意のコードが実行可能になる。

 SecurityFocus
 Multiple Buffer Overflows in Oracle 9iAS
http://www.securityfocus.com/archive/1/254426

▽ Oracle 9iAS
 Oracle 9iASに含まれるOracleJSPで、任意のコードにアクセスできる問題が発見された。この問題を利用することにより、.javaファイルに含まれるテキスト情報などが参照できる。

 SecurityFocus
 JSP translation file access under Oracle 9iAS
http://www.securityfocus.com/archive/1/254435

▽ Oracle 9i
 PL/SQLで、任意のライブラリーを認証無しに呼び出すことが可能になる問題が発見された。この問題を利用することにより任意の機能を実行することが可能になる。

 SecurityFocus
 Remote Compromise in Oracle 9i Database Server
http://www.securityfocus.com/archive/1/254412


<UNIX共通>
▼ rsync
 rsync に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=989

 rsync はファイル転送プログラムで、リモートマシン上のファイルを高速で同期化できることが特徴です。この rsync の I/O 機能が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードが実行される可能性があります。

□ 関連情報:

rsync Home Page
http://rsync.samba.org/

 Debian GNU/Linux ─ Security Information DSA-106-1 rsync remote exploit
http://www.debian.org/security/2002/dsa-106

 Red Hat Linux Errata Advisory 2002/02/01 更新
 RHSA-2002:018-10 New rsync packages available
http://www.redhat.com/support/errata/RHSA-2002-018.html

 SuSE Security Announcement SuSE-SA:2002:004 rsync
http://www.suse.de/de/support/security/2002_004_rsync_txt.txt

 MandrakeSoft Security Advisory
 MDKSA-2002:009 rsync
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-009.php?dis=8.1

 Turbolinux Japan Security Center 2002/02/01 追加
 rsync ローカルユーザーによるroot権限奪取
http://www.turbolinux.co.jp/security/rsync-2.4.6-3.html

 CIAC 2002/02/01 追加
 M-035: Red Hat Linux "rsync" Vulnerability
http://www.ciac.org/ciac/bulletins/m-035.shtml

 Vine Linux errata 2002/02/06 追加
 rsync に セキュリティホール
http://www.vinelinux.org/errata/2x/20020131.html

▼ xchat
 xchat に任意の IRC コマンドが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=974

 xchat は CTCP PING リクエストを適切にチェックしていないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザになりすまして任意の IRC コマンドを IRC サーバに送信したり DoS 攻撃などをされる可能性があります。

□ 関連情報:

 xchat - IRC (chat) client for UNIX
http://www.debian.org/security/2002/dsa-099

 Debian GNU/Linux ─ Security Information
 DSA-099-1 xchat: IRC session hijacking
http://www.debian.org/security/2002/dsa-099

 Red Hat Linux Errata Advisory
 RHSA-2002:005-09 Updated xchat packages are available
http://www.redhat.com/support/errata/RHSA-2002-005.html

 MandrakeSoft Security Advisory
 MDKSA-2002:006 xchat
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-006.php

 Common Vulnerabilities and Exposures (CVE)
 CAN-2002-0006
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0006

 Vine Linux errata 2002/02/06 追加
 xchat に セキュリティホール
http://www.vinelinux.org/errata/2x/20020205-2.html


<Linux共通>
▼ uucp
 uucp に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910

 uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。

□ 関連情報:

 The UUCP Project
http://www.uucp.org/index.shtml

 Caldera International, Inc. Security Advisory
 CSSA-2001-033.0 Linux - uucp argument handling problems
http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt

 MandrakeSoft Security Advisory 2001/10/08 追加
 MDKSA-2001:078 uucp
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3?

 SuSE Security Announcement 2001/11/16 追加
 SuSE-SA:2001:38 uucp
http://www.suse.de/de/support/security/2001_038_uucp_txt.txt

 Red Hat Linux Errata Advisory 2002/01/18 追加
 RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucp
https://www.redhat.com/support/errata/RHSA-2001-165.html

 Common Vulnerabilities and Exposures (CVE) 2002/01/18 追加
 CAN-2001-0873
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873

 Hewlett-Packard IT リソース・センタ 2002/01/28 追加
 Hewlett-Packard IT リソース・センタ
http://itrc.hp.com

 Vine Linux errata 2002/02/06 追加
 uucp に セキュリティホール
http://www.vinelinux.org/errata/2x/20020205-4.html

▼ at
 at に権限の昇格が可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971

 at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。

□ 関連情報:

 Debian GNU/Linux ─ Security Information
 DSA-102-1 at:daemon exploit
http://www.debian.org/security/2002/dsa-102

 SuSE Security Announcement
 SuSE-SA:2002:003 at
http://www.suse.de/de/support/security/2002_003_at_txt.txt

 MandrakeSoft Security Advisory 2002/01/22 追加
 MDKSA-2002:007 at
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1

 Red Hat Linux Errata Advisory 2002/01/24 追加
 RHSA-2002:015-13 Updated at package available
http://www.redhat.com/support/errata/RHSA-2002-015.html

 Turbolinux Japan Security Center 2002/01/28 追加
 at ローカルユーザーによるるroot権限奪取
http://www.turbolinux.co.jp/security/at-3.1.8-9.html

 Vine Linux 2002/02/06 追加
 at のバージョンアップ
http://www.vinelinux.org/errata/2x/20020205-3.html


<User-mode-Linux>
▽ kernel
 Linux version patch-2.4.17-8のユーザー取り扱いに脆弱性が発見された。この問題を利用することにより攻撃者が高い権限を奪取できる。

 SecuriTeam.com
 User-mode-Linux Security Flaws
http://www.securiteam.com/exploits/5NP041P6AW.html


<Astaro Security Linux>
▽ Multiple
 Astaro Security Linuxに複数の脆弱性が発見された。今回発見されたのは、設計上による問題が5つ、理論上の設計問題が2つ、可能になると思われる設計上の問題が1つ、Astaro社による修正版のリリースが保証されない問題。

 SecuriTeam.com
 Vulnerabilities in Astaro Security Linux
http://www.securiteam.com/unixfocus/5LP021P6AG.html


<リリース情報>
▽ Lucent VitalSuite
 Lucent VitalSuite 8.0/8.1/8.2用の修正パッチがリリースされた。

 SecuriTeam.com
 Vulnerability in Lucent VitalSuite Software
http://www.securiteam.com/securitynews/5MP031P6AO.html

▽ ウイルスバスター
 ウイルスバスター2002を、3月から全国のコンビニ2万1,000店で発売
http://www.trendmicro.co.jp/company/news/2002/news020206.asp


<セキュリティトピックス>
▽ 事件
 愛媛CATV加入者のメールアドレス56件が流出
http://www.e-catv.ne.jp/

▽ 資料
 JPCERT/CC REPORT 2002-02-06、翻訳公開
http://www.jpcert.or.jp/wr/2002/wr020501.txt

▽ 事件
 ヤフーが引き落としミス オークション参加費
http://auctions.yahoo.co.jp/phtml/auc/jp/notice/20020205.html


【更に詳細な情報サービスのお申し込みはこちら
 http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx


《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  2. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  3. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

    Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  4. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  6. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  7. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×