セキュリティホール情報<2002/03/15> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

セキュリティホール情報<2002/03/15>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▼ SNMP
 SNMP に 複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1022

 SNMP は実装上の原因により、バッファオーバーフローやフォーマットストリングバグなどが存在します。攻撃者にこの弱点を利用された場合、リモートから root 権限を奪取されたり、任意のコードを実行されたり DoS攻撃を受ける可能性があります。

□ 関連情報:

 Caldera International, Inc. Security Advisory 2002/03/14 更新
 CSSA-2002-004.1 REVISED: Linux: Various security problems in ucd-snmp
http://www.caldera.com/support/security/advisories/CSSA-2002-004.0.txt

▼ OpenSSH
 OpenSSH に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1072

 OpenSSH は、ネットワーク経路ごと暗号化を行うツールです。
 この OpenSSH は実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから ssh の実行権限で任意のコードを実行される可能性があります。

□ 関連情報:

 OpenSSH
 OpenSSHの3.1がリリース
http://www.openssh.org/

 FreeBSD Security Advisory 2002/03/14 更新
 FreeBSD-SA-02:13 OpenSSH contains exploitable off-by-one bug
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:13.openssh.asc

 SuSE Security Announcement
 SuSE-SA:2002:009 channelID vulnerability in openssh
http://www.suse.de/de/support/security/2002_009_openssh_txt.html

 MandrakeSoft Security Advisory
 MDKSA-2002:019 openssh
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-019.php?dis=8.1

 Pine Internet Security Advisory
 PINE-CERT-20020301: OpenSSH
http://www.pine.nl/advisories/pine-cert-20020301.html

 Red Hat Linux Errata Advisory 2002/03/09 追加
 RHSA-2002:043-10 Updated openssh packages available
http://www.redhat.com/support/errata/RHSA-2002-043.html

 Common Vulnerabilities and Exposures (CVE) 2002/03/09 追加
 CAN-2002-0083
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0083

 SecuriTeam.com
 OpenSSH Off-By-One Vulnerability
http://www.securiteam.com/unixfocus/5PP01206KE.html

 CERT 2002/03/14 更新
 OpenSSH contains a one-off overflow of an array in the channel handling code
http://www.kb.cert.org/vuls/id/408419

 LinuxSecurity
 Conectiva: OpenSSH off-by-one
http://www.linuxsecurity.com/advisories/other_advisory-1940.html

 LinuxSecurity
 EnGarde: Local vulnerability in OpenSSH's channel code
http://www.linuxsecurity.com/advisories/other_advisory-1937.html

 LinuxSecurity 2002/03/11 追加
 Debian: 'openssh' Unauthorized access vulnerability
http://www.linuxsecurity.com/advisories/debian_advisory-1949.html

 LinuxSecurity 2002/03/11 追加
 Slackware: 'openssh' Unauthorized access vulnerability
http://www.linuxsecurity.com/advisories/slackware_advisory-1944.html

 LinuxSecurity 2002/03/11 追加
 Trustix: 'openssh' Unauthorized access vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-1943.html

 SecurityFocus 2002/03/11 追加
 OpenSSH Channel Code Off-By-One Vulnerability
http://online.securityfocus.com/bid/4241

 Incidents.org 2002/03/11 追加
 OpenSSH Vulnerability Versions 2.0 through 3.0.2
http://www.incidents.org/diary/diary.php?id=148

 CIAC (Computer Incident Advisory Capability) 2002/03/11 追加
 M-054: OpenSSH Contains Remotely Exploitable Vulnerability
http://www.ciac.org/ciac/bulletins/m-054.shtml

 Turbolinux Japan Security Center 2002/03/11 追加
 openssh ローカルユーザーによるroot権限奪取
http://www.turbolinux.co.jp/security/openssh-2.9p2-7.html

 SecurityFocus 2002/03/13 追加
 Caldera Systems : OpenServer: OpenSSH channel code vulnerability
http://online.securityfocus.com/advisories/3954

 VineLinux errata 2002/03/13 追加
 vine:OpenSSH にセキュリティホー ル
http://www.vinelinux.org/errata/2x/20020312.html

 NetBSD Security Advisory 2002/03/13 追加
 2002-004: Off-by-one error in openssh session
http://msgs.securepoint.com/cgi-bin/get/bugtraq0203/146.html

 CERT/CC Vulnerability Note 2002/03/13 追加
 VU#408419 OpenSSH contains a one-off overflow of an array in the channel handling code
http://www.kb.cert.org/vuls/id/408419

 NetBSD Security Advisory 2002/03/13 追加
 NetBSD-SA2002-004 Off-by-one error in openssh session
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-004.txt.asc

 HEWLETT-PACKARD COMPANY SECURITY ADVISORY 2002/03/15 追加
 HPSBTL0203-029: Security vulnurabilty in openssh-clients
http://online.securityfocus.com/advisories/3960


<UNIX共通>
▼ zlib
 zlib に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1079

 zlib は細工された圧縮データのブロックを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受けるか、任意のコードを実行される可能性があります。

□ 関連情報:

 Zlib Advisory 2002-03-11
 zlib Compression Library Corrupts malloc Data Structures via Double Free
http://www.gzip.org/zlib/advisory-2002-03-11.txt

 Debian GNU/Linux ─ Security Information
 DSA 122-1 New zlib & other packages fix buffer overflow
http://www.debian.org/security/2002/dsa-122

 Red Hat Linux Errata Advisory
 RHSA-2002:026-35 Vulnerability in zlib library
http://www.redhat.com/support/errata/RHSA-2002-026.html

 Red Hat Linux Errata Advisory
 RHSA-2002:027-22 Vulnerability in zlib library (powertools)
http://www.redhat.com/support/errata/RHSA-2002-027.html

 SuSE Security Announcement
 SuSE-SA:2002:010 libz/zlib
http://www.suse.de/de/support/security/2002_010_libz_txt.html

 SuSE Security Announcement
 SuSE-SA:2002:011 packages containing libz/zlib
http://www.suse.de/de/support/security/2002_011_libz_packages_txt.html

 MandrakeSoft Security Advisory
 MDKSA-2002:022 zlib
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-022.php?dis=8.1

 MandrakeSoft Security Advisory
 MDKSA-2002:023 packages containing zlib
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-023.php?dis=8.1

 CERT Coordination Center (CERT/CC)
 CA-2002-07 Double Free Bug in zlib Compression Library
http://www.cert.org/advisories/CA-2002-07.html

 CERT/CC Vulnerability Note
 VU#368819 Double Free Bug in zlib Compression Library Corrupts malloc's Internal Data Structures
http://www.kb.cert.org/vuls/id/368819

 Common Vulnerabilities and Exposures (CVE)
 CAN-2002-0059
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0059

 Turbolinux Japan Security Center
 zlib buffer overflowによるroot権限奪取
http://www.turbolinux.co.jp/security/zlib-1.1.4-2.html

 SecurityFocus
 GNU zlib Compression Library Heap Corruption Vulnerability
http://online.securityfocus.com/bid/4267

 MandrakeSoft Security Advisory 2002/03/14 追加
 MDKSA-2002:023-1 packages containing zlib
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-023-1.php?dis=8.1

 LinuxSecurity 2002/03/15 追加
 Conectiva: 'zlib' Denial of service
http://www.linuxsecurity.com/advisories/other_advisory-1982.html

 SecurityFocus 2002/03/15 追加
 Conectiva Linux CLA-2002:469: zlib double free() vulnerability
http://online.securityfocus.com/advisories/3963


<BSD>
▼ kernel (NetBSD)
 IPv4 フォワーディングが SPD を適用しない問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1081

 IPv4 フォワーディング機能は実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから内部向け SPD (Security Policy Database) のチェックを回避して任意のホストにパケットを送信される可能性があります。

□ 関連情報:

 NetBSD Security Advisory
 NetBSD-SA2002-003 IPv4 forwarding doesn't consult inbound SPD
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-003.txt.asc

▼ Netscape Communicator/Navigator
 Netscape にユーザ情報が奪取可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1082

 Netscape ブラウザは Web ページにある GIF/JPEG のコメントブロックを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザの情報が奪取される可能性があります。

□ 関連情報:

 FreeBSD Security Advisory
 FreeBSD-SA-02:16 GIF/JPEG comment vulnerability in Netscape
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:16.netscape.asc


<Mandrake Linux>
▽ rsync
 rsyncがルート権限を含めたユーザーID、グループIDを処理する場合、デフォルトの設定では、rsyncデーモンがxinetdを使用する問題が発見された。現在、この問題を解消したバージョン2.5.4がリリースされている。

□ 関連情報:

 Mandrake Linux Security Update Advisory
 MDKSA-2002:024: rsync
http://online.securityfocus.com/advisories/3962

 LinuxSecurity
 Mandrake: 'rsync' Unprivileged access vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-1981.html


<リリース情報>
▼ SAINT
 SAINT 3.5がリリースされた。
http://wwdsilx.wwdsi.com/saint/


<セキュリティトピックス>
▼ ウイルス情報
 Symantec W32.Dotjaypee@mm
http://www.symantec.com/region/jp/sarcj/data/w/w32.dotjaypee%40mm.html

▽ 警告・注意情報
 CERT Advisory CA-2002-08 Multiple vulnerabilities in Oracle Servers
http://www.cert.org/advisories/CA-2002-08.html


【更に詳細な情報サービスのお申し込みはこちら
  http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx


《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

    複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  4. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  5. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  6. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  7. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  8. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  9. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  10. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×