<プラットフォーム共通> ▼ SNMP SNMP に 複数のセキュリティホール [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1022 SNMP は実装上の原因により、バッファオーバーフローやフォーマットストリングバグなどが存在します。攻撃者にこの弱点を利用された場合、リモートから root 権限を奪取されたり、任意のコードを実行されたり DoS攻撃を受ける可能性があります。 □ 関連情報: Caldera International, Inc. Security Advisory 2002/03/14 更新 CSSA-2002-004.1 REVISED: Linux: Various security problems in ucd-snmp http://www.caldera.com/support/security/advisories/CSSA-2002-004.0.txt ▼ OpenSSH OpenSSH に任意のコードが実行可能な問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1072 OpenSSH は、ネットワーク経路ごと暗号化を行うツールです。 この OpenSSH は実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから ssh の実行権限で任意のコードを実行される可能性があります。 □ 関連情報: OpenSSH OpenSSHの3.1がリリース http://www.openssh.org/ FreeBSD Security Advisory 2002/03/14 更新 FreeBSD-SA-02:13 OpenSSH contains exploitable off-by-one bugftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:13.openssh.asc SuSE Security Announcement SuSE-SA:2002:009 channelID vulnerability in openssh http://www.suse.de/de/support/security/2002_009_openssh_txt.html MandrakeSoft Security Advisory MDKSA-2002:019 openssh http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-019.php?dis=8.1 Pine Internet Security Advisory PINE-CERT-20020301: OpenSSH http://www.pine.nl/advisories/pine-cert-20020301.html Red Hat Linux Errata Advisory 2002/03/09 追加 RHSA-2002:043-10 Updated openssh packages available http://www.redhat.com/support/errata/RHSA-2002-043.html Common Vulnerabilities and Exposures (CVE) 2002/03/09 追加 CAN-2002-0083 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0083 SecuriTeam.com OpenSSH Off-By-One Vulnerability http://www.securiteam.com/unixfocus/5PP01206KE.html CERT 2002/03/14 更新 OpenSSH contains a one-off overflow of an array in the channel handling code http://www.kb.cert.org/vuls/id/408419 LinuxSecurity Conectiva: OpenSSH off-by-one http://www.linuxsecurity.com/advisories/other_advisory-1940.html LinuxSecurity EnGarde: Local vulnerability in OpenSSH's channel code http://www.linuxsecurity.com/advisories/other_advisory-1937.html LinuxSecurity 2002/03/11 追加 Debian: 'openssh' Unauthorized access vulnerability http://www.linuxsecurity.com/advisories/debian_advisory-1949.html LinuxSecurity 2002/03/11 追加 Slackware: 'openssh' Unauthorized access vulnerability http://www.linuxsecurity.com/advisories/slackware_advisory-1944.html LinuxSecurity 2002/03/11 追加 Trustix: 'openssh' Unauthorized access vulnerability http://www.linuxsecurity.com/advisories/other_advisory-1943.html SecurityFocus 2002/03/11 追加 OpenSSH Channel Code Off-By-One Vulnerability http://online.securityfocus.com/bid/4241 Incidents.org 2002/03/11 追加 OpenSSH Vulnerability Versions 2.0 through 3.0.2 http://www.incidents.org/diary/diary.php?id=148 CIAC (Computer Incident Advisory Capability) 2002/03/11 追加 M-054: OpenSSH Contains Remotely Exploitable Vulnerability http://www.ciac.org/ciac/bulletins/m-054.shtml Turbolinux Japan Security Center 2002/03/11 追加 openssh ローカルユーザーによるroot権限奪取 http://www.turbolinux.co.jp/security/openssh-2.9p2-7.html SecurityFocus 2002/03/13 追加 Caldera Systems : OpenServer: OpenSSH channel code vulnerability http://online.securityfocus.com/advisories/3954 VineLinux errata 2002/03/13 追加 vine:OpenSSH にセキュリティホー ル http://www.vinelinux.org/errata/2x/20020312.html NetBSD Security Advisory 2002/03/13 追加 2002-004: Off-by-one error in openssh session http://msgs.securepoint.com/cgi-bin/get/bugtraq0203/146.html CERT/CC Vulnerability Note 2002/03/13 追加 VU#408419 OpenSSH contains a one-off overflow of an array in the channel handling code http://www.kb.cert.org/vuls/id/408419 NetBSD Security Advisory 2002/03/13 追加 NetBSD-SA2002-004 Off-by-one error in openssh sessionftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-004.txt.asc HEWLETT-PACKARD COMPANY SECURITY ADVISORY 2002/03/15 追加 HPSBTL0203-029: Security vulnurabilty in openssh-clients http://online.securityfocus.com/advisories/3960 <UNIX共通> ▼ zlib zlib に任意のコードが実行可能な問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1079 zlib は細工された圧縮データのブロックを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受けるか、任意のコードを実行される可能性があります。 □ 関連情報: Zlib Advisory 2002-03-11 zlib Compression Library Corrupts malloc Data Structures via Double Free http://www.gzip.org/zlib/advisory-2002-03-11.txt Debian GNU/Linux ─ Security Information DSA 122-1 New zlib & other packages fix buffer overflow http://www.debian.org/security/2002/dsa-122 Red Hat Linux Errata Advisory RHSA-2002:026-35 Vulnerability in zlib library http://www.redhat.com/support/errata/RHSA-2002-026.html Red Hat Linux Errata Advisory RHSA-2002:027-22 Vulnerability in zlib library (powertools) http://www.redhat.com/support/errata/RHSA-2002-027.html SuSE Security Announcement SuSE-SA:2002:010 libz/zlib http://www.suse.de/de/support/security/2002_010_libz_txt.html SuSE Security Announcement SuSE-SA:2002:011 packages containing libz/zlib http://www.suse.de/de/support/security/2002_011_libz_packages_txt.html MandrakeSoft Security Advisory MDKSA-2002:022 zlib http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-022.php?dis=8.1 MandrakeSoft Security Advisory MDKSA-2002:023 packages containing zlib http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-023.php?dis=8.1 CERT Coordination Center (CERT/CC) CA-2002-07 Double Free Bug in zlib Compression Library http://www.cert.org/advisories/CA-2002-07.html CERT/CC Vulnerability Note VU#368819 Double Free Bug in zlib Compression Library Corrupts malloc's Internal Data Structures http://www.kb.cert.org/vuls/id/368819 Common Vulnerabilities and Exposures (CVE) CAN-2002-0059 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0059 Turbolinux Japan Security Center zlib buffer overflowによるroot権限奪取 http://www.turbolinux.co.jp/security/zlib-1.1.4-2.html SecurityFocus GNU zlib Compression Library Heap Corruption Vulnerability http://online.securityfocus.com/bid/4267 MandrakeSoft Security Advisory 2002/03/14 追加 MDKSA-2002:023-1 packages containing zlib http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-023-1.php?dis=8.1 LinuxSecurity 2002/03/15 追加 Conectiva: 'zlib' Denial of service http://www.linuxsecurity.com/advisories/other_advisory-1982.html SecurityFocus 2002/03/15 追加 Conectiva Linux CLA-2002:469: zlib double free() vulnerability http://online.securityfocus.com/advisories/3963 <BSD> ▼ kernel (NetBSD) IPv4 フォワーディングが SPD を適用しない問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1081 IPv4 フォワーディング機能は実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから内部向け SPD (Security Policy Database) のチェックを回避して任意のホストにパケットを送信される可能性があります。 □ 関連情報: NetBSD Security Advisory NetBSD-SA2002-003 IPv4 forwarding doesn't consult inbound SPDftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-003.txt.asc ▼ Netscape Communicator/Navigator Netscape にユーザ情報が奪取可能な問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1082 Netscape ブラウザは Web ページにある GIF/JPEG のコメントブロックを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザの情報が奪取される可能性があります。 □ 関連情報: FreeBSD Security Advisory FreeBSD-SA-02:16 GIF/JPEG comment vulnerability in Netscapeftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:16.netscape.asc <Mandrake Linux> ▽ rsync rsyncがルート権限を含めたユーザーID、グループIDを処理する場合、デフォルトの設定では、rsyncデーモンがxinetdを使用する問題が発見された。現在、この問題を解消したバージョン2.5.4がリリースされている。 □ 関連情報: Mandrake Linux Security Update Advisory MDKSA-2002:024: rsync http://online.securityfocus.com/advisories/3962 LinuxSecurity Mandrake: 'rsync' Unprivileged access vulnerability http://www.linuxsecurity.com/advisories/mandrake_advisory-1981.html <リリース情報> ▼ SAINT SAINT 3.5がリリースされた。 http://wwdsilx.wwdsi.com/saint/ <セキュリティトピックス> ▼ ウイルス情報 Symantec W32.Dotjaypee@mm http://www.symantec.com/region/jp/sarcj/data/w/w32.dotjaypee%40mm.html ▽ 警告・注意情報 CERT Advisory CA-2002-08 Multiple vulnerabilities in Oracle Servers http://www.cert.org/advisories/CA-2002-08.html【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
