<プラットフォーム共通> ▽ OpenSSH OpenSSHで、AFS/Kerberosをサポートし、ticket/token passingが有効になっている場合、バッファオーバーフローが発生する問題が発見された。この問題により、リモートやローカルからルート権限でアクセスすることが可能になる。 SecuriTeam.com AFS/Kerberos Support in OpenSSH Poses a Security Threat http://www.securiteam.com/unixfocus/5DP0P0K6UO.html ▼ apache Apache に複数のセキュリティホール [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1096 Apache は実装上の原因により、複数のセキュリティホールが存在します。攻撃者にこれらの弱点を利用された場合、リモートから任意のコードを実行されたり、制限されたリソースへ不正アクセスされたりする可能性があります。 □ 関連情報: Apache http://www.apache.org/dist/httpd/CHANGES_1.3 Apache week Win32 remote command execution http://www.apacheweek.com/issues/02-03-22 Common Vulnerabilities and Exposures (CVE) CAN-2002-0061 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0061 Apache week Apache 1.3.24 Released http://www.apacheweek.com/issues/02-03-29 CERT/CC Vulnerability Note 2002/04/22 更新 VU#124003 Apache HTTP Server on Win32 systems does not securely handle input passed to CGI programs http://www.kb.cert.org/vuls/id/124003 <Microsoft> ▼ Windows 2000 Windows 2000 に DoS 攻撃を受ける問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1144 Microsoft Windows 2000 の LANMAN レジストリが適切に設定されていないことが原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから DoS 攻撃を受ける可能性があります。 □ 関連情報: Microsoft Product Support Service Q320751 Denial of Service Attack on Port 445 May Cause Excessive CPU Use http://support.microsoft.com/default.aspx?scid=kb;en-us;Q320751 <UNIX共通> ▼ rsync rsync に権限が落とせない問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1087 rsync はファイル転送プログラムです。この rsync は適切に権限を落とせないことが原因で、弱点が存在します。この問題により rsync を実行するユーザのグループ権限を継承することができない可能性があります。 □ 関連情報: rsync http://rsync.samba.org/ MandrakeSoft Security Advisory MDKSA-2002:024 rsync http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-024.php?dis=8.1 Debian Bug Debian Bug report logs - #132272 http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=132272 Caldera International, Inc. Security Advisory CSSA-2002-014.0 Linux: rsync supplementary groups vulnerability http://www.caldera.com/support/security/advisories/CSSA-2002-014.0.txt MandrakeSoft Security Advisory MDKSA-2002:024-1 rsync http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-024-1.php?dis=8.1 Caldera International, Inc. Security Advisory 2002/04/23 追加 CSSA-2002-014.1 Linux: REVISED: rsync supplementary groups vulnerability http://www.caldera.com/support/security/advisories/CSSA-2002-014.1.txt <FreeBSD> ▽ Suid Suidを利用するアプリケーションで、stdin、stdout、stderrを利用する物を、ローカルユーザーが実行出来る問題が発見された。この問題を利用することにより、ルート権限を奪取される可能性がある。 SecuriTeam.com Suid Application Execution May Give Local Root http://www.securiteam.com/unixfocus/5CP0O0K6UU.html SecurePoint insecure handling of stdio file descriptors http://msgs.securepoint.com/cgi-bin/get/bugtraq0204/226.html <TurboLinux> ▼ namazu Namazu の namazu.cgi は入力された文字列を適切にチェックしていないことが原因で Cross-Site Scripting の問題が存在します。攻撃者にこの弱点を利用された場合、リモートから様々な攻撃に利用される可能性があります。[更新] □ 関連情報: Namazu 新着情報 http://www.namazu.org/#news IPA セキュリティセンター Webサイトにおけるクロスサイトスクリプティング脆弱性に関する情報 http://www.ipa.go.jp/security/ciadr/20011023css.html Vine Linux errata namazu のアップデート http://www.vinelinux.org/errata/2x/20020117-2.html Turbolinux Japan Security Center namazu クロス・サイトスクリプトによる問題 http://www.turbolinux.co.jp/security/namazu-2.0.10-1.html <その他の製品> ▽ vqServer vqServerに含まれるデモCGIに、クロスサイトスクリプティングの脆弱性が発見された。この問題により、悪意のあるコードを実行されたり、Cookie情報を取得されるおそれがある。 SecuriTeam.com vqServer Demo File Cross-Site Scripting http://www.securiteam.com/securitynews/5ZP0L0K6UM.html ▽ Lil' HTTP Server Lil' HTTP Serverに二つの脆弱性が発見された。 一つ目は、Refererタグに、悪意のあるコードを挿入出来るクロスサイトスクリプティングの脆弱性。この問題により、ログファイルの閲覧などの攻撃が可能になる。 二つ目は、Webルートフォルダのディレクトリ横断問題。この問題により、ルートフォルダ以外のファイルが閲覧出来る。 SecuriTeam.com Lil' HTTP Server "Referer" Cross Site Scripting Vulnerability http://www.securiteam.com/windowsntfocus/5BP0N0K6UA.html SecuriTeam.com Lil' HTTP Server Directory Traversal Vulnerability http://www.securiteam.com/windowsntfocus/5AP0M0K6UG.html【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】