<プラットフォーム共通> ▼ resolve DNS resolve に任意のコードを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1289 DNS resolve は細工された DNS メッセージを適切なチェックをしていな いことが原因で、バッファオーバーフローの問題が存在します。攻撃者に のこセキュリティホールを利用された場合、リモートから任意のコードを 実行される可能性があります。 □ 関連情報: SecurityFocus 2002/08/08 追加 BIND vulnerabilities in IRIX named http://online.securityfocus.com/archive/1/286446/2002-08-05/2002-08-11/0 <Microsoft> ▽ Content Management Server Content Management Serverに三つの脆弱性が発見された。 一つ目は、ユーザー認証にバッファオーバーフローの脆弱性。この問題を 利用することにより、MCMSサービスでコードが実行可能になる。 二つ目は、ファイルのアップデートに関連する脆弱性。この問題により、 アップロード位置を無視したファイルのアップロードが可能になるほか、 権限外のディレクトリへアップしたファイルを利用可能になる。 三つ目は、イメージファイルなどのリクエストサービスで、SQLインジェ クションが発生する脆弱性。この問題により、データの改変や破壊の他、 SQLコマンドやOSのコマンドを実行可能になる。 Microsoft TechNet Unchecked Buffer in Content Management Server Could Enable Server Compromise (Q326075) http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-041.asp <UNIX共通> ▼ gaim gaim に任意のコードを実行される問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1353 Gaim の Jabber プラグインモジュールが原因で、バッファオーバーフ ローの問題が存在します。攻撃者にこのセキュリティホールを利用された 場合、リモートから任意のコードを実行されたり DoS 攻撃を受ける可能 性があります。 □ 関連情報: Gaim ChangeLog http://gaim.sourceforge.net/ChangeLog Red Hat Linux Security Advisory RHSA-2002:098-14 Updated gaim client fixes Jabber plug-in vulnerability http://rhn.redhat.com/errata/RHSA-2002-098.html Red Hat Linux Security Advisory RHSA-2002:107-11 Updated gaim client fixes Jabber plug-in vulnerability (Powertools) http://rhn.redhat.com/errata/RHSA-2002-107.html Common Vulnerabilities and Exposures (CVE) CAN-2002-0384 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0384 ▼ OpenSSL OpenSSL に複数のセキュリティホール http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1327 OpenSSL は実装上の原因により、複数のセキュリティホールが存在しま す。攻撃者にこのセキュリティホールを利用された場合、リモートから任 意のコードを実行されたり DoS 攻撃を受けたりする可能性があります。 □ 関連情報: MandrakeSoft Security Advisory 2002/08/08 追加 MDKSA-2002:046-1 openssl http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-046-1.php?dis=8.2 Red Hat Linux Security Advisory 2002/08/08 追加 RHSA-2002:160-21 Updated openssl packages fix protocol parsing bugs http://rhn.redhat.com/errata/RHSA-2002-160.html Oracle Security Alert 2002/08/08 追加 OpenSSL Security Vulnerability http://otn.oracle.com/deploy/security/htdocs/opensslAlert.html CERT/CC Vulnerability Note 2002/08/07 更新 VU#748355 ASN.1 encoding errors exist in implementations of SSL, TLS, S/MIME, PKCS#7 routines http://www.kb.cert.org/vuls/id/748355 SecurityFocus 2002/08/08 追加 [ESA-20020807-020] ASN.1 vulnerability fix corrections http://online.securityfocus.com/archive/1/286417/2002-08-05/2002-08-11/0 ▼ Sun RPC xdr_array に任意のコードを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1333 xdr_array はデータサイズを適切にチェックしていないことが原因で、バ ッファオーバーフローの問題が存在します。攻撃者にこのセキュリティ ホールを利用された場合、リモートから DoS 攻撃を受けたり任意のコー ドを実行される可能性があります。 □ 関連情報: CERT 2002/08/07 更新 Integer overflow in xdr_array() function when deserializing the XDR stream http://www.kb.cert.org/vuls/id/192995 SecurityFocus 2002/08/08 追加 [CLA-2002:515] Conectiva Linux Security Announcement - krb5 http://online.securityfocus.com/archive/1/286343/2002-08-05/2002-08-11/0 ▼ mm mm に権限を奪取される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1324 mm はシェアードライブラリの使用方法を単純化するライブラリです。こ の mm が使用するテンポラリファイルが原因で、セキュリティホールが存 在します。攻撃者にこのセキュリティホールを利用された場合、ローカル から権限を奪取される可能性があります。 □ 関連情報: OSSP mm http://www.ossp.org/pkg/lib/mm/ MandrakeSoft Security Advisory MDKSA-2002:045 mm http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-045.php?dis=8.2 Common Vulnerabilities and Exposures (CVE) CAN-2002-0658 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0658 SecurityFocus Debian : mm insecure temporary files http://online.securityfocus.com/advisories/4315 Debian GNU/Linux ─ Security Information 2002/08/01 追加 DSA-137-1 mm ─ insecure temporary files http://www.debian.org/security/2002/dsa-137 Caldera International, Inc. Security Advisory 2002/08/01 追加 CSSA-2002-032.0 Linux: temporary file races in libmm ftp://ftp.caldera.com/pub/security/OpenLinux/CSSA-2002-032.0.txt Red Hat Linux Security Advisory 2002/08/01 追加 RHSA-2002:153-07 Updated mm packages fix temporary file handling http://rhn.redhat.com/errata/RHSA-2002-153.html SuSE Security Announcement 2002/08/02 追加 SuSE-SA:2002:028 mod_ssl, mm http://lists2.suse.com/archive/suse-security-announce/2002-Jul/0004.html Apache Week Security Reports 2002/08/06 追加 OpenSSL remote vulnerabilities http://www.apacheweek.com/issues/02-08-02#security SecurityFocus 2002/08/07 追加 RedHat : Updated secureweb packages fix temporary file handling http://online.securityfocus.com/advisories/4350 SecurityFocus 2002/08/07 追加 [RHSA-2002:156-04] Updated secureweb packages fix temporary file handling http://online.securityfocus.com/archive/1/286209/2002-08-04/2002-08-10/0 Red Hat Linux Security Advisory 2002/08/08 追加 RHSA-2002:156-04 Updated secureweb packages fix temporary file handling http://rhn.redhat.com/errata/RHSA-2002-156.html Vine Linux errata 2002/08/08 追加 mod_ssl (mm) にセキュリティホール http://www.vinelinux.org/errata/25x/20020807-2.html ▼ libpng libpng に任意のコードを実行される問題 http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1340 libpng は細工されたデータストリームを適切にチェックしていないこと が原因で、バッファオーバーフローの問題が存在します。攻撃者にこのセ キュリティホールを利用された場合、リモートから任意のコードを実行さ れる可能性があります。 □ 関連情報: This is a public release of libpng, intended for use in production codes http://www.libpng.org/pub/png/src/libpng-1.2.4-README.txt Debian GNU/Linux ─ Security Information DSA-140-1 libpng ─ buffer overflow http://www.debian.org/security/2002/dsa-140 Debian GNU/Linux ─ Security Information DSA-140-2 libpng ─ buffer overflow http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00056.html SecurityFocus 2002/08/07 追加 Debian : libpng, libpng3 Buffer overflow http://online.securityfocus.com/advisories/4349 Vine Linux errata 2002/08/08 追加 libpng にセキュリティホール http://www.vinelinux.org/errata/25x/20020807.html <その他の製品> ▽ Cisco VPN 5000 Cisco VPN 5000シリーズで、RADIUSサーバーへの接続に失敗した場合、再 リクエストの送信時にパスワードがクリアテキストで送信されてしまう問 題が発見された。この問題により、RADIUSサーバーに接続する他のマシン からパスワードを閲覧されてしまう可能性がある。 Cisco Security Advisory Cisco VPN 5000 Series Concentrator RADIUS PAP Authentication Vulnerability http://www.cisco.com/warp/public/707/vpn5k-radius-pap-vuln-pub.shtml Securiteam.com Cisco VPN 5000 Series Concentrator RADIUS PAP Authentication Vulnerability http://www.securiteam.com/securitynews/5QP012080I.html <リリース情報> ▽ Debian GNU/Linux tinyproxyのアップデートパッケージがリリースされた。 http://www.debian.org/security/2002/dsa-145 ▽ Linux Kernel kernel 2.4.20-pre1, 2.4.20-pre1-ac1がリリースされた。 http://www.kernel.org/ ▽ Astaro Security Linux Astaro Security Linux 3.203 (Stable 3.x)がリリースされた。 http://www.astaro.com/ <セキュリティトピックス> ▽ ウイルス情報 トレンドマイクロ、WORM_BIHUP.A http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_BIHUP.A ▽ ウイルス情報 トレンドマイクロ、VBS_PICA.N http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=VBS_PICA.N ▽ ウイルス情報 トレンドマイクロ、WORM_ASSARM.A http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_ASSARM.A ▽ ウイルス情報 トレンドマイクロ、WORM_SYTRO.C http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SYTRO.C ▽ ウイルス情報 シマンテック、Trojan.Starfi http://www.symantec.com/region/jp/sarcj/data/t/trojan.starfi.html ▽ ウイルス情報 シマンテック、FakeGina.Trojan http://www.symantec.com/region/jp/sarcj/data/f/fakegina.trojan.html ▽ サポート情報 トレンドマイクロ、ウイルスバスター2002 「インターネット接続時にエラーが発生しました」エラーでアップデート に失敗してしまう http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4452【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
