<プラットフォーム共通> ▼ apache apache に任意のファイルを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1365 apache はデフォルト設定が原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから任意のファイルを実行または不正アクセスされる可能性があります。 □ 関連情報: Apache HTTPD Project The Apache HTTP Server Project http://httpd.apache.org/ SECURITY ADVISORY http://httpd.apache.org/info/security_bulletin_20020809a.txt ChangeLog for 2.0.40 http://www.apache.org/dist/httpd/CHANGES_2.0 Common Vulnerabilities and Exposures (CVE) CAN-2002-0661 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0661 Common Vulnerabilities and Exposures (CVE) CAN-2002-0654 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0654 Common Vulnerabilities and Exposures (CVE) CAN-2002-0654 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0654 ISS X-Force Database Apache HTTP Server non-Unix versions could allow an attacker to access sensitive data http://www.iss.net/security_center/static/9808.php Apache Week Apache 2.0.40 Released http://www.apacheweek.com/issues/02-08-16#apache2040 CIAC (Computer Incident Advisory Capability) M-114 : Apache 2.0 Path Disclosure Vulnerability http://www.ciac.org/ciac/bulletins/m-114.shtml ▼ resolve DNS resolve に任意のコードを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1289 DNS resolve は細工された DNS メッセージを適切なチェックをしていないことが原因で、バッファオーバーフローの問題が存在します。攻撃者にのこセキュリティホールを利用された場合、リモートから任意のコードを実行される可能性があります。 □ 関連情報: HP-UX security bulletins digest 2002/08/21 追加 HPSBUX0208-209 Vulnerability in DNS resolver libraries http://itrc.hp.com/ ▼ Oracle9i Application Server Oracle9iAS にクロスサイトスクリプティングの問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1388 Oracle9iAS に付属している OJSP デモページは文字列を適切にチェックしていないことが原因で、クロスサイトスクリプティングの問題が存在します。攻撃者にこれらのセキュリティホールを利用された場合、リモートから不正アクセスされる可能性があります。 □ 関連情報: Oracle Technology Network - Security Oracle Security Alert #41 Oracle9iAS OJSP Demo Vulnerability http://otn.oracle.com/deploy/security/pdf/2002alert41rev1.pdf Oracle セキュリティ情報 2002/08/21 追加 Oracle Java Server Page (OJSP) デモのセキュリティ脆弱性の問題 http://support.oracle.co.jp/open/owa/external_krown.show_text?c_document_id=49732&c_criterion ▼ Cisco VPN Client Cisco VPN Client に複数のセキュリティホール http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1370 Cisco VPN Client は暗号化されたトンネリングを確立します。この Cisco VPN Client は実装上の原因により、複数のセキュリティホールが存在します。攻撃者にこれらのセキュリティホールを利用された場合、リモートから DoS 攻撃を受ける可能性があります。 □ 関連情報: Cisco Security Advisory Cisco VPN Client Multiple Vulnerabilities http://www.cisco.com/warp/public/707/vpnclient-multiple-vuln-pub.shtml CERT/CC Vulnerability Note 2002/08/20 更新 VU#287771 Multiple vendors' Internet Key Exchange (IKE) implementations do not properly handle IKE response packets http://www.kb.cert.org/vuls/id/287771 Securiteam.com Cisco VPN Client Multiple Vulnerabilities http://www.securiteam.com/securitynews/5VP0G0U80K.html <UNIX共通> ▼ CDE ToolTalk CDE ToolTalk に任意のコードを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1371 CDE Tooltalk は細工された RPC メッセージを適切にチェックしていないことが原因で、バッファオーバーフローの問題が存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから任意のコードを実行される可能性があります。 □ 関連情報: Entercept Security Alert Multi-Vendor Remote Buffer Overflow Vulnerability in CDE ToolTalk Database Server http://www.entercept.com/news/uspr/08-12-02.asp CERT Coordination Center (CERT/CC) CA-2002-26 Buffer Overflow in CDE ToolTalk http://www.cert.org/advisories/CA-2002-26.html CERT/CC Vulnerability Note VU#387387 Common Desktop Environment (CDE) ToolTalk RPC database server (rpc.ttdbserverd) vulnerable to buffer overflow via _TT_CREATE_FILE() http://www.kb.cert.org/vuls/id/387387 CIAC (Computer Incident Advisory Capability) M-109: Common Desktop Environment (CDE) ToolTalk Buffer Overflow http://www.ciac.org/ciac/bulletins/m-109.shtml Common Vulnerabilities and Exposures (CVE) CAN-2002-0679 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0679 HP-UX security bulletins digest 2002/08/19 追加 HPSBUX0207-199 Vulnerability in rpc.ttdbserver http://itrc.hp.com/ Caldera International, Inc. Security Advisory CSSA-2002-SCO.28.1 UnixWare 7.1.1 Open UNIX 8.0.0 : REVISED: rpc.ttdbserverd file creation/deletion and buffer overflow vulnerabilitiesftp://ftp.caldera.com/pub/updates/OpenUNIX/CSSA-2002-SCO.28.1/CSSA-2002-SCO.28.1.txt ▼ libpng libpng に任意のコードを実行される問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1340 libpng は細工されたデータストリームを適切にチェックしていないことが原因で、バッファオーバーフローの問題が存在します。攻撃者にこのセキュリティホールを利用された場合、リモートから任意のコードを実行される可能性があります。 □ 関連情報: This is a public release of libpng, intended for use in production codes http://www.libpng.org/pub/png/src/libpng-1.2.4-README.txt Debian GNU/Linux ─ Security Information DSA-140-1 libpng ─ buffer overflow http://www.debian.org/security/2002/dsa-140 Debian GNU/Linux ─ Security Information DSA-140-2 libpng ─ buffer overflow http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00056.html SecurityFocus 2002/08/07 追加 Debian : libpng, libpng3 Buffer overflow http://online.securityfocus.com/advisories/4349 Vine Linux errata 2002/08/08 追加 libpng にセキュリティホール http://www.vinelinux.org/errata/25x/20020807.html Vine Linux errata 2002/08/19 追加 [2.5] libpng にセキュリティホール http://www.vinelinux.org/errata/25x/20020807.html ISS X-Force Database 2002/08/19 追加 libpng wide image buffer over flow http://www.iss.net/security_center/static/9790.php MandrakeSoft Security Advisory 2002/08/19 追加 MDKSA-2002:049 libpng http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-049.php?dis=8.2 SecurityFocus 2002/08/20 追加 [RHSA-2002:151-21] Updated libpng packages fix buffer overflow http://online.securityfocus.com/archive/1/288059/2002-08-17/2002-08-23/0 Red Hat Linux Security Advisory 2002/08/21 追加 RHSA-2002:151-21 Updated libpng packages fix buffer overflow http://rhn.redhat.com/errata/RHSA-2002-151.html Common Vulnerabilities and Exposures (CVE) 2002/08/21 追加 CAN-2002-0728 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0728 Common Vulnerabilities and Exposures (CVE) 2002/08/21 追加 CAN-2002-0660 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0660 <BSD> ▼ kernel stdio に root 権限が奪取可能な問題 [更新] http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1146 stdio は適切にファイルディスクリプタを扱っていないことが原因で、セキュリティホールが存在します。攻撃者にこのセキュリティホールを利用された場合、ローカルから root 権限を奪取される可能性があります。 □ 関連情報: FreeBSD Security Advisory FreeBSD-SA-02:23.stdio insecure handling of stdio file descriptorsftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:23.stdio.asc Pine Internet Security Advisory PINE-CERT-20020401:Suid application execution may give local root http://www.pine.nl/advisories/pine-cert-20020401.html CIAC (Computer Incident Advisory Capability) M-072 : FreeBSD stdio File Descriptors Vulnerability http://www.ciac.org/ciac/bulletins/m-072.shtml CERT 2002/08/21 追加 Vulnerability Note VU#809347 FreeBSD privilege elevation vulnerability http://www.kb.cert.org/vuls/id/809347 <Turbolinux> ▽ Multple Turbolinuxの複数のアップデートが公開された。 一つ目は、readlineにバッファオーバーフロー脆弱性の修正。 二つ目は、chfnコマンドで、/etc/passwdファイルが正しく更新されない問題の修正。 三つ目は、PNG データストリームに buffer overflow の問題が存在し、悪意のあるユーザーにローカルユーザーの権限を奪取される問題の修正。 Turbolinux Japan Security Center readlineに buffer overflowの問題が存在します。 http://www.turbolinux.co.jp/security/readline-4.2a-1.html Turbolinux Japan Security Center chfnコマンドの問題 /etc/passwdファイルが正しく更新されない可能性があります。 http://www.turbolinux.co.jp/security/util-linux-2.11n-4.html Turbolinux Japan Security Center buffer overflowの問題 PNG データストリームに buffer overflow の問題が存在し、悪意のあるユーザーにローカルユーザーの権限を奪取される可能性があります。 http://www.turbolinux.co.jp/security/libpng-1.2.4-1.html <セキュリティトピックス> ▽ サポート情報 トレンドマイクロのサポート情報が複数アップされている。 http://www.trendmicro.co.jp/esolution/newsolution.asp【更に詳細な情報サービスのお申し込みはこちら http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
