セキュリティホール情報<2003/01/22> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.17(日)

セキュリティホール情報<2003/01/22>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▽ apache
apacheは実装上の原因により、複数のセキュリティホールが存在する。攻撃者にこれらのセキュリティホールを悪用された場合、リモートからの DoS 攻撃、コードの実行、ファイルの奪取などといった攻撃を受ける可能性がある。

□ 関連情報:

Apache 2.0.44 Released
http://www.apache.org/dist/httpd/Announcement2.html

Changes with Apache 2.0.44
http://www.apache.org/dist/httpd/CHANGES_2.0

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0016
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0016

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0017
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0017

マイクロソフトセキュリティ情報
「パスに DOS デバイス名が含まれる場合」の脆弱性に対する対策 (MS00-017)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS00-017.asp

▽ dhcpd
ISC DHCPD のバージョン 3.0〜3.0.1rc10 に複数のバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートから攻撃者に任意のコードを実行される可能性がある。[更新]

□ 関連情報:

CERT 2003/01/21 更新
Vulnerability Note VU#284857
ISC DHCPD minires library contains multiple buffer overflows
http://www.kb.cert.org/vuls/id/284857

IPA 2003/01/17 追加
ISC DHCPD にバッファオーバーフローの脆弱性(CA-2003-01)
http://www.ipa.go.jp/security/

CVE (Common Vulnerabilities and Exposures) 2003/01/17 追加
CAN-2003-0026
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0026

CIAC 2003/01/17 追加
N-031: Buffer Overflows in ISC DHCPD Minires Library
http://www.ciac.org/ciac/bulletins/n-031.shtml

Red Hat Linux Security Advisory 2003/01/17 追加
RHSA-2003:011-07 Updated dhcp packages fix security vulnerabilities
http://rhn.redhat.com/errata/RHSA-2003-011.html

LinuxSecurty 2003/01/17 追加
RedHat: dhcp buffer overflow vulnerabilities
http://www.linuxsecurity.com/advisories/redhat_advisory-2766.html

SecuriTeam.com 2003/01/20 追加
ISC DHCPD Minires Library Contains Multiple Buffer Overflows
http://www.securiteam.com/securitynews/5JP0A2A8VU.html

Debian GNU/Linux ─ Security Information 2003/01/20 追加
DSA-231-1 dhcp3 ─ stack overflows
http://www.debian.org/security/2003/dsa-231

SecurtyFocus 2003/01/20 追加
[SECURITY] [DSA 231-1] New dhcp3 packages fix arbitrary code execution
http://online.securityfocus.com/archive/1/307088/2003-01-17/2003-01-23/0

LinuxSecurty 2003/01/20 追加
Gentoo: dhcpd buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2772.html

MandrakeSoft Security Advisory 2003/01/20 追加
MDKSA-2003:007 : dhcp
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:007

CERT Advisory 翻訳版 2003/01/21 追加
CA-2003-01 Buffer Overflows in ISC DHCPD Minires Libra
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_01.html

LinuxSecurty 2003/01/21 追加
Slackware: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/slackware_advisory-2779.html

LinuxSecurty 2003/01/21 追加
OpenPKG: dhcpd multiple vulnerabilities
http://www.linuxsecurity.com/advisories/other_advisory-2778.html

LinuxSecurty 2003/01/21 追加
SuSe: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/suse_advisory-2777.html

SuSE Security Announcement 2003/01/21 追加
SuSE-SA:2003:006 dhcp
http://www.suse.de/de/security/2003_006_dhcp.html

ISS X-Force Database 2003/01/21 追加
dhcpd-minires-multiple-bo (11073) ICS DHCP daemon minires library multiple buffer overflows
http://www.iss.net/security_center/static/11073.php

Turbolinux Security Advisory 2003/01/22 追加
dhcp バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-6j.txt

LinuxSecurty 2003/01/22 追加
Gentoo: dhcp Multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2792.html


▽ SSH
SSHv2トランスポート層のグリーティングとキーエクスチェンジイニシャライズに脆弱性が発見された。この問題により、任意のコードの実行が可能となるほか、DoS攻撃が可能となる。 [更新]

□ 関連情報:

CERT 2003/01/21 更新
Vulnerability Note VU#389665
Multiple vendors' SSH transport layer protocol implementations contain vulnerabilities in key exchange and initialization
http://www.kb.cert.org/vuls/id/389665

CIAC
N-028: Vulnerabilities in SSH2 Implementations from Multiple Vendors
http://www.ciac.org/ciac/bulletins/n-028.shtml

SecuriTeam.com
Vulnerabilities in SSH2 Implementations from Multiple Vendors
http://www.securiteam.com/securitynews/6R00B206AE.html

SecurtyFocus
R7-0009: Vulnerabilities in SSH2 Implementations from Multiple Vendors
http://online.securityfocus.com/archive/1/303537/2002-12-14/2002-12-20/0

CERT Advisory 2002/12/27 追加
CA-2002-36 Multiple Vulnerabilities in SSH Implementations
http://www.cert.org/advisories/CA-2002-36.html

▽ Sun ONE UDS
Sun ONE UDSのXMLパーサは、実装されている XML 1.0 パーサは、細工された DTD (Document Type Definitions) を適切に処理できないため、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから DoS 攻撃を受ける可能性がある。 [更新]

□ 関連情報:

Sun(sm) Alert Notification
49922 XML DTD Entities can Cause Denial of Service on XML 1.0
Parsers, Including Those Supplied With Sun ONE Unified Development Server (UDS)
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F49922&zone_32=category%3Asecurity

ISS X-Force Database 2003/01/21 追加
sunone-xml-parser-dos (11066) Sun ONE XML DTD parsing denial of service
http://www.iss.net/security_center/static/11066.php


<その他の製品>
▽ PHP TopSites
PHP TopSitesに複数の脆弱性が発見された。
一つ目は、Add.phpにクロスサイトスクリプティングの脆弱性。
二つ目は、help.phpにクロスサイトスクリプティングの脆弱性。
三つ目は、seditor.phpがパスワードをプレーンテキストで保存する問題。
四つ目は、edit.phpにユーザーアカウントの脆弱性。これらの問題により、悪意のあるコードを実行されたり、設定を変更されるなどの攻撃を受ける可能性がある。

SecuriTeam.com
Multiple Vulnerabilities Found in PHP "Topsites"
http://www.securiteam.com/unixfocus/5SP0M0A8UK.html

▽ PeopleSoft
PeopleSoftのApplication Messaging GatewayにXML外部エンティティの脆弱性が発見された。この問題を利用することにより、PeopleSoftアプリケーションサーバにある任意のファイルを読みとり、機密情報などが漏洩する可能性がある。

Internet Security Systems セキュリティ アドバイザリ
PeopleSoft の XML 外部エンティティの脆弱点
http://www.isskk.co.jp/support/techinfo/general/PepoleSoftXXE_xforce.html

▽ ColdFusion MX
ColdFusion MXで、タグおよびタグタグを備えたファイルを含んでいる前にセキュリティ・ファイル/ディレクトリの許可をチェックしない問題が発見された。この問題を利用することにより、テンプレートからこれらのタグを利用し、無許可のデータにアクセスすることが可能となる。 [更新]

□ 関連情報:

Macromedia Security Zone
MPSB03-01 - Patch available for ColdFusion MX Enterprise Edition sandbox security issue that allows templates to include arbitrary files
http://www.macromedia.com/v1/handlers/index.cfm?ID=23638

ISS X-Force Database 2003/01/21 追加
coldfusion-mx-file-include (11047) Macromedia ColdFusion MX
cfinclude and cfmodule tags could be used to include malicious scripts and bypass sandbox restrictions
http://www.iss.net/security_center/static/11047.php


<Microsoft>
▽ Microsoft virtual machine
Microsoft virtual machineに複数の脆弱性が発見された。
一つ目は、信頼されていないJavaスクリプトから、ユーザーディレクトリのプロパティにアクセスすることが可能になる問題。この問題を利用することにより、悪意のあるスクリプトから、ユーザーディレクトリの情報をメールなどで送信させることが可能となる。
二つ目は、ポート番号の指定を含んでいるURLを利用し、信頼されているサイト内で、信頼されていないスクリプトを実行出来る問題。この問題により、重要な情報を含んだCookie情報などを取得される可能性がある。
三つ目は、セキュリティマネージャーが管理する禁止されているJavaスクリプトのリストを、セキュリティマネージャーを通さずにリストを書き換えることができる問題。この問題により、正常なスクリプトをリストにくわえることで、スクリプトの実行を阻害し、サービスを受けられないようにすることが可能となる。

CERT
Vulnerability Note VU#897529
Microsoft Virtual Machine allows untrusted applets to access the user.dir system property
http://www.kb.cert.org/vuls/id/897529

CERT
Vulnerability Note VU#657625
Microsoft Virtual Machine incorrectly parses the domain portion of URLs containing a colon
http://www.kb.cert.org/vuls/id/657625

CERT
Vulnerability Note VU#237777
Microsoft Virtual Machine allows applets write access to the Standard Security Manager
http://www.kb.cert.org/vuls/id/237777


<UNIX共通>
▽ python
Python は推測可能なテンポラリファイルを作成することが原因で、シンボリックリンク攻撃が可能となる脆弱性が存在する。この問題を利用することにより、ローカルから任意のコードを実行される可能性がある。

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-159-1 python ─ insecure temporary files
http://www.debian.org/security/2002/dsa-159

IIS X-Force Database 2002/09/11 追加
Python os._execvpe function temporary file symlink attack
http://www.iss.net/security_center/static/10009.php

Debian GNU/Linux ─ Security Information 2002/09/11 追加
DSA-159-2 python ─ insecure temporary files
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00082.html

Vine Linux errata 2002/10/04 追加
python にセキュリティホール
http://www.vinelinux.org/errata/25x/20021002-5.html

SecurityFocus 2002/10/04 追加
Gentoo Linux : python
http://online.securityfocus.com/advisories/4521

Turbolinux Japan Security Center 2002/11/05 追加
python  os.pyの脆弱
http://www.turbolinux.co.jp/security/python-2.2-3.html

LinuxSecurity 2002/11/15 追加
Caldera: python insecure temporary file vulnerability
http://www.linuxsecurity.com/advisories/caldera_advisory-2573.html

SCO Security Advisory 2002/11/18 追加
CSSA-2002-045.0 Linux: python insecure temporary files in os._execvpe
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-045.0.txt

Vine Linux errata [2.1.x] 2002/11/19 追加
python にセキュリティホール
http://www.vinelinux.org/errata/2x/20021117-4.html

MandrakeSoft Security Advisory 2002/11/27 追加
MDKSA-2002:082 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082

MandrakeSoft Security Advisory 2002/12/10 追加
MDKSA-2002:082-1 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082-1

Red Hat Linux Security Advisory 2003/01/22 追加
RHSA-2002:202-25 Updated python packages fix predictable temporary file
http://rhn.redhat.com/errata/RHSA-2002-202.html

▽ CUPS
Common UNIX Printing System (CUPS) に特殊なUDPパケットを送信することにより、リモートからCUPSを使用することが可能となる脆弱性が発見された。この問題を利用することにより、リモートの攻撃者がルート権限を奪取することが可能となる。[更新]

□ 関連情報:

SecuriTeam.com
Multiple Security Vulnerabilities in Common UNIX Printing System
(CUPS)
http://www.securiteam.com/unixfocus/6V00E2K6AM.html

SecurityFocus
iDEFENSE Security Advisory 12.19.02: Multiple Security
Vulnerabilities in Common Unix Printing System (CUPS)
http://online.securityfocus.com/archive/1/304031/2002-12-17/2002-12-23/0

SecurityFocus 2002/12/25 追加
iDEFENSE Security Advisory 12.23.02: Integer Overflow in pdftops
http://online.securityfocus.com/archive/1/304370/2002-12-21/2002-12-27/0

SecuriTeam.com 2002/12/26 追加
Integer Overflow in pdftops
http://www.securiteam.com/unixfocus/6X00M1F6AQ.html

Common Vulnerabilities and Exposures (CVE) 2002/12/26 追加
CAN-2002-1383
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1383

SecuriTeam.com 2003/01/06 追加
CUPS Integer Overflow Exploit
http://www.securiteam.com/exploits/5ZP031F8VA.html

SecurtyFocus 2003/01/06 追加
GLSA: cups
http://online.securityfocus.com/archive/1/304678/2002-12-27/2003-01-02/0

SecurtyFocus 2003/01/06 追加
SuSE Security Announcement: cups (SuSE-SA:2003:002)
http://online.securityfocus.com/archive/1/304937/2002-12-27/2003-01-02/0

SecurtyFocus 2003/01/06 追加
GLSA: xpdf
http://online.securityfocus.com/archive/1/304941/2002-12-27/2003-01-02/0

Miracle Linux Support 2003/01/06 追加
xpdf セキュリティ インテジャーオーバーフロー
http://www.miraclelinux.com/support/update/data/xpdf.html

Debian GNU/Linux ─ Security Information 2003/01/07 追加
DSA-222-1 xpdf ─ integer overflow
http://www.debian.org/security/2003/dsa-222

SecurtyFocus 2003/01/14 追加
[RHSA-2002:295-07] Updated CUPS packages fix various vulnerabilities
http://online.securityfocus.com/archive/1/306440/2003-01-11/2003-01-17/0

Red Hat Linux Security Advisory 2003/01/14 追加
RHSA-2002:295-07 Updated CUPS packages fix various vulnerabilities
http://rhn.redhat.com/errata/RHSA-2002-295.html

Debian GNU/Linux ─ Security Information 2003/01/14 追加
DSA-226-1 xpdf-i ─ integer overflow
http://www.debian.org/security/2003/dsa-226

LinuxSecurty 2003/01/14 追加
Mandrake: xpdf buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2748.html

LinuxSecurty 2003/01/14 追加
Mandrake: CUPS multiple vulnerabilities
http://www.linuxsecurity.com/advisories/mandrake_advisory-2744.html

LinuxSecurty 2003/01/21 追加
Debian: CUPS multiple vulnerabilities
http://www.linuxsecurity.com/advisories/debian_advisory-2776.html

Debian GNU/Linux ─ Security Information 2003/01/21 追加
DSA-232-1 cupsys ─ several
http://www.debian.org/security/2003/dsa-232

SCO Security Advisory 2003/01/21 追加
CSSA-2003-004.0 Linux: Multiple Security Vulnerabilities in the Common Unix Printing System (CUPS)
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2003-004.0.txt

Turbolinux Security Advisory 2003/01/22 追加
xpdf バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-3j.txt

Turbolinux Security Advisory 2003/01/22 追加
cups バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-4j.txt

Debian GNU/Linux ─ Security Information 2003/01/22 追加
DSA-232-1 cupsys ─ several
http://www.debian.org/security/2003/dsa-232

LinuxSecurty 2003/01/22 追加
Caldera: CUPS multiple vulnerabilities
http://www.linuxsecurity.com/advisories/caldera_advisory-2781.html

▽ ps
psコマンドは、細工された引数を適切にチェックしていないことが原因でバッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、ローカルから任意のコードを実行される可能性がある。[更新]

□ 関連情報:

SCO Security Advisory 2003/01/21 更新
UnixWare 7.1.1 Open UNIX 8.0.0 UnixWare 7.1.3 : command line argument buffer overflow in ps
ftp://ftp.sco.com/pub/updates/OpenUNIX/CSSA-2003-SCO.1.1/CSSA-2003-SCO.1.1.txt

ISS X-Force Database 2003/01/21 追加
openunix-unixware-ps-bo (11045) Caldera (SCO) OpenUnix and UnixWare ps command line buffer overflow
http://www.iss.net/security_center/static/11045.php


<SunOS/Solaris>
▽ Solaris
Solarisの /usr/lib/utmp_update は、utmp_update コマンドのutmp_update.c ファイルにある load_utmpx_struct() 機能にバッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、ローカルから任意のコードを実行される可能性がある。 [更新]

□ 関連情報:

Sun(sm) Alert Notification
50008 Security Vulnerability with the Solaris /usr/lib/utmp_update Command
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50008&zone_32=category%3Asecurity

SecurityTracker.com Archives
Alert ID:1005935 Sun Solaris Operating System /usr/lib/utmp_update
Buffer Overflow May Give Local Users Root Privileges
http://www.securitytracker.com/alerts/2003/Jan/1005935.html

ISS X-Force Database 2003/01/21 追加
solaris-utmp-update-bo (11083) Sun Solaris /usr/lib/utmp_update command buffer overflow
http://www.iss.net/security_center/static/11083.php


<HP-UX>
▽ HP-UX XServer
HP-UX XServerに権限拡大の脆弱性が発見された。この問題を利用することにより、管理権限のないユーザーが管理設定を変更したり、権限外のファイルを利用することが可能となる。[更新]

□ 関連情報:

CERT
Vulnerability Note VU#862401
HP-UX XServer contains privilege escalation vulnerability
http://www.kb.cert.org/vuls/id/862401

HP-UX security bulletins digest
HPSBUX0301-238SSRT2361 Security Vulnerability in the HP-UX 11.22 Xserver
http://itrc.hp.com/

CERT/CC Vulnerability Note
VU#862401 HP-UX XServer contains privilege escalation vulnerability
http://www.kb.cert.org/vuls/id/862401

SecurityTracker.com Archives
Alert ID:1005936 HP-UX Xserver May Let Remote Authenticated Users Obtain Elevated Privileges
http://www.securitytracker.com/alerts/2003/Jan/1005936.html

HEWLETT-PACKARD COMPANY
hp-ux 11i the platform with choice
http://www.hp.com/products1/unix/operating/choice/index.html

HEWLETT-PACKARD COMPANY セキュリティ報告 2003/01/21 追加
HPSBUX0301-238 SSRT2361 HP-UX 11.22 Xserverにおけるセキュリティ脆弱性
http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0301-238.html

ISS X-Force Database 2003/01/21 追加
hp-xserver-gain-privileges (11094) HP-UX Xserver could allow an attacker to gain elevated privileges
http://www.iss.net/security_center/static/11094.php


<Linux共通>
▽ CVS
CVSにダブルフリーの脆弱性が発見された。この問題を利用し、書き込み特権を持ったユーザーが任意のコードを実行するなどが可能となる。 [更新]

□ 関連情報:

Red Hat Linux Security Advisory
RHSA-2003:012-07 Updated CVS packages available
http://rhn.redhat.com/errata/RHSA-2003-012.html

News Item
2003-01-20: CVS 1.11.5 Released! (security update)
http://ccvs.cvshome.org/servlets/NewsItemView?newsID=51

e-matters : SECURITY
Advisory 01/2003 A vulnerability within CVS allows remote
compromise of CVS servers
http://security.e-matters.de/advisories/012003.html

MandrakeSoft Security Advisory
MDKSA-2003:009 : cvs
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:009

LinuxSecurty
RedHat: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2780.html

Red Hat Linux Security Advisory
RHSA-2003:012-07 Updated CVS packages available
https://rhn.redhat.com/errata/RHSA-2003-012.html

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0015
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015

OpenBSD Security Advisory 2003/01/21 追加
006: SECURITY FIX: January 20, 2003
http://www.openbsd.org/errata.html#cvs

OpenBSD Security Advisory 2003/01/21 追加
020: SECURITY FIX: January 20, 2003
http://www.openbsd.org/errata31.html#cvs

SecuriTeam.com 2003/01/22 追加
CVS Remote Vulnerability
http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html

CERT 2003/01/22 追加
Vulnerability Note VU#650937
Concurrent Versions System (CVS) server improperly deallocates memory
http://www.kb.cert.org/vuls/id/650937

CERT/CC Vulnerability Note 2003/01/22 追加
VU#970472 NetworkTime Protocol ([x]ntpd) daemon contains buffer
http://www.kb.cert.org/vuls/id/970472

Debian GNU/Linux ─ Security Information 2003/01/22 追加
DSA-233-1 cvs ─ doubly freed memory
http://www.debian.org/security/2003/dsa-233

LinuxSecurty 2003/01/22 追加
Connectiva: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2788.html

LinuxSecurty 2003/01/22 追加
OpenPKG: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2784.html

LinuxSecurty 2003/01/22 追加
Gentoo: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2783.html

▽ KDE
KDEのコマンドシェルに、パラメーターを適切に処理出来ない問題が発見された。この問題を利用することにより、リモートの攻撃者がvicitimのデータのプライバシーを危険にさらすことができ、ファイルの削除、データへのアクセスや、特権を備えた任意のシェル・コマンドを実行することが可能となる。 [更新]

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-214-1 kdnetwork ─ buffer overflows
http://www.debian.org/security/2002/dsa-214

SecurtyFocus
KDE Security Advisory: Multiple vulnerabilities in KDE
http://online.securityfocus.com/archive/1/304261/2002-12-21/2002-12-27/0

SecurtyFocus
GLSA: kde-3.0.x
http://online.securityfocus.com/archive/1/304340/2002-12-21/2002-12-27/0

LinuxSecurty
Gentoo: KDE multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2697.html

SecuriTeam.com 2002/12/27 追加
Multiple Vulnerabilities in KDE (command shell)
http://www.securiteam.com/unixfocus/6K00P1P6AM.html

Turbolinux Security Advisory 2003/01/10 追加
TLSA-2003-1 多数の KDE パッケージに脆弱性が存在
http://www.turbolinux.co.jp/security/TLSA-2003-1j.txt

SecurtyFocus 2003/01/15 追加
MDKSA-2003:004 - Updated KDE packages fix multiple vulnerabilities
http://online.securityfocus.com/archive/1/306550/2003-01-12/2003-01-18/0

LinuxSecurty 2003/01/15 追加
Mandrake: KDE shell command execution vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2758.html

MandrakeSoft Security Advisory
MDKSA-2003:004-1 : kde
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:004-1

LinuxSecurty 2003/01/21 追加
Gentoo: KDE 2.2.x multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2774.html

SecurtyFocus 2003/01/22 追加
GLSA: kde-2.2.x
http://online.securityfocus.com/archive/1/307452/2003-01-12/2003-01-18/0

▽ openldap
OpenLDAP (Lightweight Directory Access Protocol) は実装上の原因により、バッファオーバーフローの問題が存在する。この問題を利用することにより、リモートから任意のコードを実行される可能性がある。

□ 関連情報:

SuSE Security Announcement
SuSE-SA:2002:047 OpenLDAP2
http://www.suse.de/de/security/2002_047_openldap2.html

Common Vulnerabilities and Exposures (CVE) 2002/12/26 追加
CAN-2002-1378
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1378

Common Vulnerabilities and Exposures (CVE) 2002/12/26 追加
CAN-2002-1379
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1379

SecurtyFocus 2003/01/06 追加
GLSA: openldap
http://online.securityfocus.com/archive/1/304671/2002-12-27/2003-01-02/0

Debian GNU/Linux ─ Security Information 2003/01/14 追加
DSA-227-1 openldap2 ─ buffer overflows and other bugs
http://www.debian.org/security/2003/dsa-227

MandrakeSoft Security Advisory 2003/01/16 追加
MDKSA-2003:006 : openldap
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:006

SecurtyFocus 2003/01/16 追加
MDKSA-2003:006 - Updated OpenLDAP packages fix multiple vulnerabilities
http://online.securityfocus.com/archive/1/306763/2003-01-13/2003-01-19/0

LinuxSecurty 2003/01/17 追加
Mandrake: openldap multiple vulnerabilities
http://www.linuxsecurity.com/advisories/mandrake_advisory-2768.html

Turbolinux Security Advisory 2003/01/22 追加
openldap バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-5j.txt

▽ susehelp
susehelpのCGI スクリプトは、http サービスを提供している環境において susehelp CGI スクリプトに細工した文字列を入力した場合に適切なチェックをしていないため、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから任意のコードを実行される可能性がある。

SuSE Security Announcement
SuSE-SA:2003:005 susehelp
http://www.suse.de/de/security/2003_005_susehelp.html

▽ VIM
VIM (Vi IMproved)に、ファイル中に特殊なコメントを記述することにより、テキストファイルからmodelineを利用することが可能になる問題が発見された。この問題を利用することにより、攻撃者がテキストファイルを作成し、任意のコマンドを実行させることが可能となる。

□ 関連情報:

Red Hat Linux Security Advisory 2003/01/17 追加
RHSA-2002:297-17 Updated vim packages fix modeline vulnerability
http://rhn.redhat.com/errata/RHSA-2002-297.html

LinuxSecurty 2003/01/17 追加
RedHat: vim command execution vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2767.html

LinuxSecurty 2003/01/22 追加
OpenPKG: vim arbitrary code execution vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2785.html

▽ libpng
libpngで16ビットサンプリングのPNGファイルの読み込みと書き込みを行う際に、バッファオーバーフローの脆弱性が発生する問題が発見された。現在、この問題を修正したアップデートパッケージがリリースされている。

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-213-1 libpng ─ buffer overflow
http://www.debian.org/security/2002/dsa-213

SecurityFocus
[SECURITY] [DSA 213-1] New libpng packages fix buffer overflow
http://online.securityfocus.com/archive/1/303971/2002-12-17/2002-12-23/0

SecurtyFocus
GLSA: libpng
http://online.securityfocus.com/archive/1/305667/2003-01-06/2003-01-12/0

LinuxSecurity
Gentoo: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2739.html

Red Hat Linux Security Advisory 2003/01/15 更新
RHSA-2003:006-06 Updated libpng packages fix buffer overflow
http://rhn.redhat.com/errata/RHSA-2003-006.html

SecurtyFocus 2003/01/15 追加
SuSE Security Announcement: libpng (SuSE-SA:2003:0004)
http://online.securityfocus.com/archive/1/306601/2003-01-12/2003-01-18/0

LinuxSecurty 2003/01/15 追加
SuSe: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/suse_advisory-2756.html

LinuxSecurty 2003/01/15 追加
YellowDog: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/yellowdog_advisory-2755.html

SecurtyFocus 2003/01/16 追加
[OpenPKG-SA-2003.001] OpenPKG Security Advisory (png)
http://online.securityfocus.com/archive/1/306744/2003-01-13/2003-01-19/0

LinuxSecurty 2003/01/16 追加
OpenPKG: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2765.html

MandrakeSoft Security Advisory 2003/01/21 追加
MDKSA-2003:008 : libpng
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:008

LinuxSecurty 2003/01/22 追加
Mandrake: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2787.html

▽ Canna
Cannaに実装上の原因により、複数のセキュリティホールが発見された。この問題を利用することにより、リモートから権限を昇格されたり、Cannaサーバの内部情報を奪取されたりDoS攻撃を受ける可能性があります。

□ 関連情報:

Canna セキュリティ情報
Canna-2002-1 複数のcanna サーバーの脆弱性
http://canna.sourceforge.jp/sec/Canna-2002-01.txt

Vine Linux errata
Cannaにセキュリティホール
http://www.vinelinux.org/errata/25x/20021202-1.html

Turbolinux Japan Security Center
Canna 複数のcanna サーバーの脆弱性
http://www.turbolinux.co.jp/security/Canna-3.6-1.html

Vine Linux errata [2.1.x] 2002/12/12 追加
Cannaにセキュリティホール
http://www.vinelinux.org/errata/2x/20021211.html

Red Hat Linux Security Advisory 2002/12/12 追加
RHSA-2002:246-18 Updated Canna packages fix vulnerabilities
https://rhn.redhat.com/errata/RHSA-2002-246.html

Common Vulnerabilities and Exposures (CVE) 2002/12/12 追加
CAN-2002-1158
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1158

Common Vulnerabilities and Exposures (CVE) 2002/12/12 追加
CAN-2002-1159
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1159

Miracle Linux Support 2002/12/18 追加
Canna
http://www.miraclelinux.com/support/update/data/Canna.html

LinuxSecurty 2002/12/24 追加
Gentoo: canna multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2694.html

Debian GNU/Linux ─ Security Information
DSA-224-1 canna ─ buffer overflow and more
http://www.debian.org/security/2003/dsa-224

SecurtyFocus
[SECURITY] [DSA 224-1] New canna packages fix buffer overflow and denial of service
http://online.securityfocus.com/archive/1/305668/2003-01-06/2003-01-12/0

LinuxSecurity
Debian: canna multiple vulnerabilities
http://www.linuxsecurity.com/advisories/debian_advisory-2738.html

LinuxSecurty 2003/01/22 追加
SCO: canna Multiple vulnerabilities
http://www.linuxsecurity.com/advisories/caldera_advisory-2790.html


<リリース情報>
▽ Apache
Apache 2.0.44がリリースされた。
http://httpd.apache.org/

▽ Mandrake Linux
saneのアップデートパッケージがリリースされた。
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKA-2003:001

▽ Mandrake Linux
printer-driversのアップデートパッケージがリリースされた。
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010-1


<セキュリティトピックス>
▽ サポート情報
トレンドマイクロのサポート情報が複数アップされている。
2003/01/22 更新
http://www.trendmicro.co.jp/esolution/newsolution.asp

▽ ウイルス情報
トレンドマイクロ、VBS_LICHAR.A[更新]
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_LICHAR.A

▽ ウイルス情報
シマンテック、W32.Buffy.D
http://www.symantec.com/region/jp/sarcj/data/w/w32.buffy.d.html

▽ ウイルス情報
シマンテック、Backdoor.Zix
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.zix.html

▽ ウイルス情報
日本ネットワークアソシエイツ、Linux/Exploit-Da2
http://www.nai.com/japan/virusinfo/virE.asp?v=Linux/Exploit-Da2

▽ ウイルス情報
日本ネットワークアソシエイツ、Linux/Shinject
http://www.nai.com/japan/virusinfo/virS.asp?v=Linux/Shinject

▽ ウイルス情報
日本ネットワークアソシエイツ、PornDial-143 application
http://www.nai.com/japan/virusinfo/virPQ.asp?v=PornDial-143%20application

▽ ウイルス情報
ソフォス、W32/Oror-Fam
http://www.sophos.co.jp/virusinfo/analyses/w32ororfam.html


【更に詳細な情報サービスのお申し込みはこちら
   https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

    複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  4. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  5. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  6. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  7. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  8. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×