セキュリティホール情報＜2003/01/23＞

＜プラットフォーム共通＞
▽ dhcpd
ISC DHCPD のバージョン 3.0〜3.0.1rc10 に複数のバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートから攻撃者に任意のコードを実行される可能性がある。［更新］

□ 関連情報:

CERT 2003/01/21 更新
Vulnerability Note VU#284857
ISC DHCPD minires library contains multiple buffer overflows
http://www.kb.cert.org/vuls/id/284857

IPA 2003/01/17 追加
ISC DHCPD にバッファオーバーフローの脆弱性(CA-2003-01)
http://www.ipa.go.jp/security/

Common Vulnerabilities and Exposures (CVE) 2003/01/17 追加
CAN-2003-0026
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0026

CIAC 2003/01/17 追加
N-031: Buffer Overflows in ISC DHCPD Minires Library
http://www.ciac.org/ciac/bulletins/n-031.shtml

Red Hat Linux Security Advisory 2003/01/17 追加
RHSA-2003:011-07 Updated dhcp packages fix security vulnerabilities
http://rhn.redhat.com/errata/RHSA-2003-011.html

LinuxSecurty 2003/01/17 追加
RedHat: dhcp buffer overflow vulnerabilities
http://www.linuxsecurity.com/advisories/redhat_advisory-2766.html

SecuriTeam.com 2003/01/20 追加
ISC DHCPD Minires Library Contains Multiple Buffer Overflows
http://www.securiteam.com/securitynews/5JP0A2A8VU.html

Debian GNU/Linux ─ Security Information 2003/01/20 追加
DSA-231-1 dhcp3 ─ stack overflows
http://www.debian.org/security/2003/dsa-231

SecurtyFocus 2003/01/20 追加
[SECURITY] [DSA 231-1] New dhcp3 packages fix arbitrary code execution
http://online.securityfocus.com/archive/1/307088/2003-01-17/2003-01-23/0

LinuxSecurty 2003/01/20 追加
Gentoo: dhcpd buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2772.html

MandrakeSoft Security Advisory 2003/01/20 追加
MDKSA-2003:007 : dhcp
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:007

CERT Advisory 翻訳版 2003/01/21 追加
CA-2003-01 Buffer Overflows in ISC DHCPD Minires Libra
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_01.html

LinuxSecurty 2003/01/21 追加
Slackware: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/slackware_advisory-2779.html

LinuxSecurty 2003/01/21 追加
OpenPKG: dhcpd multiple vulnerabilities
http://www.linuxsecurity.com/advisories/other_advisory-2778.html

LinuxSecurty 2003/01/21 追加
SuSe: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/suse_advisory-2777.html

Turbolinux Security Advisory 2003/01/22 追加
dhcp バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-6j.txt

LinuxSecurty 2003/01/22 追加
Gentoo: dhcp Multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2792.html

SecuriTeam.com 2003/01/23 追加
Local and Remote Exploit For ISC DHCPd Format String (Update Log)
http://www.securiteam.com/exploits/5HP0R0K8UE.html

▽ xpdf
xpdfのpdftopsフィルタは、細工されたPDFファイルを適切にチェックしていないことが原因で、バッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、ローカルから権限を昇格される可能性がある。［更新］

□ 関連情報:

Neohapsis Archives - Bugtraq
iDEFENSE Security Advisory 12.23.02: Integer Overflow in pdftops
http://archives.neohapsis.com/archives/bugtraq/2002-12/0246.html

News
CUPS v1.1.18 is Released!
http://www.cups.org/news.php?V87

Debian GNU/Linux ─ Security Information
DSA-222-1 xpdf ─ integer overflow
http://www.debian.org/security/2003/dsa-222

Common Vulnerabilities and Exposures (CVE)
CAN-2002-1384
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1384

ISS X-Force Database
pdftops-integer-overflow (10937) CUPS and Xpdf pdftops filter integer overflow
http://www.iss.net/security_center/static/10937.php

Security Information Directory fm
SIDfm ID1655 CUPS に複数のセキュリティホール
http://sid-members.softek.co.jp/loPrint.html?htmlid=1655

MandrakeSoft Security Advisory 2003/01/10 追加
MDKSA-2003:002 xpdf
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:002

Debian GNU/Linux ─ Security Information 2003/01/11 追加
DSA-226-1 xpdf-i ─ integer overflow
http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00006.html

Turbolinux Security Advisory 2003/01/22 追加
TLSA-2003-3 xpdf バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-3j.txt

＜その他の製品＞
▽ PeopleSoft
PeopleSoftのApplication Messaging GatewayにXML外部エンティティの脆弱性が発見された。この問題を利用することにより、PeopleSoftアプリケーションサーバにある任意のファイルを読みとり、機密情報などが漏洩する可能性がある。

Internet Security Systems セキュリティアドバイザリ
PeopleSoft の XML 外部エンティティの脆弱点
http://www.isskk.co.jp/support/techinfo/general/PepoleSoftXXE_xforce.html

SecuriTeam.com 2003/01/23 追加
PeopleSoft XML External Entities Vulnerability
http://www.securiteam.com/securitynews/5CP0M0K8UM.html

＜Microsoft＞
▽ Microsoft VM
Microsoft VM は適切にセキュリティチェックを行っていないことが原因で、複数のセキュリティホールが存在する。攻撃者にこれらのセキュリティホールを悪用された場合、リモートから様々な攻撃を受ける可能性がある。［更新］

Microsoft Security Bulletin
MS02-069 Flaw in Microsoft VM Could Enable System Compromise
(810030)
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS02-069.asp

マイクロソフトセキュリティ情報速報
S02-069 に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-069ov.asp

マイクロソフトセキュリティ情報
MS02-069 Microsoft VM の問題により、システムが侵害される (810030)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-069.asp

マイクロソフトセキュリティ情報
MS02-069 よく寄せられる質問
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/fq02-069.asp

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1257
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1257

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1258
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1258

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1259
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1259

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1260
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1260

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1261
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1261

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1262
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1262

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1263
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1263

LSD-PLaNET - Java Security
Java and Java Virtual Machine Vulnerabilities and their Exploitation Techniques
http://lsd-pl.net/java_security.html

CIAC (Computer Incident Advisory Capability) 2002/12/16 追加
N-026: Flaw in Microsoft VM Could Enable System Compromise
http://www.ciac.org/ciac/bulletins/n-026.shtml

ISS X-Force Database 2002/12/17 追加
msvm-jdbc-gain-access (10833) Microsoft VM JDBC APIs could allow unauthorized database access
http://www.iss.net/security_center/static/10833.php

マイクロソフト日本語版 KB 2002/12/20 追加
810030 - [MS02-069] Microsoft VM の問題によりシステムが侵害される
http://support.microsoft.com/default.aspx?scid=kb;ja;JP810030

CERT/CC Vulnerability Note 2003/01/22 追加
VU#237777 Microsoft Virtual Machine allows applets write access to the Standard Security Manager
http://www.kb.cert.org/vuls/id/237777

CERT/CC Vulnerability Note 2003/01/22 追加
VU#657625 Microsoft Virtual Machine incorrectly parses the domain portion of URLs containing a colon
http://www.kb.cert.org/vuls/id/657625

CERT/CC Vulnerability Note 2003/01/22 追加
VU#897529 Microsoft Virtual Machine allows untrusted applets to access the user.dir system property
http://www.kb.cert.org/vuls/id/897529

＜UNIX共通＞
▽ CDE
CDE Tooltalkは、実装上の原因により複数のセキュリティホールが存在する。攻撃者にこれらのセキュリティホールを悪用された場合、リモートから任意のコードを実行、DoS 攻撃、任意のファイルの上書きといった攻撃を受ける可能性がある。［更新］

□ 関連情報:

Open Group Desktop Technologies
Frequently Asked Questions (FAQ)
http://www.opengroup.org/desktop/faq/

CERT/CC (CERT Coordination Center)
CA-2002-20 Multiple Vulnerabilities in CDE ToolTalk
http://www.cert.org/advisories/CA-2002-20.html

CERT/CC Vulnerability Note
VU#975403 CDE (Common Desktop Environment) ToolTalk RPC database
server (rpc.ttdbserverd) does not adequately validate file descriptor arguement to _TT_ISCLOSE()
http://www.kb.cert.org/vuls/id/975403

CERT/CC Vulnerability Note
VU#299816 CDE (Common Desktop Environment) ToolTalk RPC database
server (rpc.ttdbserverd) does not adequately validate file operations
http://www.kb.cert.org/vuls/id/299816

CVE (Common Vulnerabilities and Exposures)
CAN-2002-0677
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0677

CVE (Common Vulnerabilities and Exposures)
CAN-2002-0678
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0678

ISS X-Force Database
tooltalk-ttdbserverd-ttisclose-validation (9526) CDE ToolTalk rpc.
ttdbserverd _TT_ISCLOSE() improper validation
http://www.iss.net/security_center/static/9526.php

ISS X-Force Database
tooltalk-ttdbserverd-tttransaction-symlink (9527) CDE ToolTalk rpc.
ttdbserverd _TT_TRANSACTION() symlink
http://www.iss.net/security_center/static/9527.php

Caldera International, Inc. Security Advisory
CSSA-2002-SCO.28 UnixWare 7.1.1 Open UNIX 8.0.0 : rpc.ttdbserverd file creation and deletion vulnerabilities
ftp://ftp.caldera.com/pub/updates/OpenUNIX/CSSA-2002-SCO.28/CSSA-2002-SCO.28.txt

HP-UX security bulletins digest 2002/07/14 追加 , 2002/07/17 更新
HPSBUX0207-199 Vulnerability in rpc.ttdbserver
http://itrc.hp.com/

HP COMPAQ SECURITY BULLETIN 2002/09/04 追加
SSRT2275 - HP Tru64 UNIX - Potential Buffer Overflows & SSRT2229
Potential Denial of Service
http://wwss1pro.compaq.com/support/reference_library/viewdocument.asp?source=SRB0039W.xml&dt=11

CIAC (Computer Incident Advisory Capability) 2002/09/04 追加
M-118: HP Tru64 Unix Multiple Vulnerabilities
http://www.ciac.org/ciac/bulletins/m-118.shtml

SGI Security Advisory 2002/11/06 追加
20021101-01-P CDE ToolTalk rpc.ttdbserverd vulnerabilities
ftp://patches.sgi.com/support/free/security/advisories/20021101-01-P

SGI Security Advisory 2002/11/07 追加
20021102-01-P IRIX ToolTalk rpc.ttdbserverd vulnerabilities
ftp://patches.sgi.com/support/free/security/advisories/20021102-01-P

Sun(sm) Alert Notification 2002/12/16 追加
46022 Multiple Vulnerabilities in the Tooltalk Database Server
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F46022&zone_32=category%3Asecurity

SGI Security Advisory 2003/01/22 追加
20021102-02-P IRIX ToolTalk RPC Server Format String Vulnerability update
ftp://patches.sgi.com/support/free/security/advisories/20021102-02-P

＜SunOS/Solaris＞
▽ Sun KCMS library
Sun KCMS libraryにリモートのクライアントから、KCMSのプロフィールを参照出来る脆弱性が発見された。この問題を利用ことにより、権限外のディレクトリを利用することが可能となり、ファイルを利用することが可能となる。

CERT
Vulnerability Note VU#850785
Sun KCMS library service daemon does not adequately validate location of KCMS profiles
http://www.kb.cert.org/vuls/id/850785

＜Linux共通＞
▽ CVS
CVSにダブルフリーの脆弱性が発見された。この問題を利用し、書き込み特権を持ったユーザーが任意のコードを実行するなどが可能となる。［更新］

□ 関連情報:

Red Hat Linux Security Advisory
RHSA-2003:012-07 Updated CVS packages available
http://rhn.redhat.com/errata/RHSA-2003-012.html

MandrakeSoft Security Advisory
MDKSA-2003:009 : cvs
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:009

LinuxSecurty
RedHat: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2780.html

SecuriTeam.com 2003/01/22 追加
CVS Remote Vulnerability
http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html

CERT 2003/01/23 更新
Vulnerability Note VU#650937
CVS (Concurrent Versions System) server improperly deallocates memory
http://www.kb.cert.org/vuls/id/650937

Debian GNU/Linux ─ Security Information 2003/01/22 追加
DSA-233-1 cvs ─ doubly freed memory
http://www.debian.org/security/2003/dsa-233

LinuxSecurty 2003/01/22 追加
Connectiva: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2788.html

LinuxSecurty 2003/01/22 追加
OpenPKG: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2784.html

LinuxSecurty 2003/01/22 追加
Gentoo: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2783.html

CVS 2003/01/23 追加
2003-01-20: CVS 1.11.5 Released! (security update)
http://ccvs.cvshome.org/servlets/NewsItemView?newsID=51

CVE (Common Vulnerabilities and Exposures) 2003/01/23 追加
CAN-2003-0015
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015

IPA 2003/01/23 追加
CVS サーバにリモートから攻略可能な脆弱性
http://www.ipa.go.jp/security/

Miracle Linux Support 2003/01/23 追加
cvs メモリ領域の二重開放
http://www.miraclelinux.com/support/update/data/cvs.html

SecurtyFocus 2003/01/23 追加
[OpenPKG-SA-2003.004] OpenPKG Security Advisory (cvs)
http://online.securityfocus.com/archive/1/307625/2003-01-20/2003-01-26/0

▽ printer-drivers
printer-driversに3つの脆弱性が発見された。
1つ目は、mtinkバイナリのHOME環境変数の取り扱いに、バッファー・オーバーフローが発生する。この問題を利用することにより、攻撃者に「sys」グループ特権を奪取されるおそれがある。
2つ目は、escputilバイナリのプリンタ名コマンドライン解析にバッファオーバーフローの脆弱性が発生する。この問題を利用することにより、攻撃者に「sys」グループ特権を奪取されるおそれがある。
3つ目は、ml85pバイナリのテンポラリファイルにレースコンディションの脆弱性が発生する。この問題を利用ことにより、スーパーユーザー権限でファイルを作成される他、空にすることが可能となる。

□ 関連情報:

MandrakeSoft Security Advisory
MDKSA-2003:010 : printer-drivers
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010

MandrakeSoft Security Advisory
MDKSA-2003:010-1 : printer-drivers
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010-1

SecuriTeam.com
Buffer Overflows in Mandrake Linux printer-drivers Package
http://www.securiteam.com/unixfocus/5BP0L0K8UY.html

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0034
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0034

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0035
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0035

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0036

▽ Sambar Server
Sambar ServerのURL入力に、巧妙なURLを送信することにより、クロスサイトスクリプティングの脆弱性が発生する。この問題を利用することにより、悪意のあるコードを実行させることが可能となる。

SecurtyFocus
[SCSA-001] Sambar Server Cross-Site Scripting vulnerability
http://online.securityfocus.com/archive/1/307674/2003-01-20/2003-01-26/0

▽ VIM
VIM (Vi IMproved)に、ファイル中に特殊なコメントを記述することにより、テキストファイルからmodelineを利用することが可能になる問題が発見された。この問題を利用することにより、攻撃者がテキストファイルを作成し、任意のコマンドを実行させることが可能となる。

□ 関連情報:

Red Hat Linux Security Advisory 2003/01/17 追加
RHSA-2002:297-17 Updated vim packages fix modeline vulnerability
http://rhn.redhat.com/errata/RHSA-2002-297.html

LinuxSecurty 2003/01/17 追加
RedHat: vim command execution vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2767.html

LinuxSecurty 2003/01/22 追加
OpenPKG: vim arbitrary code execution vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2785.html

LinuxSecurty 2003/01/23 追加
Gentoo: vim command execution vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2796.html

▽ KDE
KDEのコマンドシェルに、パラメーターを適切に処理出来ない問題が発見された。この問題を利用することにより、リモートの攻撃者がvicitimのデータのプライバシーを危険にさらすことができ、ファイルの削除、データへのアクセスや、特権を備えた任意のシェル・コマンドを実行することが可能となる。［更新］

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-214-1 kdnetwork ─ buffer overflows
http://www.debian.org/security/2002/dsa-214

SecurtyFocus
KDE Security Advisory: Multiple vulnerabilities in KDE
http://online.securityfocus.com/archive/1/304261/2002-12-21/2002-12-27/0

SecurtyFocus
GLSA: kde-3.0.x
http://online.securityfocus.com/archive/1/304340/2002-12-21/2002-12-27/0

LinuxSecurty
Gentoo: KDE multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2697.html

SecuriTeam.com 2002/12/27 追加
Multiple Vulnerabilities in KDE (command shell)
http://www.securiteam.com/unixfocus/6K00P1P6AM.html

Turbolinux Security Advisory 2003/01/10 追加
TLSA-2003-1 多数の KDE パッケージに脆弱性が存在
http://www.turbolinux.co.jp/security/TLSA-2003-1j.txt

SecurtyFocus 2003/01/15 追加
MDKSA-2003:004 - Updated KDE packages fix multiple vulnerabilities
http://online.securityfocus.com/archive/1/306550/2003-01-12/2003-01-18/0

LinuxSecurty 2003/01/15 追加
Mandrake: KDE shell command execution vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2758.html

MandrakeSoft Security Advisory
MDKSA-2003:004-1 : kde
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:004-1

LinuxSecurty 2003/01/21 追加
Gentoo: KDE 2.2.x multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2774.html

SecurtyFocus 2003/01/22 追加
GLSA: kde-2.2.x
http://online.securityfocus.com/archive/1/307452/2003-01-12/2003-01-18/0

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-234-1 kdeadmin ─ several
http://www.debian.org/security/2003/dsa-234

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-235-1 kdegraphics ─ several
http://www.debian.org/security/2003/dsa-235

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-236-1 kdelibs ─ several
http://www.debian.org/security/2003/dsa-236

SecurtyFocus 2003/01/23 追加
[SECURITY] [DSA 234-1] New kdeadmin packages fix several vulnerabilities
http://online.securityfocus.com/archive/1/307611/2003-01-20/2003-01-26/0

SecurtyFocus 2003/01/23 追加
[SECURITY] [DSA 235-1] New kdegraphics packages fix several vulnerabilities
http://online.securityfocus.com/archive/1/307620/2003-01-20/2003-01-26/0

▽ Canna
Cannaに実装上の原因により、複数のセキュリティホールが発見された。この問題を利用することにより、リモートから権限を昇格されたり、Cannaサーバの内部情報を奪取されたりDoS攻撃を受ける可能性がある。

□ 関連情報:

Canna セキュリティ情報
Canna-2002-1 複数のcanna サーバーの脆弱性
http://canna.sourceforge.jp/sec/Canna-2002-01.txt

Vine Linux errata
Cannaにセキュリティホール
http://www.vinelinux.org/errata/25x/20021202-1.html

Turbolinux Japan Security Center
Canna 複数のcanna サーバーの脆弱性
http://www.turbolinux.co.jp/security/Canna-3.6-1.html

Vine Linux errata [2.1.x] 2002/12/12 追加
Cannaにセキュリティホール
http://www.vinelinux.org/errata/2x/20021211.html

Red Hat Linux Security Advisory 2002/12/12 追加
RHSA-2002:246-18 Updated Canna packages fix vulnerabilities
https://rhn.redhat.com/errata/RHSA-2002-246.html

Common Vulnerabilities and Exposures (CVE) 2002/12/12 追加
CAN-2002-1158
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1158

Common Vulnerabilities and Exposures (CVE) 2002/12/12 追加
CAN-2002-1159
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1159

Miracle Linux Support 2002/12/18 追加
Canna
http://www.miraclelinux.com/support/update/data/Canna.html

LinuxSecurty 2002/12/24 追加
Gentoo: canna multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2694.html

Debian GNU/Linux ─ Security Information
DSA-224-1 canna ─ buffer overflow and more
http://www.debian.org/security/2003/dsa-224

SecurtyFocus
[SECURITY] [DSA 224-1] New canna packages fix buffer overflow and denial of service
http://online.securityfocus.com/archive/1/305668/2003-01-06/2003-01-12/0

LinuxSecurity
Debian: canna multiple vulnerabilities
http://www.linuxsecurity.com/advisories/debian_advisory-2738.html

LinuxSecurty 2003/01/22 追加
SCO: canna Multiple vulnerabilities
http://www.linuxsecurity.com/advisories/caldera_advisory-2790.html

SecurtyFocus 2003/01/23 追加
Security Update: [CSSA-2003-005.0] Linux: canna buffer overflow and denial of service
http://online.securityfocus.com/archive/1/307602/2003-01-20/2003-01-26/0

DSA-159-1 python ─ insecure temporary files
http://www.debian.org/security/2002/dsa-159

IIS X-Force Database 2002/09/11 追加
Python os._execvpe function temporary file symlink attack
http://www.iss.net/security_center/static/10009.php

Debian GNU/Linux ─ Security Information 2002/09/11 追加
DSA-159-2 python ─ insecure temporary files
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00082.html

Vine Linux errata 2002/10/04 追加
python にセキュリティホール
http://www.vinelinux.org/errata/25x/20021002-5.html

SecurityFocus 2002/10/04 追加
Gentoo Linux : python
http://online.securityfocus.com/advisories/4521

Turbolinux Japan Security Center 2002/11/05 追加
python　　os.pyの脆弱
http://www.turbolinux.co.jp/security/python-2.2-3.html

LinuxSecurity 2002/11/15 追加
Caldera: python insecure temporary file vulnerability
http://www.linuxsecurity.com/advisories/caldera_advisory-2573.html

SCO Security Advisory 2002/11/18 追加
CSSA-2002-045.0 Linux: python insecure temporary files in os._execvpe
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-045.0.txt

Vine Linux errata [2.1.x] 2002/11/19 追加
python にセキュリティホール
http://www.vinelinux.org/errata/2x/20021117-4.html

MandrakeSoft Security Advisory 2002/11/27 追加
MDKSA-2002:082 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082

MandrakeSoft Security Advisory 2002/12/10 追加
MDKSA-2002:082-1 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082-1

SCO Security Advisory 2003/01/22 追加
CSSA-2003-005.0 Linux: canna buffer overflow and denial of service
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2003-005.0.txt

Red Hat Linux Security Advisory 2003/01/22 追加
RHSA-2002:202-25 Updated python packages fix predictable temporary file
http://rhn.redhat.com/errata/RHSA-2002-202.html

▽ openldap
OpenLDAP (Lightweight Directory Access Protocol) は実装上の原因により、バッファオーバーフローの問題が存在する。この問題を利用することにより、リモートから任意のコードを実行される可能性がある。

□ 関連情報:

SuSE Security Announcement
SuSE-SA:2002:047 OpenLDAP2
http://www.suse.de/de/security/2002_047_openldap2.html

Common Vulnerabilities and Exposures (CVE) 2002/12/26 追加
CAN-2002-1378
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1378

Common Vulnerabilities and Exposures (CVE) 2002/12/26 追加
CAN-2002-1379
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1379

SecurtyFocus 2003/01/06 追加
GLSA: openldap
http://online.securityfocus.com/archive/1/304671/2002-12-27/2003-01-02/0

Debian GNU/Linux ─ Security Information 2003/01/14 追加
DSA-227-1 openldap2 ─ buffer overflows and other bugs
http://www.debian.org/security/2003/dsa-227

MandrakeSoft Security Advisory 2003/01/16 追加
MDKSA-2003:006 : openldap
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:006

SecurtyFocus 2003/01/16 追加
MDKSA-2003:006 - Updated OpenLDAP packages fix multiple vulnerabilities
http://online.securityfocus.com/archive/1/306763/2003-01-13/2003-01-19/0

Turbolinux Security Advisory 2003/01/22 追加
TLSA-2003-5 openldap バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-5j.txt

＜リリース情報＞
▽ Mandrake Linux
printer-driversのアップデートパッケージがリリースされた。
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010-1

＜セキュリティトピックス＞
▽ サポート情報
トレンドマイクロのサポート情報が複数アップされている。
2003/01/22 更新
http://www.trendmicro.co.jp/esolution/newsolution.asp

▽ セキュリティトピックス
JPCERT/CC レポート 1月22日号が公開された
http://www.jpcert.or.jp/wr/2003/wr030301.txt

▽ ウイルス情報
トレンドマイクロ、W97M_SMAC.F
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=W97M_SMAC.F

▽ ウイルス情報
シマンテック、Backdoor.Talex
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.talex.html

▽ ウイルス情報
シマンテック、Backdoor.Zdemon
http://www.symantec.com/region/jp/sarcj/data/b/backdoor.zdemon.html

▽ ウイルス情報
シマンテック、W32.HLLW.Eissa
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.eissa.html

▽ ウイルス情報
シマンテック、Trojan.Poldo.B
http://www.symantec.com/region/jp/sarcj/data/t/trojan.poldo.b.html

▽ ウイルス情報
日本ネットワークアソシエイツ、Downloader-BT application
http://www.nai.com/japan/virusinfo/virD.asp?v=Downloader-BT%20application

【更に詳細な情報サービスのお申し込みはこちら
　　 https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx 】