セキュリティホール情報<2003/01/24> | ScanNetSecurity
2021.02.28(日)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

セキュリティホール情報<2003/01/24>

<プラットフォーム共通> ▽ dhcpd ISC DHCPD のバージョン 3.0〜3.0.1rc10 に複数のバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートから攻撃者に任意のコードを実行される可能性がある。[更新]

脆弱性と脅威 セキュリティホール・脆弱性
<プラットフォーム共通>
▽ dhcpd
ISC DHCPD のバージョン 3.0〜3.0.1rc10 に複数のバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートから攻撃者に任意のコードを実行される可能性がある。[更新]

□ 関連情報:

CERT 2003/01/21 更新
Vulnerability Note VU#284857
ISC DHCPD minires library contains multiple buffer overflows
http://www.kb.cert.org/vuls/id/284857

IPA 2003/01/17 追加
ISC DHCPD にバッファオーバーフローの脆弱性(CA-2003-01)
http://www.ipa.go.jp/security/

CVE (Common Vulnerabilities and Exposures) 2003/01/17 追加
CAN-2003-0026
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0026

CIAC 2003/01/17 追加
N-031: Buffer Overflows in ISC DHCPD Minires Library
http://www.ciac.org/ciac/bulletins/n-031.shtml

Red Hat Linux Security Advisory 2003/01/17 追加
RHSA-2003:011-07 Updated dhcp packages fix security vulnerabilities
http://rhn.redhat.com/errata/RHSA-2003-011.html

Linuxsecurity 2003/01/17 追加
RedHat: dhcp buffer overflow vulnerabilities
http://www.linuxsecurity.com/advisories/redhat_advisory-2766.html

SecuriTeam.com 2003/01/20 追加
ISC DHCPD Minires Library Contains Multiple Buffer Overflows
http://www.securiteam.com/securitynews/5JP0A2A8VU.html

Debian GNU/Linux ─ Security Information 2003/01/20 追加
DSA-231-1 dhcp3 ─ stack overflows
http://www.debian.org/security/2003/dsa-231

securityFocus 2003/01/20 追加
[SECURITY] [DSA 231-1] New dhcp3 packages fix arbitrary code execution
http://online.securityfocus.com/archive/1/307088/2003-01-17/2003-01-23/0

Linuxsecurity 2003/01/20 追加
Gentoo: dhcpd buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2772.html

MandrakeSoft Security Advisory 2003/01/20 追加
MDKSA-2003:007 : dhcp
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:007

CERT Advisory 翻訳版 2003/01/21 追加
CA-2003-01 Buffer Overflows in ISC DHCPD Minires Libra
http://www.lac.co.jp/security/intelligence/CERT/CA-2003_01.html

Linuxsecurity 2003/01/21 追加
Slackware: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/slackware_advisory-2779.html

Linuxsecurity 2003/01/21 追加
OpenPKG: dhcpd multiple vulnerabilities
http://www.linuxsecurity.com/advisories/other_advisory-2778.html

Linuxsecurity 2003/01/21 追加
SuSe: dhcp multiple vulnerabilities
http://www.linuxsecurity.com/advisories/suse_advisory-2777.html

Turbolinux Security Advisory 2003/01/22 追加
dhcp バッファーオーバーフローの問題
http://www.turbolinux.co.jp/security/TLSA-2003-6j.txt

Linuxsecurity 2003/01/22 追加
Gentoo: dhcp Multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2792.html

SecuriTeam.com 2003/01/23 追加
Local and Remote Exploit For ISC DHCPd Format String (Update Log)
http://www.securiteam.com/exploits/5HP0R0K8UE.html

securityFocus 2003/01/24 追加
[security@slackware.com: [slackware-security] New DHCP packages available]
http://online.securityfocus.com/archive/1/307931/2003-01-21/2003-01-27/0

Linuxsecurity 2003/01/24 追加
Connectiva: dhcp mutliple vulnerabilities
http://www.linuxsecurity.com/advisories/connectiva_advisory-2805.html


<Microsoft>
▽ Outlook
Outlook 2002 の暗号化の処理方法に問題があり、電子メールを正常に暗号化できず、プレーンテキストで送信する問題が発見された。この問題により、暗号化したはずのメールの内容が漏洩する可能性がある。

□ 関連情報:

Microsoft Security Bulletin
Flaw in how Outlook 2002 handles V1 Exchange Server Security Certificates could lead to Information Disclosure (812262)
http://www.microsoft.com/technet/security/bulletin/MS03-003.asp

マイクロソフトセキュリティ情報
Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする (812262) (MS03-003)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-003.asp

マイクロソフトセキュリティ情報 速報
Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする(MS03-003)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-003ov.asp

マイクロソフトセキュリティ情報
MS03-003 よく寄せられる質問
http://www.microsoft.com/japan/technet/security/bulletin/fq03-003.asp

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0007
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0007

IPA
Outlook 2002 が Version 1 の Exchange Server Security 証明書を処理する方法に存在する問題により、情報が漏えいする(MS03-003)
http://www.ipa.go.jp/security/

SecuriTeam.com
Flaw in Outlook 2002's Way of Handling V1 Exchange Server Security Certificates Leads To Information Disclosure
http://www.securiteam.com/windowsntfocus/5MP0M0U8UO.html

▽ Microsoft Content Management Server
Microsoft Content Management Server (MCMS) に含まれるASP ファイルにクロスサイトスクリプティングの脆弱性が発見された。この問題を利用することにより、個人情報や重要な情報が漏洩する可能性がある。

□ 関連情報:

Microsoft Security Bulletin
Cumulative Patch for Microsoft Content Management Server (810487)
http://www.microsoft.com/technet/security/bulletin/MS03-002.asp

マイクロソフトセキュリティ情報
Microsoft Content Management Server 用の累積的な修正プログラム
(810487) (MS03-002)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-002.asp

マイクロソフトセキュリティ情報 速報
MS03-002: Microsoft Content Management Server 用の累積的な修正プログラム (810487) (MS03-002)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-002ov.asp

マイクロソフトセキュリティ情報
MS03-002 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/fq03-002.asp

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0002
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0002

IPA
Microsoft Content Management Server 用の累積的な修正プログラム (MS03-002)
http://www.ipa.go.jp/security/

▽ Locator Service
Locator Service にバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、攻撃者に任意のコードを実行される可能性がある。

□ 関連情報:

Microsoft Security Bulletin
Unchecked Buffer in Locator Service Could Lead to Code Execution (810833)
http://www.microsoft.com/technet/security/bulletin/MS03-001.asp

マイクロソフトセキュリティ情報
Locator Service の未チェックのバッファにより、コードが実行される (810833) (MS03-001)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-001.asp

マイクロソフトセキュリティ情報 速報
MS03-001: Locator Service の未チェックのバッファにより、コードが実行される (810833)(MS03-001)
http://www.microsoft.com/japan/technet/security/bulletin/ms03-001ov.asp

マイクロソフトセキュリティ情報
MS03-001 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/fq03-001.asp

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0003
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0003

IPA
Locator Service の未チェックのバッファにより、コードが実行される(MS03-001)
http://www.ipa.go.jp/security/

SecuriTeam.com
Unchecked Buffer in Locator Service Could Lead to Code Execution
http://www.securiteam.com/windowsntfocus/5NP0N0U8UU.html

CERT/CC (CERT Coordination Center)
CA-2003-03 Buffer Overflow in Windows Locator Service
http://www.cert.org/advisories/CA-2003-03.html

CERT
Vulnerability Note VU#610986
Microsoft Locator service contains buffer overflow
http://www.kb.cert.org/vuls/id/610986

CIAC
N-033: Microsoft Unchecked Buffer in Locator Service Vulnerability
http://www.ciac.org/ciac/bulletins/n-033.shtml

▽ SMB
SMB (Server Message Block) は署名された SMB が原因で、セキュリティホールがする。この問題を利用することにより、リモートからグループポリシーを変更される可能性があります。[更新]

□ 関連情報:

Microsoft Security Bulletin
MS02-070 Flaw in SMB Signing Could Enable Group Policy to be Modified (309376)
http://www.microsoft.com/technet/security/bulletin/MS02-070.asp

マイクロソフトセキュリティ情報速報
MS02-070 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/ms02-070ov.asp

マイクロソフトセキュリティ情報 2003/01/23 更新
MS02-070 SMB 署名の問題により、グループ ポリシーが変更される (309376)
http://www.microsoft.com/japan/technet/security/bulletin/ms02-070.asp

マイクロソフトセキュリティ情報
MS02-070 よく寄せられる質問
http://www.microsoft.com/japan/technet/security/bulletin/fq02-070.asp

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1256
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1256

ISS X-Force Database 2002/12/17 追加
win-smb-policy-modification (10843) Windows 2000 and XP SMB signing group policy modification
http://www.iss.net/security_center/static/10843.php

マイクロソフトサポート技術情報 2002/12/20 追加
309376 - [MS02-070] SMB 署名の問題により、グループ ポリシーが変更される
http://support.microsoft.com/default.aspx?scid=kb;ja;JP309376


<UNIX共通>
▽ python
Python は推測可能なテンポラリファイルを作成することが原因で、シンボリックリンク攻撃が可能となる脆弱性が存在する。この問題を利用することにより、ローカルから任意のコードを実行される可能性がある。[更新]

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-159-1 python ─ insecure temporary files
http://www.debian.org/security/2002/dsa-159

IIS X-Force Database 2002/09/11 追加
Python os._execvpe function temporary file symlink attack
http://www.iss.net/security_center/static/10009.php

Debian GNU/Linux ─ Security Information 2002/09/11 追加
DSA-159-2 python ─ insecure temporary files
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00082.html

Vine Linux errata 2002/10/04 追加
python にセキュリティホール
http://www.vinelinux.org/errata/25x/20021002-5.html

SecurityFocus 2002/10/04 追加
Gentoo Linux : python
http://online.securityfocus.com/advisories/4521

Turbolinux Japan Security Center 2002/11/05 追加
python  os.pyの脆弱
http://www.turbolinux.co.jp/security/python-2.2-3.html

LinuxSecurity 2002/11/15 追加
Caldera: python insecure temporary file vulnerability
http://www.linuxsecurity.com/advisories/caldera_advisory-2573.html

SCO Security Advisory 2002/11/18 追加 CSSA-2002-045.0 Linux: python insecure temporary files in os._execvpe
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-045.0.txt

Vine Linux errata [2.1.x] 2002/11/19 追加
python にセキュリティホール
http://www.vinelinux.org/errata/2x/20021117-4.html

MandrakeSoft Security Advisory 2002/11/27 追加
MDKSA-2002:082 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082

MandrakeSoft Security Advisory 2002/12/10 追加
MDKSA-2002:082-1 python
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:082-1

Red Hat Linux Security Advisory 2003/01/22 追加
RHSA-2002:202-25 Updated python packages fix predictable temporary file
http://rhn.redhat.com/errata/RHSA-2002-202.html

securityFocus 2003/01/24 追加
[OpenPKG-SA-2003.006] OpenPKG Security Advisory (python)
http://online.securityfocus.com/archive/1/307776/2003-01-21/2003-01-27/0

Linuxsecurity 2003/01/24 追加
OpenPKG: python tmp file vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2800.html

▽ libc
libcは、Sun RPCベースのlibcを使用するサービスにTCP接続してデータを読み取る際、タイムアウトメカニズムを提供していない。システムデーモンは適切なサービスを提供することができないことが原因で、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから DoS 攻撃を受ける可能性がある。[更新]

□ 関連情報:

CERT/CC Vulnerability Note
VU#266817 Multiple Sun RPC-based libc implementations fails to provide time-out mechanism when reading data from TCP connections
http://www.kb.cert.org/vuls/id/266817

CERT/CC Vulnerability Note
VU#266817 GNU glibc Information
http://www.kb.cert.org/vuls/id/IAFY-5FKJ33

CERT/CC Vulnerability Note
VU#266817 Apple Computer Inc. Information
http://www.kb.cert.org/vuls/id/IAFY-5EPRWK

CERT/CC Vulnerability Note
VU#266817 IBM Information
http://www.kb.cert.org/vuls/id/IAFY-5EWH9M

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1265
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1265

SGI Security Advisory
20021103-01-P Potential Denial of Service Vulnerability in RPC-based libc
ftp://patches.sgi.com/support/free/security/advisories/20021103-01-P

ISS X-Force Database 2002/11/12 追加
sun-rpc-libc-dos (10539) Sun RPC libc no time-out mechanism denial of service
http://www.iss.net/security_center/static/10539.php

SGI Security Advisory 2003/01/23 追加
20021103-02-P Updated patches for SGI Advisories 20020903-02-P and 20021103-01-P
ftp://patches.sgi.com/support/free/security/advisories/20021103-02-P


<Linux共通>
▽ Sambar Server
Sambar ServerのURL入力に、巧妙なURLを送信することにより、クロスサイトスクリプティングの脆弱性が発生する。この問題を利用することにより、悪意のあるコードを実行させることが可能となる。

□ 関連情報:

securityFocus
[SCSA-001] Sambar Server Cross-Site Scripting vulnerability
http://online.securityfocus.com/archive/1/307674/2003-01-20/2003-01-26/0

SecuriTeam.com
Sambar Server Cross-Site Scripting Vulnerability (Results.stm)
http://www.securiteam.com/unixfocus/5OP0O0U8UA.html

▽ CVS
CVSにダブルフリーの脆弱性が発見された。この問題を利用し、書き込み特権を持ったユーザーが任意のコードを実行するなどが可能となる。[更新]

□ 関連情報:

Red Hat Linux Security Advisory
RHSA-2003:012-07 Updated CVS packages available
http://rhn.redhat.com/errata/RHSA-2003-012.html

MandrakeSoft Security Advisory
MDKSA-2003:009 : cvs
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:009

Linuxsecurity
RedHat: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2780.html

SecuriTeam.com 2003/01/22 追加
CVS Remote Vulnerability
http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html

CERT 2003/01/23 更新
Vulnerability Note VU#650937
CVS (Concurrent Versions System) server improperly deallocates memory
http://www.kb.cert.org/vuls/id/650937

Debian GNU/Linux ─ Security Information 2003/01/22 追加
DSA-233-1 cvs ─ doubly freed memory
http://www.debian.org/security/2003/dsa-233

Linuxsecurity 2003/01/22 追加
Connectiva: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2788.html

Linuxsecurity 2003/01/22 追加
OpenPKG: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2784.html

Linuxsecurity 2003/01/22 追加
Gentoo: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2783.html

CVS 2003/01/23 追加
2003-01-20: CVS 1.11.5 Released! (security update)
http://ccvs.cvshome.org/servlets/NewsItemView?newsID=51

CVE (Common Vulnerabilities and Exposures) 2003/01/23 追加
CAN-2003-0015
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015

IPA 2003/01/23 追加
CVS サーバにリモートから攻略可能な脆弱性
http://www.ipa.go.jp/security/

Miracle Linux Support 2003/01/23 追加
cvs メモリ領域の二重開放
http://www.miraclelinux.com/support/update/data/cvs.html

securityFocus 2003/01/23 追加
[OpenPKG-SA-2003.004] OpenPKG Security Advisory (cvs)
http://online.securityfocus.com/archive/1/307625/2003-01-20/2003-01-26/0

CERT/CC (CERT Coordination Center) 2003/01/23 追加
CA-2003-02 Double-Free Bug in CVS Server
http://www.cert.org/advisories/CA-2003-02.html

SuSE Security Announcement 2003/01/23 追加
SuSE-SA:2003:007 cvs
http://www.suse.de/de/security/2003_007_cvs.html

securityFocus 2003/01/24 追加
[CLA-2003:561] Conectiva Linux Security Announcement - cvs
http://online.securityfocus.com/archive/1/307919/2003-01-21/2003-01-27/0

CIAC 2003/01/24 追加
N-032: Double-Free Bug in Concurrent Versions System (CVS) Server
http://www.ciac.org/ciac/bulletins/n-032.shtml

Linuxsecurity 2003/01/24 追加
Connectiva: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2804.html

▽ libpng
libpngで16ビットサンプリングのPNGファイルの読み込みと書き込みを行う際に、バッファオーバーフローの脆弱性が発生する問題が発見された。現在、この問題を修正したアップデートパッケージがリリースされている。[更新]

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-213-1 libpng ─ buffer overflow
http://www.debian.org/security/2002/dsa-213

SecurityFocus
[SECURITY] [DSA 213-1] New libpng packages fix buffer overflow
http://online.securityfocus.com/archive/1/303971/2002-12-17/2002-12-23/0

securityFocus
GLSA: libpng
http://online.securityfocus.com/archive/1/305667/2003-01-06/2003-01-12/0

LinuxSecurity
Gentoo: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2739.html

Red Hat Linux Security Advisory 2003/01/15 更新
RHSA-2003:006-06 Updated libpng packages fix buffer overflow
http://rhn.redhat.com/errata/RHSA-2003-006.html

securityFocus 2003/01/15 追加
SuSE Security Announcement: libpng (SuSE-SA:2003:0004)
http://online.securityfocus.com/archive/1/306601/2003-01-12/2003-01-18/0

Linuxsecurity 2003/01/15 追加
SuSe: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/suse_advisory-2756.html

Linuxsecurity 2003/01/15 追加
YellowDog: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/yellowdog_advisory-2755.html

securityFocus 2003/01/16 追加
[OpenPKG-SA-2003.001] OpenPKG Security Advisory (png)
http://online.securityfocus.com/archive/1/306744/2003-01-13/2003-01-19/0

Linuxsecurity 2003/01/16 追加
OpenPKG: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2765.html

MandrakeSoft Security Advisory 2003/01/21 追加
MDKSA-2003:008 : libpng
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:008

Linuxsecurity 2003/01/22 追加
Mandrake: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2787.html

securityFocus 2003/01/24 追加
[CLA-2003:564] Conectiva Linux Security Announcement - libpng
http://online.securityfocus.com/archive/1/307986/2003-01-21/2003-01-27/0

securityFocus 2003/01/24 追加
[security@slackware.com: [slackware-security] New CVS packages available]
http://online.securityfocus.com/archive/1/307772/2003-01-21/2003-01-27/0

Linuxsecurity 2003/01/24 追加
Slackware: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/slackware_advisory-2799.html

Linuxsecurity 2003/01/24 追加
SuSE: cvs Double free vulnerability
http://www.linuxsecurity.com/advisories/suse_advisory-2797.html

Linuxsecurity 2003/01/24 追加
Connectiva: libpng buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2806.html

▽ wget
wgetに細工されたファイル名を適切にチェックしていない脆弱性が発見された。この問題を利用することにより、リモートから任意のファイルを作成される可能性がある。

□ 関連情報:

CERT/CC Vulnerability Note 2002/12/31 更新
VU#210148 wget contains directory traversal vulnerability
http://www.kb.cert.org/vuls/id/210148

CERT/CC Vulnerability Note 2002/01/06 更新
VU#210409 Multiple FTP clients contain directory traversal vulnerabilities
http://www.kb.cert.org/vuls/id/210409

Red Hat Linux Security Advisory
RHSA-2002:229-10 Updated wget packages fix directory traversal bug
https://rhn.redhat.com/errata/RHSA-2002-229.html

MandrakeSoft Security Advisory
MDKSA-2001:086 wget
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2002:086

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1344
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1344

CVE (Common Vulnerabilities and Exposures)
CAN-2002-1345
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1345

Debian GNU/Linux ─ Security Information
DSA-209-1 wget ─ directory traversal bufferoverflow
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00136.html

CIAC (Computer Incident Advisory Capability)
N-022 : Red Hat Updated wget packages fix directory traversal bug
http://www.ciac.org/ciac/bulletins/n-022.shtml

securityFocus
MDKSA-2002:086 - Updated wget packages fix directory traversal vulnerability
http://online.securityfocus.com/archive/1/303119/2002-12-09/2002-12-15/0

securityFocus
[SECURITY] [DSA-209-1] two wget problems
http://online.securityfocus.com/archive/1/303223/2002-12-09/2002-12-15/0

securityFocus
[CLA-2002:552] Conectiva Linux Security Announcement - wget
http://online.securityfocus.com/archive/1/303329/2002-12-13/2002-12-19/0

Linux security 2002/12/17 追加
Connectiva: wget directory transversal vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2664.html

Miracle Linux Support 2002/12/18 追加
wget:ファイルの上書き
http://www.miraclelinux.com/support/update/data/wget.html

Turbolinux Japan Security Center 2002/12/19 追加
wget に2つの脆弱性
http://www.turbolinux.co.jp/security/wget-1.8.2-3.html

SecurityFocus 2002/12/20 追加
TSLSA-2002-0089 - wget
http://online.securityfocus.com/archive/1/304054/2002-12-17/2002-12-23/0

Linuxsecurity 2002/12/24 追加
Gentoo: wget directory traversal vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2693.html

Linuxsecurity 2003/01/17 追加
Caldera: wget multiple vulnerabilities
http://www.linuxsecurity.com/advisories/caldera_advisory-2770.html

Linuxsecurity 2003/01/24 追加
OpenPKG: wget directory traversal vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2808.html

▽ susehelp
susehelpのCGIスクリプトに「wwwrun」ユーザーとして任意のコードが実行可能になる問題が発見された。この問題を利用することにより、リモートのサイトが、susehelpシステムにアクセスすることが可能となる。[更新]

□ 関連情報:

Linuxsecurity 2003/01/21 追加
SuSe: susehelp arbitrary code execution
http://www.linuxsecurity.com/advisories/suse_advisory-2775.html

SecurityTracker.com Archives 2003/01/23 追加
Alert ID:1005954 SuSE Linux 'susehelp' Input Validation Flaw Lets
Remote Users Execute Arbitrary Commands on the Server
http://www.securitytracker.com/alerts/2003/Jan/1005954.html

▽ KDE
KDEのコマンドシェルに、パラメーターを適切に処理出来ない問題が発見された。この問題を利用することにより、リモートの攻撃者がvicitimのデータのプライバシーを危険にさらすことができ、ファイルの削除、データへのアクセスや、特権を備えた任意のシェル・コマンドを実行することが可能となる。 [更新]

□ 関連情報:

Debian GNU/Linux ─ Security Information
DSA-214-1 kdnetwork ─ buffer overflows
http://www.debian.org/security/2002/dsa-214

securityFocus
KDE Security Advisory: Multiple vulnerabilities in KDE
http://online.securityfocus.com/archive/1/304261/2002-12-21/2002-12-27/0

securityFocus
GLSA: kde-3.0.x
http://online.securityfocus.com/archive/1/304340/2002-12-21/2002-12-27/0

Linuxsecurity
Gentoo: KDE multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2697.html

SecuriTeam.com 2002/12/27 追加
Multiple Vulnerabilities in KDE (command shell)
http://www.securiteam.com/unixfocus/6K00P1P6AM.html

Turbolinux Security Advisory 2003/01/10 追加
TLSA-2003-1 多数の KDE パッケージに脆弱性が存在
http://www.turbolinux.co.jp/security/TLSA-2003-1j.txt

securityFocus 2003/01/15 追加
MDKSA-2003:004 - Updated KDE packages fix multiple vulnerabilities
http://online.securityfocus.com/archive/1/306550/2003-01-12/2003-01-18/0

Linuxsecurity 2003/01/15 追加
Mandrake: KDE shell command execution vulnerability
http://www.linuxsecurity.com/advisories/mandrake_advisory-2758.html

MandrakeSoft Security Advisory
MDKSA-2003:004-1 : kde
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:004-1

Linuxsecurity 2003/01/21 追加
Gentoo: KDE 2.2.x multiple vulnerabilities
http://www.linuxsecurity.com/advisories/gentoo_advisory-2774.html

securityFocus 2003/01/22 追加
GLSA: kde-2.2.x
http://online.securityfocus.com/archive/1/307452/2003-01-12/2003-01-18/0

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-234-1 kdeadmin ─ several
http://www.debian.org/security/2003/dsa-234

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-235-1 kdegraphics ─ several
http://www.debian.org/security/2003/dsa-235

Debian GNU/Linux ─ Security Information 2003/01/23 追加
DSA-236-1 kdelibs ─ several
http://www.debian.org/security/2003/dsa-236

securityFocus 2003/01/23 追加
[SECURITY] [DSA 234-1] New kdeadmin packages fix several vulnerabilities
http://online.securityfocus.com/archive/1/307611/2003-01-20/2003-01-26/0

securityFocus 2003/01/23 追加
[SECURITY] [DSA 235-1] New kdegraphics packages fix several vulnerabilities
http://online.securityfocus.com/archive/1/307620/2003-01-20/2003-01-26/0

Debian GNU/Linux ─ Security Information 2003/01/24 追加
DSA-237-1 kdenetwork ─ several
http://www.debian.org/security/2003/dsa-237

Debian GNU/Linux ─ Security Information 2003/01/24 追加
DSA-238-1 kdepim ─ several
http://www.debian.org/security/2003/dsa-238

Debian GNU/Linux ─ Security Information 2003/01/24 追加
DSA-239-1 kdesdk ─ several
http://www.debian.org/security/2003/dsa-239

Debian GNU/Linux ─ Security Information 2003/01/24 追加
DSA-240-1 kdegames ─ several
http://www.debian.org/security/2003/dsa-240

▽ printer-drivers
printer-driversに3つの脆弱性が発見された。
1つ目は、mtinkバイナリのHOME環境変数の取り扱いに、バッファー・オーバーフローが発生する。この問題を利用することにより、攻撃者に「sys」グループ特権を奪取されるおそれがある。
2つ目は、escputilバイナリのプリンタ名コマンドライン解析にバッファオーバーフローの脆弱性が発生する。この問題を利用することにより、攻撃者に「sys」グループ特権を奪取されるおそれがある。
3つ目は、ml85pバイナリのテンポラリファイルにレースコンディションの脆弱性が発生する。この問題を利用ことにより、スーパーユーザー権限でファイルを作成される他、空にすることが可能となる。[更新]

□ 関連情報:

MandrakeSoft Security Advisory
MDKSA-2003:010 : printer-drivers
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010

MandrakeSoft Security Advisory
MDKSA-2003:010-1 : printer-drivers
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:010-1

SecuriTeam.com
Buffer Overflows in Mandrake Linux printer-drivers Package
http://www.securiteam.com/unixfocus/5BP0L0K8UY.html

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0034
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0034

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0035
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0035

CVE (Common Vulnerabilities and Exposures)
CAN-2003-0036
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0036

Neohapsis Archives - Bugtraq 2003/01/23 追加
iDEFENSE Security Advisory 01.21.03: Buffer Overflows in Mandrake
Linux printer-drivers Package - From labs_at_idefense.com
http://archives.neohapsis.com/archives/bugtraq/2003-01/0223.html

SecurityTracker.com Archives 2003/01/24 追加
Alert ID:1005959 Mandrake Linux 'printer-drivers' Package May
Yield Root Privileges to Local Users
http://www.securitytracker.com/alerts/2003/Jan/1005959.html


<セキュリティトピックス>
▽ サポート情報
トレンドマイクロのサポート情報が複数アップされている。
2003/01/23 更新
http://www.trendmicro.co.jp/esolution/newsolution.asp

▽ ウイルス情報
日本ネットワークアソシエイツ、KeyLog-TweakPan
http://www.nai.com/japan/virusinfo/virK.asp?v=KeyLog-TweakPan


【更に詳細な情報サービスのお申し込みはこちら
   https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Movable Typeに複数のクロスサイトスクリプティングの脆弱性 画像

Movable Typeに複数のクロスサイトスクリプティングの脆弱性
ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請 画像

ゲームのソースコードなどを不正取得されたCD PROJEKT、リンク含むツイートに削除申請
日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説 画像

日本に 500 台、もし自社に「Emotet 感染しています」の連絡が来たら ~ 特定方法と対策 JPCERT/CC 解説
BIND 9.xに実装上の不具合、namedに対する外部からの攻撃が可能となる脆弱性 画像

BIND 9.xに実装上の不具合、namedに対する外部からの攻撃が可能となる脆弱性
海外捜査当局 日本のEmotet感染情報提供、警察庁・総務省・ICT-ISAC連携し 22 日から注意喚起 画像

海外捜査当局 日本のEmotet感染情報提供、警察庁・総務省・ICT-ISAC連携し 22 日から注意喚起
Atlassian製BitbucketにインストールディレクトリのACL設定不備による権限昇格の脆弱性 画像

Atlassian製BitbucketにインストールディレクトリのACL設定不備による権限昇格の脆弱性

インシデント・事故 記事一覧へ

「Kenko 卸.com」に不正アクセス、1年分のセキュリティコード含む決済情報流出 画像

「Kenko 卸.com」に不正アクセス、1年分のセキュリティコード含む決済情報流出
BCC一斉送信の安全運用記録 972日間で途絶える 画像

BCC一斉送信の安全運用記録 972日間で途絶える
イオン銀行利用のクラウド型システムに設定不備、顧客情報の一部に不正アクセス 画像

イオン銀行利用のクラウド型システムに設定不備、顧客情報の一部に不正アクセス
昨年末サービス終了した「Smooz」、ユーザーデータ取り扱い調査結果公表 画像

昨年末サービス終了した「Smooz」、ユーザーデータ取り扱い調査結果公表
横浜市「イーオのごみ分別案内」に不正アクセスによる改ざん被害、調査結果を公表 画像

横浜市「イーオのごみ分別案内」に不正アクセスによる改ざん被害、調査結果を公表
コロナ感染者へのメールを誤送信、宛先無記名のテストメール送信を省略 画像

コロナ感染者へのメールを誤送信、宛先無記名のテストメール送信を省略

調査・レポート・白書 記事一覧へ

Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16% 画像

Googleが中高生ネット利用調査、「ネット詐欺にあいそうになった」生徒16%
小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定 画像

小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0 策定
国内 IT サービス市場 IDC 予測、2021年以降プラス成長に回帰 画像

国内 IT サービス市場 IDC 予測、2021年以降プラス成長に回帰
北海道・東北・関西・九州 ~ 地域セキュリティコミュニティのプラクティス集が公開 画像

北海道・東北・関西・九州 ~ 地域セキュリティコミュニティのプラクティス集が公開
2020年のウイルス届出件数、前年から7割増となる449件、「Emotet」感染被害は39件に 画像

2020年のウイルス届出件数、前年から7割増となる449件、「Emotet」感染被害は39件に
日本を標的としたサイバー攻撃、フィッシングやランサムウェアなど2020年の概況と2021年の予測を解説 画像

日本を標的としたサイバー攻撃、フィッシングやランサムウェアなど2020年の概況と2021年の予測を解説

研修・セミナー・カンファレンス 記事一覧へ

NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開 画像

NGAV + EDR + SOC の三位一体、サイバーリーズンだけが持つ平時有事のセキュリティ運用知見公開
SSL 通信可視化が必要な 2 つの理由と可視化後の課題 ~「ミスター A10ネットワークス」高木 真吾 氏に聞きたい話 画像

SSL 通信可視化が必要な 2 つの理由と可視化後の課題 ~「ミスター A10ネットワークス」高木 真吾 氏に聞きたい話
JNSA「Network Security Forum 2021」オンライン開催、平井デジタル改革担当大臣も 画像

JNSA「Network Security Forum 2021」オンライン開催、平井デジタル改革担当大臣も
これはできますか? EDR導入オンラインセミナーで実際に挙がった疑問・質問 画像

これはできますか? EDR導入オンラインセミナーで実際に挙がった疑問・質問
国内電力事業者サイバーセキュリティ対策基本枠組 ~ 電力 ISAC の取り組みの軌跡から 画像

国内電力事業者サイバーセキュリティ対策基本枠組 ~ 電力 ISAC の取り組みの軌跡から
EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか 画像

EC サイトを狙うデジタルスキミング、どう犯罪は行われるのか

製品・サービス・業界動向 記事一覧へ

KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から 画像

KCCS「Salesforceセキュリティ診断サービス」提供開始、1回80万円から
NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始 画像

NRIセキュア「Okta Identity Cloud」のライセンス販売と導入支援サービス開始
SHIFT SECURITY、先着10社に「Salesforce」クラウド診断の一部プランを無償提供 画像

SHIFT SECURITY、先着10社に「Salesforce」クラウド診断の一部プランを無償提供
イエラエセキュリティ CSIRT支援室 第7回「膨大なインスタンスやマルチクラウド環境の一元管理&監視を可能にする『Orca Security』」 画像

イエラエセキュリティ CSIRT支援室 第7回「膨大なインスタンスやマルチクラウド環境の一元管理&監視を可能にする『Orca Security』」
近鉄Webサイトのセキュリティを強化、Windows8以前は非対応に 画像

近鉄Webサイトのセキュリティを強化、Windows8以前は非対応に
タニウムが SaaS 提供開始、中小企業市場ターゲットに 画像

タニウムが SaaS 提供開始、中小企業市場ターゲットに

おしらせ 記事一覧へ

ScanNetSecurity システム更新のお知らせ 画像

ScanNetSecurity システム更新のお知らせ
特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄 画像

特典ノベルティ写真公開、Scan PREMIUM 創刊22周年記念キャンペーン11月末迄
ScanNetSecurity 創刊22周年御礼の辞(上野宣) 画像

ScanNetSecurity 創刊22周年御礼の辞(上野宣)
上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity) 画像

上野編集長就任10周年記念オンライン飲み会 7月17日開催(ScanNetSecurity)
上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード) 画像

上野宣 編集長就任10周年記念オンライン飲み会、Scan PREMIUM「宣ベロ」ライセンスキャンペーン実施(イード)
上野宣から編集長就任10周年の御礼 画像

上野宣から編集長就任10周年の御礼
Page Top
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。
×