セキュリティホール情報<2003/02/05> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.01.22(月)

セキュリティホール情報<2003/02/05>

脆弱性と脅威 セキュリティホール・脆弱性

<プラットフォーム共通>
▽ Opera
 Operaのバージョン7で、クロス領域に関する脆弱性が三つ発見された。
 一つ目は、異なるウィンドウの機能が利用出来てしまう問題。
 二つ目は、認証情報が利用され、認証が必要なWebサイトを利用出来る問題。
 三つ目は、クロスサイトスクリプティングの脆弱性。
 これらの問題を利用することにより、悪意のあるコードを実行したり、認証情報を利用したアクセスが可能となる。

 SecurtyFocus
 Opera's Security Model is Highly Vulnerable (GM#002-OP)
 http://online.securityfocus.com/archive/1/310103/2003-02-01/2003-02-07/0

▽ Opera
 Operaのバージョン7で、Javaスクリプトコンソールに、二つの脆弱性が発見された。
 一つ目は、console.htmlの記述を書き換えることにより、ローカルのファイルを利用される問題。
 二つ目は、ファイルのリンク情報の属性設定を書き換えることにより、任意のコードを実行させることのできる問題。これらの問題を利用することにより、ローカルのファイルを書き換えられたり、悪意のあるコードを実行される可能性がある。

 SecurtyFocus
 Phantom of the Opera (GM#003-OP)
 http://online.securityfocus.com/archive/1/310104/2003-02-01/2003-02-07/0

▽ MIT Kerberos
 MIT Kerberosの1.2.5以前のバージョンに複数の脆弱性が発見された。
 一つ目は、KDCをクラッシュさせることができる問題。
 二つ目は、許可されていないリモートのユーザーが、他のローカルのユーザーになりすますことができる問題。
 三つ目は、許可されていないユーザーが、KDCのデータベースにアクセス出来る問題。[更新]

□ 関連情報:

 SecurtyFocus
 MITKRB5-SA-2003-001: Multiple vulnerabilities in old releases of MIT Kerberos
 http://online.securityfocus.com/archive/1/308899/2003-01-26/2003-02-01/0

 SecuriTeam.com 2003/01/30 追加
 Multiple Vulnerabilities in Old Releases of MIT Kerberos
 http://www.securiteam.com/unixfocus/5LP0T2K8UQ.html

 CERT 2003/02/03 追加
 Vulnerability Note VU#587579
 MIT Kerberos V5 ASN.1 decoder fails to perform bounds checking on data element length fields
 http://www.kb.cert.org/vuls/id/587579

 CERT 2003/02/04 更新
 Vulnerability Note VU#684563
 MIT Kerberos V5 allows inter-realm user impersonation by malicious realm controllers with shared keys
 http://www.kb.cert.org/vuls/id/684563

 MIT krb5 Security Advisory 2003-001 2003/02/04 追加
 ultiple vulnerabilities in old releases of MIT Kerberos
 http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-001-multiple.txt

 CIAC 2003/02/04 追加
 N-037: Multiple Vulnerabilities in Old Releases of MIT Kerberos
 http://www.ciac.org/ciac/bulletins/n-037.shtml

▽ ISC BIND
 BIND のオプションである recursion が原因で、複数のセキュリティホールが存在する。この問題を利用することにより、リモートから任意のコードを実行されたり DoS 攻撃を受ける可能性がある。 [更新]

□ 関連情報:

 Internet Software Consortium
 BIND Vulnerabilities
 http://www.isc.org/products/BIND/bind-security.html

 Internet Security Systems Security Advisory
 Multiple Remote Vulnerabilities in BIND4 and BIND8
 http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469

 Internet Security Systems セキュリティ アドバイザリ
 BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点
 http://www.isskk.co.jp/support/techinfo/general/BIND4and8_xforce.html

 CIAC (Computer Incident Advisory Capability)
 N-013: ISCRemote Vulnerabilities in BIND4 and BIND8
 http://www.ciac.org/ciac/bulletins/n-013.shtml

 CVE (Common Vulnerabilities and Exposures)
 CAN-2002-1219
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1219

 CVE (Common Vulnerabilities and Exposures)
 CAN-2002-1220
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1220

 CVE (Common Vulnerabilities and Exposures)
 CAN-2002-1221
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1221

 LinuxSecurity.com
 RedHat: Alert: BIND 4/8 Vulnerabilities
 http://www.linuxsecurity.com/advisories/redhat_advisory-2559.html

 IPA
 BIND4及びBIND8に複数の脆弱性
 http://www.ipa.go.jp/security/news/news.html

 CERT/CC Vulnerability Note 2002/11/15 更新
 VU#844360 Domain Name System (DNS) stub resolver libraries
 vulnerable to buffer overflows via network name or address lookups
 http://www.kb.cert.org/vuls/id/844360

 CERT/CC Vulnerability Note 2002/11/21 更新
 VU#229595 ISC BIND 8 fails to properly handle DNS lookups for non-existent sub-domains when overly large OPT resource records are appen ded to a query
 http://www.kb.cert.org/vuls/id/229595

 CERT/CC Vulnerability Note 2002/12/03 更新
 VU#852283 Remotely exploitable buffer overflow in the named process
 http://www.kb.cert.org/vuls/id/852283

 CERT/CC Vulnerability Note 2002/12/02 更新
 VU#581682 ISC BIND 8 fails to properly dereference cache SIG RR elements with invalid expiry times from the internal database
 http://www.kb.cert.org/vuls/id/581682

 CERT/CC (CERT Coordination Center) 2002/11/15 追加
 CA-2002-31 Multiple Vulnerabilities in BIND
 http://www.cert.org/advisories/CA-2002-31.html

 SuSE Security Announcement 2002/11/15 追加
 SuSE-SA:2002:044 bind8
 http://www.suse.de/de/security/2002_004_bind8.html

 SecurityFocus 2002/11/15 追加
 FreeBSD Security Advisory FreeBSD-SA-02:43.bind
 http://online.securityfocus.com/archive/1/299804/2002-11-12/2002-11-18/0

 SecurityFocus 2002/11/15 追加
 SuSE Security Announcement: Multiple vulnerabilities in BIND8 (SuSE-SA:2002:044)
 http://online.securityfocus.com/archive/1/299801/2002-11-12/2002-11-18/0

 LinuxSecurity 2002/11/15 追加
 Debian: bind multiple vulnerabilities
 http://www.linuxsecurity.com/advisories/debian_advisory-2569.html

 LinuxSecurity 2002/11/15 追加
 Connectiva: bind multiple vulnerabilities
 http://www.linuxsecurity.com/advisories/other_advisory-2570.html

 LinuxSecurity 2002/11/15 追加
 Mandrake: bind multiple vulnerabilities
 http://www.linuxsecurity.com/advisories/mandrake_advisory-2572.html

 FreeBSD Security Advisory 2002/11/18 追加
 FreeBSD-SA-02:43.bind multiple vulnerabilities in BIND
 ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:43.bind.asc

 Debian GNU/Linux ─ Security Information 2002/11/18 追加
 DSA-196-1 bind ─ several
 http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00120.html

 MandrakeSoft Security Advisory 2002/11/18 追加
 MDKSA-2002:077 bind
 http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-077.php?dis=7.2

 Vine Linux errata 2002/11/18 追加
 bind にセキュリティホール
 http://www.vinelinux.org/errata/25x/20021115-1.html

 OpenBSD Security Advisory 2002/11/18 追加
 005: SECURITY FIX: November 14, 2002
 http://www.openbsd.org/errata.html#named

 OpenBSD Security Advisory 2002/11/18 追加
 019: SECURITY FIX: November 14, 2002
 http://www.openbsd.org/errata31.html#named

 OpenBSD Security Advisory 2002/11/18 追加
 036: SECURITY FIX: November 14, 2002
 http://www.openbsd.org/errata30.html#named

 SecurityFocus 2002/11/18 追加
 [OpenPKG-SA-2002.011] OpenPKG Security Advisory (bind, bind8)
 http://online.securityfocus.com/archive/1/300019/2002-11-14/2002-11-20/0

 Vine Linux errata [2.1.x] 2002/11/19 追加
 bind にセキュリティホール
 http://www.vinelinux.org/errata/2x/20021117-2.html

 ISS X-Force Database 2002/11/20 追加
 bind-sig-rr-bo (10304)
 ISC BIND SIG cached resource records (RR) heap buffer overflow
 http://www.iss.net/security_center/static/10304.php

 ISS X-Force Database 2002/11/20 追加
 bind-opt-rr-dos (10332)
 ISC BIND OPT resource record (RR) denial of service
 http://www.iss.net/security_center/static/10332.php

 ISS X-Force Database 2002/11/20 追加
 bind-null-dereference-dos (10333)
 ISC BIND SIG null pointer dereference denial of service
 http://www.iss.net/security_center/static/10333.php

 ISS X-Force Database 2002/11/20 追加
 bind-dns-libresolv-bo (10624)
 ISC BIND DNS stub resolver library (libresolv.a) stack buffer overflows
  http://www.iss.net/security_center/static/10624.php

 Turbolinux Japan Security Center 2002/11/20 追加
 bind 3つのセキュリティ上の問題
 http://www.turbolinux.co.jp/security/bind-8.2.6-2.html

 NetBSD Security Advisory 2002/11/21 追加
 NetBSD-SA2002-028 Buffer overrun in getnetbyname/getnetbyaddr
 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-028.txt.asc

 NetBSD Security Advisory 2002/11/21 追加
 NetBSD-SA2002-029 named(8) multiple denial of service and remote execution of code
 ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-029.txt.asc

 CVE (Common Vulnerabilities and Exposures) 2002/11/21 追加
 CAN-2002-0029
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0029

 Sun(sm) Alert Notification 2002/11/22 追加
 48818 Security vulnerabilities in BIND and libresolv (CERT CA-2002-31)
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0029

 Apple Security Advisory 2002/11/25 追加
 Security Update 2002-11-21 is available
 http://lists.apple.com/mhonarc/security-announce/msg00020.html

 SecuriTeam.com 2002/11/27 追加
 Vulnerability in Requests Control of BIND Versions 4 and 8 Allows DNS Spoofing
 http://www.securiteam.com/unixfocus/6N00O2060K.html

 SecurtyFocus 2002/12/05 追加
 Multiple Vulnerabilities in BIND Name Service Daemon on IRIX
 http://online.securityfocus.com/archive/1/302120/2002-12-02/2002-12-08/0

 SCO Security Advisory 2002/12/06 追加
 CSSA-2002-054.0 Linux: exploitable memory leak in ypserv
 ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-054.0.txt

 SecurtyFocus 2002/12/06 追加
 BIND Name Server DNS Spoofing Vulnerability on IRIX
 http://online.securityfocus.com/archive/1/302208/2002-12-02/2002-12-08/0

 LinuxSecurty
 Caldera: bind multiple vulnerabilities
 http://www.linuxsecurity.com/advisories/caldera_advisory-2691.html

 SecurtyFocus 2003/01/16 追加
 Security Update: [CSSA-2003-SCO.2] UnixWare 7.1.1 : multiple vulnerabilities in BIND (CERT CA-2002-31)
 http://online.securityfocus.com/archive/1/306750/2003-01-13/2003-01-19/0

 Free Sun Alert Notifications 2003/02/05 追加
 Security vulnerabilities in BIND and libresolv (CERT CA-2002-31)
 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F48818&zone_32=category%3Asecurity

▽ Java
 Java VMは、適切なチェックを行っておらず、オブジェクトの保護されたフィールドまたはメソッドに対して不正アクセスを許してしまうため、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから不正アクセスされる可能性がある。 [更新]

□ 関連情報:

 Sun(sm) Alert Notification
 50083 Java Virtual Machine May Allow Illegal Access to Protected Fields or Methods
 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50083&zone_32=category%3Asecurity

 HP-UX security bulletins digest 2003/01/29 追加
 HPSBUX0301-239 SSRT3467 Sec. Vulnerability in Java
 http://itrc.hp.com/

 HEWLETT-PACKARD COMPANY セキュリティ報告 2003/01/29 追加
 HPSBUX0301-239 SSRT3467 Javaにおけるセキュリティ脆弱性
 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0301-239.html

 SecurityTracker.com Archives 2003/01/31 追加
 Alert ID:1006005 Sun Java Runtime Environment (JRE) Unspecified Hole Lets Java Code Bypass Access Controls
 http://www.securitytracker.com/alerts/2003/Jan/1006005.html

 ISS X-Force Database 2003/02/04 追加
 sun-java-unauthorized-access (11183) Sun Java Virtual Machine could allow unauthorized access to objects
 http://www.iss.net/security_center/static/11183.php

▽ JSSE
 JSSE(Java Secure Socket Extension)は、細工されたデジタル証明書を
 適切にチェックしていないことが原因で、セキュリティホールが存在する。
 攻撃者にこのセキュリティホールを悪用された場合、リモートから Java Plug-In/Java Web Start を実行される可能性がある。[更新]

□ 関連情報:

 Sun(sm) Alert Notification
 50081 Incorrect Certificate Validation in Java Secure Socket Extension (JSSE), Java Plug-In and Java Web Start
 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50081&zone_32=category%3Asecurity

 Security Bugware 2003/01/29 追加
 Java Secure Socket Extension Incorrect Certificate Validation
 http://www.securitybugware.org/Other/5955.html

 ISS X-Force Database 2003/02/04 追加
 sun-java-improper-validation (11182) Sun Java products incorrectly validate digital certificates
 http://www.iss.net/security_center/static/11182.php


<その他の製品>
▽ Quake3 engine
 さまざまなゲームで利用されているゲームエンジンQuake3 engineは、マップをダウンロードする際のコマンドに脆弱性があり、任意のファイルを実行されたりゲームを起動不能にされる可能性がある。この脆弱性は「Ravensoft's Star Trek Voyager:EliteForce」、「Medal of Honour:Allied Assault」、「Medal of Honour:Spearhead」の3種類のゲームに存在する可能性があるという。


 Quake3 engine autodownload issues.
 http://msgs.securepoint.com/cgi-bin/get/bugtraq0302/36.html

▽ SSH2
 AbsoluteTelnet、Entunnel、SecureCRT、SecureFX、PuTTYの複数のSSH2クライアントプログラムは、各 SSH クライアントによって送信されたログイン名およびパスワードがプレインテキストのままメモリ上に格納されることが原因で、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、ローカルからパスワードを奪取される可能性がある。

□ 関連情報:

 Neohapsis Archives - Bugtraq
 iDEFENSE Security Advisory 01.28.03: SSH2 Clients Insecurely Store
 Passwords - From labs_at_idefense.com
 http://archives.neohapsis.com/archives/bugtraq/2003-01/0351.html

 ISS X-Force Database 2003/02/04 追加
 ssh-plaintext-passwords (11197) Multiple SSH2 clients store passwords in plain text
 http://www.iss.net/security_center/static/11197.php

 CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
 CAN-2003-0046
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0046

 CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
 CAN-2003-0047
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0047

 CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
 CAN-2003-0048
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0048


<UNIX共通>
▽ mailman
 mailmanのウェブインターフェースは、細工されたURLを入力された場合、不適切な文字列を適切にチェックせずそのまま処理することが原因で、クロスサイトスクリプティングの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから不正なスクリプトコードを含んだウェブページを生成される可能性がある。 [更新]

□ 関連情報:

 Neohapsis Archives - Bugtraq
 Mailman: cross-site scripting bug - From webmaster_at_procheckup.com
 http://archives.neohapsis.com/archives/bugtraq/2003-01/0263.html

 SecurityTracker.com Archives
 Alert ID:1005987 Mailman List Software Input Validation Flaw in
 'email' Variable Allows Remote Users to Conduct Cross-SiteScripting Attacks
 http://www.securitytracker.com/alerts/2003/Jan/1005987.html

 ISS X-Force Database
 mailman-email-variable-xss (11152) Mailman email variable cross-site scripting
 http://www.iss.net/security_center/static/11152.php

 ISS X-Force Database 2003/02/04 追加
 mailman-error-page-xss (11175) GNU Mailman error page cross-site scripting
 http://www.iss.net/security_center/static/11175.php

 CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
 CAN-2003-0038
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0038


<SunOS/Solaris>
▽ FTP Server
 FTP Serverにin.ftpd(1M)を使用する際に、FTPサービスを分裂させることが可能となる問題が発見された。この問題を利用することにより、ローカルのユーザーがDoS攻撃を仕掛けることが可能となる。

□ 関連情報:

 Free Sun Alert Notifications
 Solaris FTP Server (in.ftpd(1M)) is Vulnerable to Denial of Service Attack
 http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50240&zone_32=category%3Asecurity

 ISS X-Force Database 2003/02/04 追加
 solaris-ftpd-dos (11186) Sun Solaris FTP server denial of service
 http://www.iss.net/security_center/static/11186.php


<Linux共通>
▽ qt-dcgui
 qt-dcguiのバージョン0.2.2以前で利用されているディレクトリパーサー
 に脆弱性が発見された。この問題を利用することにより、リモートの攻撃
 者がファイルをダウンロードすることが可能となる。

□ 関連情報:

 SecurtyFocus
 GLSA: qt-dcgui
 http://online.securityfocus.com/archive/1/310123/2003-02-01/2003-02-07/0

 LinuxSecurty 2003/02/05 追加
 Gentoo: qt-dcgui file leaking vulnerability
 http://www.linuxsecurity.com/advisories/gentoo_advisory-2831.html

▽ Kernel
 Kernel 2.4.18で、ネットワークインターフェースカードのドライバがNullバイトに、パッドフレームを適用しない問題が発見された。この問題により、リモートの攻撃者がメモリ内容を参照出来る。

□ 関連情報:

 Red Hat Linux Security Advisory
 RHSA-2003:025-20 Updated 2.4 kernel fixes various vulnerabilities
 http://rhn.redhat.com/errata/RHSA-2003-025.html

 SecurtyFocus
 [RHSA-2003:025-20] Updated 2.4 kernel fixes various vulnerabilities
 http://online.securityfocus.com/archive/1/310161/2003-02-01/2003-02-07/0

 LinuxSecurty 2003/02/05 追加
 RedHat: kernel 2.4 ehternet vulnerability
 http://www.linuxsecurity.com/advisories/redhat_advisory-2832.html

▽ DHCP3
 dhcp3に、dhcpリレーがBOOTPリクエストを受け取る場合、MACアドレスff:ff:ff:ff:ff:を使用して、DHCPサーバーへリクエストを転送する問題が発見された。この問題を利用することにより、悪意のあるパケットを使用し、パケットストームを起こすことが可能となる。 [更新]

□ 関連情報:

 Debian GNU/Linux ─ Security Information
 DSA-245-1 dhcp3 ─ ignored counter boundary
 http://www.debian.org/security/2003/dsa-245

 SecurtyFocus
 [SECURITY] [DSA 245-1] New dhcp3 packages fix potential network flood
 http://online.securityfocus.com/archive/1/308758/2003-01-26/2003-02-01/0

 LinuxSecurty
 Debian: dhcp3 potential flood vulnerability
 http://www.linuxsecurity.com/advisories/debian_advisory-2820.html

 CERT 2003/02/05 追加
 Vulnerability Note VU#149953
 ISC "dhcrelay" fails to limit hop count when malicious bootp packet is received
 http://www.kb.cert.org/vuls/id/149953

▽ CVS
 CVSにダブルフリーの脆弱性が発見された。この問題を利用し、書き込み特権を持ったユーザーが任意のコードを実行するなどが可能となる。[更新]

□ 関連情報:

 Red Hat Linux Security Advisory
 RHSA-2003:012-07 Updated CVS packages available
 http://rhn.redhat.com/errata/RHSA-2003-012.html

 MandrakeSoft Security Advisory
 MDKSA-2003:009 : cvs
 http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:009

 LinuxSecurty
 RedHat: CVS double free vulnerability
 http://www.linuxsecurity.com/advisories/redhat_advisory-2780.html

 SecuriTeam.com 2003/01/22 追加
 CVS Remote Vulnerability
 http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html

 CERT 2003/01/23 更新
 Vulnerability Note VU#650937
 Concurrent Versions System (CVS) server improperly deallocates memory
 http://www.kb.cert.org/vuls/id/650937

 Debian GNU/Linux ─ Security Information 2003/01/22 追加
 DSA-233-1 cvs ─ doubly freed memory
 http://www.debian.org/security/2003/dsa-233

 LinuxSecurty 2003/01/22 追加
 Connectiva: CVS double free vulnerability
 http://www.linuxsecurity.com/advisories/connectiva_advisory-2788.html

 LinuxSecurty 2003/01/22 追加
 OpenPKG: CVS double free vulnerability
 http://www.linuxsecurity.com/advisories/other_advisory-2784.html

 LinuxSecurty 2003/01/22 追加
 Gentoo: CVS double free vulnerability
 http://www.linuxsecurity.com/advisories/gentoo_advisory-2783.html

 CVS 2003/01/23 追加
 2003-01-20: CVS 1.11.5 Released! (security update)
 http://ccvs.cvshome.org/servlets/NewsItemView?newsID=51

 CVE (Common Vulnerabilities and Exposures) 2003/01/23 追加
 CAN-2003-0015
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015

 IPA 2003/01/23 追加
 CVS サーバにリモートから攻略可能な脆弱性
 http://www.ipa.go.jp/security/

 Miracle Linux Support 2003/01/23 追加
 cvs メモリ領域の二重開放
 http://www.miraclelinux.com/support/update/data/cvs.html

 SecurtyFocus 2003/01/23 追加
 [OpenPKG-SA-2003.004] OpenPKG Security Advisory (cvs)
 http://online.securityfocus.com/archive/1/307625/2003-01-20/2003-01-26/0

 SecurtyFocus 2003/01/24 追加
 [CLA-2003:561] Conectiva Linux Security Announcement - cvs
 http://online.securityfocus.com/archive/1/307919/2003-01-21/2003-01-27/0

 CIAC 2003/01/24 追加
 N-032: Double-Free Bug in Concurrent Versions System (CVS) Server
 http://www.ciac.org/ciac/bulletins/n-032.shtml

 LinuxSecurty 2003/01/24 追加
 Connectiva: cvs double free vulnerability
 http://www.linuxsecurity.com/advisories/connectiva_advisory-2804.html

 LinuxSecurty 2003/01/28 追加
 YellowDog: cvs double free vulnerability
 http://www.linuxsecurity.com/advisories/yellowdog_advisory-2815.html

 SuSE Security Announcement 2003/02/03 追加
 SuSE-SA:2003:0007 CVS
 http://www.suse.de/de/security/2003_007_cvs.html

 SecurtyFocus 2003/02/03 追加
 Security Update: [CSSA-2003-006.0] Linux: CVS double free
 vulnerability
 http://online.securityfocus.com/archive/1/309689/2003-01-31/2003-02-06/0

 LinuxSecurty 2003/02/03 追加
 Caldera: cvs double free vulnerability
 http://www.linuxsecurity.com/advisories/caldera_advisory-2826.html

 SecurtyFocus 2003/02/04 追加
 Exploit for CVS double free() for Linux pserver
 http://online.securityfocus.com/archive/1/309913/2003-02-01/2003-02-07/0

 SecurtyFocus 2003/02/05 追加
 FreeBSD Security Advisory FreeBSD-SA-03:01.cvs
 http://online.securityfocus.com/archive/1/310172/2003-02-01/2003-02-07/0

 LinuxSecurty 2003/02/05 追加
 FreeBSD: cvs double free vulnerability
 http://www.linuxsecurity.com/advisories/freebsd_advisory-2833.html

▽ courier-ssl
 courier-sslで、PostgreSQLにユーザー名が渡される際に、攻撃者が任意のSQLコマンドを入力することができる問題が発見された。この問題により、悪意のあるユーザーがSQLサーバーを利用することができるようになる。[更新]

□ 関連情報:

 Debian GNU/Linux ─ Security Information
 DSA-247-1 courier-ssl ─ missing input sanitizing
 http://www.debian.org/security/2003/dsa-247

 SourceForge.net: File Release Notes and Changelog
 Project: Courier Mail Server: Release Notes 0.41.0
 http://sourceforge.net/project/shownotes.php?release_id=93065

 CVE (Common Vulnerabilities and Exposures)
 CAN-2003-0040
 http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0040

 Linux Securty 2003/01/31 追加
 Debian: courier arbitrary command execution vulnerability
 http://www.linuxsecurity.com/advisories/debian_advisory-2824.html

 ISS X-Force Database 2003/02/04 追加
 courierimap-authmysqllib-sql-injection (11213) Courier-IMAP
 authpgsqllib username SQL injection
 http://www.iss.net/security_center/static/11213.php


<リリース情報>
▽ GNOME 2.0 Desktop for the Solaris
 GNOME 2.0 Desktop for the Solarisがリリースされた。
 http://wwws.sun.com/software/star/gnome/


<セキュリティトピックス>
▽ サポート情報
 トレンドマイクロのサポート情報が複数アップされている。
 2003/02/04 更新
 http://www.trendmicro.co.jp/esolution/newsolution.asp

▽ セミナー情報
 IPA、ITセキュリティ評価及び認証セミナー開催について
 http://www.ipa.go.jp/security/ccj/event/20030228/index.htm

▽ セキュリティトピックス
 ミラクル・リナックス、Linux長期サポートサービスを発表
 http://www.miraclelinux.com/pressroom/details/2003020401.html

▽ ウイルス情報
 トレンドマイクロ、WORM_LOLOL.C
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LOLOL.C

▽ ウイルス情報
 シマンテック、W32.HLLW.Winur
 http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.winur.html

▽ ウイルス情報
 日本ネットワークアソシエイツ、VBS/Sludge.worm
 http://www.nai.com/japan/virusinfo/virS.asp?v=VBS/Sludge.worm

▽ ウイルス情報
 日本ネットワークアソシエイツ、IRC/Backdoor.g
 http://www.nai.com/japan/virusinfo/virB.asp?v=IRC/Backdoor.g

▽ ウイルス情報
 日本ネットワークアソシエイツ、FDoS-SynKal
 http://www.nai.com/japan/virusinfo/virF.asp?v=FDoS-SynKal

▽ ウイルス情報
 日本ネットワークアソシエイツ、Exploit-IISInjector
 http://www.nai.com/japan/virusinfo/virE.asp?v=Exploit-IISInjector

▽ ウイルス情報
 日本ネットワークアソシエイツ、DDoS-Smurf
 http://www.nai.com/japan/virusinfo/virD.asp?v=DDoS-Smurf


【更に詳細な情報サービスのお申し込みはこちら
   https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×