【News−4件】 ●Oracle iSQL*Plus にバッファ・オーバーフロー(長いユーザ ID) ●Lycos Mail および Lycos HTMLGear に XSS/クッキー 問題 ●アクセスポイントが WEP キー、パスワード、MAC フィルターを開示 ●Com21 ケーブルモデルの設定ファイルに脆弱性
アイ・ディフェンス・ジャパンからの情報によると、Linuxベンダーの各社は、The SquirrelMail Project Team社のSquirrelMailというWebベース電子メールアプリケーションで報告されているクロスサイトスクリプト(XSS)脆弱性を修正したアップデートパッケージを発表し
アイ・ディフェンス・ジャパンからの情報によると、攻撃者は、Marc Bergeron氏のTYPSoft FTP Serverの脆弱性を悪用して、制限されたディレクトリーから抜け出し、システムのディレクトリー構造を読み取ることができる。問題の核心は"..."シーケンスの取り扱いにある。
アイ・ディフェンス・ジャパンからの情報によると、ベンダーは、masqmailで発見された多数のバッファオーバーフローを修正するセキュリティアップデートのリリースを開始した。さらにmasqmailは、ユーザーが提供した構成ファイルを読み取り終わるまで権限を適切にドロ
アイ・ディフェンス・ジャパンからの情報によると、SCO Group社は、リモートで悪用される可能性のある問題に対処したtalkdのセキュリティアップデートを発表した。この問題は、送られたメッセージに対して不正なチェックが実行されると、攻撃者が宛て先バッファをオー
アイ・ディフェンス・ジャパンからの情報によると、FreeBSDは、iDEFENSE研究所がSendmailのsmrshパッケージで発見した欠陥を修正するアップデートをリリースした。smrshは、Sendmailによるバイナリーの制限付き実行を可能にするものである。しかし、smrshには欠陥が含
アイ・ディフェンス・ジャパンからの情報によると、2002年11月12日、複数の米軍ネットワークに繰り返し侵入した容疑でイギリス人が米国連邦裁判所に起訴された。米国のニュージャージー州とバージニア州の裁判所で合計8件のコンピューター犯罪の容疑者として起訴された
アイ・ディフェンス・ジャパンからの情報によると、ノベル社では、使用期限の切れたパスワードに関する欠陥を修正するNetware 5.1のセキュリティアップデートを発表した。欠陥は、Netware5.1で利用できる管理ツールの1つであるRemote Managerを使って悪用したもの。No
アイ・ディフェンス・ジャパンからの情報によると、ノベル社では、使用期限の切れたパスワードに関する欠陥を修正するeDirectory 8.6.2のセキュリティアップデートを発表した。この欠陥は、eDirectoryで利用できる管理ツールの1つであるRemote Managerを悪用したもの。
アイ・ディフェンス・ジャパンからの情報によると、ヒューレットパッカード社は、LDAP認証モジュールに存在する脆弱性を修正するOpen Source Internet Solutions(OSIS)のセキュリティアップデートを発表した。この欠陥のリモート及びローカルでの悪用には既存のアカ
アイ・ディフェンス・ジャパンからの情報によると、シリコングラフィック社は、ipdで報告されているリモートで悪用可能な問題のいくつかを修正したセキュリティアップデートを発表した。多くのベンダーは、これらの問題を2000年度と2001年度に既に修正している。これら
アイ・ディフェンス・ジャパンからの情報によると、Sadminid.cは、リモート攻撃が可能なバッファオーバーフローの脆弱性を狙って開発された攻撃用プログラムであり、マサチューセッツ工科大学 (Massachusetts Institute of Technology) のKerberos 5 (krb5) ディスト
アイ・ディフェンス・ジャパンからの情報によると、FreeBSD Projectは、リモート攻撃者によるシステムアクセスを可能にする、libc resolverの問題のセキュリティアップデートをリリースした。これは、OpenBSD、FreeBSDのほか、数種類のオペレーティングシステムと、こ
アイ・ディフェンス・ジャパンからの情報によると、11月12日、複数の米軍ネットワークに繰り返し侵入した容疑でイギリス人が米国連邦裁判所に起訴されたという。"SOLO" のハンドル名で知られるGary McKinnon容疑者は、NASAと米軍のシステムのほか、6つの私有組織と企業
アイ・ディフェンス・ジャパンからの情報によると、KDE Project社とDebian Project社は、K Desktop Environment(KDE)の最新バージョンをリリースした。これは、Alexander Nuendorf氏のresLISa LAN情報サービスで報告されているバッファオーバーフロー問題を修正する
アイ・ディフェンス・ジャパンからの情報によると、レッドハット社およびSCOグループは、リモートの攻撃が可能なサービス拒否(Dos)攻撃を防止するPXE(Preboot eXecution Environment)サーバーのセキュリティアップデートをリリースした。PXEを使用すると、PC98および
アイ・ディフェンス・ジャパンからの情報によると、Linuxベンダー各社が、The SquirrelMail Project Teamのウェブベースの電子メールアプリケーション、SquirrelMailでのクロスサイトスクリプティング(XSS)の脆弱性を解消したアップデートパッケージをリリースした。
アイ・ディフェンス・ジャパンからの情報によると、マクロメディア社は、CFMLソースが露呈されることを防止するColdFusion MXのドキュメンテーションアップデートを発表した。この問題は、ウェブサーバーを実行しているがColdFusion MXを使用可能にしていないColdFusi
アイ・ディフェンス・ジャパンからの情報によると、The Debian Projectが、一般的に印刷システムの一部としてインストールされるコンポーネント、html2psのセキュリティアップデートを発表した。アップデートはhtml2psのリモート悪用可能な欠陥である、フィルターでHT
アイ・ディフェンス・ジャパンからの情報によると、PHP GroupがPHPの新バージョンをリリースしたことを受け、ベンダーは、バックポートされたセキュリティ修正を含む新パッケージの出荷を開始した。新パッケージでは、PHP関数の以下の弱点が修正されている。受信者のア
アイ・ディフェンス・ジャパンからの情報によると、ベンダー各社が、GnuPGのKDEフロントエンドであるKgpgのセキュリティアップデートの出荷を開始した。Kgpgインタフェースを介して作成されるGnuPGのパスフレーズ(パスワード)は空で、主要ファイル(他のユーザー、ル
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)