セキュリティホール情報<2001/11/21>
<Microsoft>
▽ Outlook Express
Outlook Expressで特定文字列を表示させただけで、マシンがハングアップする欠陥が発見された。この文字列が埋め込まれているメールなどを受信し、表示するとマシンがハングアップしてしまう。
現在、マイクロソフトからはこの問
脆弱性と脅威
セキュリティホール・脆弱性
▽ Outlook Express
Outlook Expressで特定文字列を表示させただけで、マシンがハングアップする欠陥が発見された。この文字列が埋め込まれているメールなどを受信し、表示するとマシンがハングアップしてしまう。
現在、マイクロソフトからはこの問題に関する情報は提供されていない。
http://www.microsoft.com/technet/default.asp
▽ Windows Media Player
Windows Media Playerの.ASFプロセッサに未チェックのバッファが含まれてしまう問題。対象となるのは、Ver.6.4、7、7.1、for Windows XP。現在、対応パッチの配布も始まっている。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-056.asp
<SGI IRIX>
▼ IGMP
SGI IRIX に IGMP を利用した DoS 攻撃を受ける問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=874
SGI IRIX に DoS 攻撃を受ける弱点が存在します。攻撃者はこの弱点を利用して IGMP マルチキャスト パケットを送信することによって DoS 攻撃が可能となります。また、信頼されていないネットワークからでも攻撃が可能です。
□ 関連情報:
SGI セキュリティ勧告
http://www.sgi.com/support/security/
または
ftp://patches.sgi.com/support/free/security/advisories/
http://www.sgi.com/support/security/
SGI セキュリティパッチ
http://www.sgi.com/support/security/
または
ftp://patches.sgi.com/support/free/security/patches/
http://www.sgi.com/support/security/
IRIX の SGI パッチ
http://support.sgi.com/irix/
または
ftp://patches.sgi.com/
http://support.sgi.com/irix/
IRIX の SGI フリーウェアアップデート
http://freeware.sgi.com/
SGI オープンソースコードための SGI
http://oss.sgi.com/projects/
Linux の SGI パッチ および RPMs
http://support.sgi.com/linux/
または
http://oss.sgi.com/projects/sgilinux-combined/download/security-fixes/
http://support.sgi.com/linux/
Windows NT または 2000 の SGI パッチ
http://support.sgi.com/nt/
IRIX 5.2-6.4 に必要なパッチセット
http://support.sgi.com/irix/
または
ftp://patches.sgi.com/support/patchset/
http://support.sgi.com/irix/
IRIX 6.5 メンテナンス・リリース・ストリーム
http://support.sgi.com/colls/patches/tools/relstream/index.html
IRIX 6.5 ソフトウェアアップデート CDs
http://support.sgi.com/irix/swupdates/
<SCO>
▽ top Utility
SCOのtop Utilityに、ローカルの攻撃者が任意のコードを実行可能にする脆弱性が発見された。
SCO 'top' Utility Vulnerable to a Format String Vulnerability
http://www.securiteam.com/unixfocus/6D00B2036O.html
<Vine Linux>
▽ openSSH
SSH protocol Version 2 での鍵認証の際、"~/.ssh/authorized_keys2" に複数の鍵が登録されていると、任意のホストからの接続を許してしまうセキュリティホールが発見された
http://vinelinux.org/errata/2x/20011120.html
<Mandrake Linux>
▽ Apache
Apache web serverを含んだMandrake LinuxのApacheをデフォルトでインストールすると、サンプルプログラムがいくつかインストールされるが、それを使うことにより、任意の情報を引き出すことが可能になる問題。
http://www.kb.cert.org/vuls/id/898480
http://www.linux-mandrake.com/
<その他の製品>
▽ Cisco IOS
Address Resolution Protocolをローカルポートから送ることが出来る問題が発見された。この脆弱性を利用することにより、MACアドレスが保存されているARPテーブル情報を上書き出来る。現在、この問題に対するパッチが提供されている。
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml
▽ Hypermail SSI Vulnerability
Hypermailを用い、メールをHTMLに変換する際、WebサーバーがSSIをサポートしていると、ファイルにSSIのコマンドを含めることが可能になる。これによりサーバーに任意のSSIコマンドを実行させることが出来る。
http://www.incidents.org/diary/diary.php?id=78
http://msgs.securepoint.com/cgi-bin/get/bugtraq0111/119.html
http://qdefense.com/Advisories/QDAV-2001-11-1.html
<リリース情報>
▽ OpenSSH
OpenSSH 3.0.1 Released
http://www.openssh.com/
▽ DeleGate
DeleGate 7.6.2 ALPHA
http://www.delegate.org/delegate/
【詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx 】
《ScanNetSecurity》