セキュリティホール情報<2001/11/21>
<Microsoft>
▽ Outlook Express
Outlook Expressで特定文字列を表示させただけで、マシンがハングアップする欠陥が発見された。この文字列が埋め込まれているメールなどを受信し、表示するとマシンがハングアップしてしまう。
現在、マイクロソフトからはこの問
脆弱性と脅威
セキュリティホール・脆弱性
▽ Outlook Express
Outlook Expressで特定文字列を表示させただけで、マシンがハングアップする欠陥が発見された。この文字列が埋め込まれているメールなどを受信し、表示するとマシンがハングアップしてしまう。
現在、マイクロソフトからはこの問題に関する情報は提供されていない。
http://www.microsoft.com/technet/default.asp
▽ Windows Media Player
Windows Media Playerの.ASFプロセッサに未チェックのバッファが含まれてしまう問題。対象となるのは、Ver.6.4、7、7.1、for Windows XP。現在、対応パッチの配布も始まっている。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS01-056.asp
<SGI IRIX>
▼ IGMP
SGI IRIX に IGMP を利用した DoS 攻撃を受ける問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=874
SGI IRIX に DoS 攻撃を受ける弱点が存在します。攻撃者はこの弱点を利用して IGMP マルチキャスト パケットを送信することによって DoS 攻撃が可能となります。また、信頼されていないネットワークからでも攻撃が可能です。
□ 関連情報:
SGI セキュリティ勧告
http://www.sgi.com/support/security/
または
ftp://patches.sgi.com/support/free/security/advisories/
http://www.sgi.com/support/security/
SGI セキュリティパッチ
http://www.sgi.com/support/security/
または
ftp://patches.sgi.com/support/free/security/patches/
http://www.sgi.com/support/security/
IRIX の SGI パッチ
http://support.sgi.com/irix/
または
ftp://patches.sgi.com/
http://support.sgi.com/irix/
IRIX の SGI フリーウェアアップデート
http://freeware.sgi.com/
SGI オープンソースコードための SGI
http://oss.sgi.com/projects/
Linux の SGI パッチ および RPMs
http://support.sgi.com/linux/
または
http://oss.sgi.com/projects/sgilinux-combined/download/security-fixes/
http://support.sgi.com/linux/
Windows NT または 2000 の SGI パッチ
http://support.sgi.com/nt/
IRIX 5.2-6.4 に必要なパッチセット
http://support.sgi.com/irix/
または
ftp://patches.sgi.com/support/patchset/
http://support.sgi.com/irix/
IRIX 6.5 メンテナンス・リリース・ストリーム
http://support.sgi.com/colls/patches/tools/relstream/index.html
IRIX 6.5 ソフトウェアアップデート CDs
http://support.sgi.com/irix/swupdates/
<SCO>
▽ top Utility
SCOのtop Utilityに、ローカルの攻撃者が任意のコードを実行可能にする脆弱性が発見された。
SCO 'top' Utility Vulnerable to a Format String Vulnerability
http://www.securiteam.com/unixfocus/6D00B2036O.html
<Vine Linux>
▽ openSSH
SSH protocol Version 2 での鍵認証の際、"~/.ssh/authorized_keys2" に複数の鍵が登録されていると、任意のホストからの接続を許してしまうセキュリティホールが発見された
http://vinelinux.org/errata/2x/20011120.html
<Mandrake Linux>
▽ Apache
Apache web serverを含んだMandrake LinuxのApacheをデフォルトでインストールすると、サンプルプログラムがいくつかインストールされるが、それを使うことにより、任意の情報を引き出すことが可能になる問題。
http://www.kb.cert.org/vuls/id/898480
http://www.linux-mandrake.com/
<その他の製品>
▽ Cisco IOS
Address Resolution Protocolをローカルポートから送ることが出来る問題が発見された。この脆弱性を利用することにより、MACアドレスが保存されているARPテーブル情報を上書き出来る。現在、この問題に対するパッチが提供されている。
http://www.cisco.com/warp/public/707/IOS-arp-overwrite-vuln-pub.shtml
▽ Hypermail SSI Vulnerability
Hypermailを用い、メールをHTMLに変換する際、WebサーバーがSSIをサポートしていると、ファイルにSSIのコマンドを含めることが可能になる。これによりサーバーに任意のSSIコマンドを実行させることが出来る。
http://www.incidents.org/diary/diary.php?id=78
http://msgs.securepoint.com/cgi-bin/get/bugtraq0111/119.html
http://qdefense.com/Advisories/QDAV-2001-11-1.html
<リリース情報>
▽ OpenSSH
OpenSSH 3.0.1 Released
http://www.openssh.com/
▽ DeleGate
DeleGate 7.6.2 ALPHA
http://www.delegate.org/delegate/
【詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx 】
《ScanNetSecurity》
特集
アクセスランキング
-
ランサムウェア被害の原因はスターティア社の UTM テストアカウント削除忘れ
-
モリサワ他と損害賠償金4,500万円支払で調停成立~フォント不正コピーの印刷会社
-
クラウド労務管理「WelcomeHR」の個人データ閲覧可能な状態に、契約終了後も個人情報保存
-
山田製作所にランサムウェア攻撃、「LockBit」が展開され複数のサーバのデータが暗号化
-
信和へのランサムウェア攻撃で窃取された情報、ロックビット摘発を受けてリークサイトが閉鎖
-
今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃
-
「シャドーアクセスとは?」CSAJ が定義と課題をまとめた日本語翻訳資料公開
-
サイバーセキュリティ版「天国と地獄」~ サプライヤーへサイバー攻撃、身代金支払いを本体へ請求
-
PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも
-
インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に