セキュリティホール情報<2001/12/06> | ScanNetSecurity
2026.05.03(日)

セキュリティホール情報<2001/12/06>

<UNIX共通>
▼ OpenSSH
 OpenSSH のコマンド制限が回避可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=902

脆弱性と脅威 セキュリティホール・脆弱性
13 views
facebookLINE
<UNIX共通>
▼ OpenSSH
 OpenSSH のコマンド制限が回避可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=902

 OpenSSH は、商用 SSH のフリー版です。OpenSSH が提供する sftp などが原因で、弱点が存在します。攻撃者はこの弱点を利用して、リモートから authorized_keys2 の ”command= ” オプションを回避することが可能となります。

□ 関連情報:

 Red Hat Linux Errata Advisory RHSA-2001:154-06 Updated OpenSSH packages available
http://www.redhat.com/support/errata/RHSA-2001-154.html

 SuSE Security Announcement SuSE-SA:2001:044 OpenSSH


<Linux共通>
▼ kernel
 Linux Kernel に DoS 攻撃を受ける問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=872

 Linux Kernel には 'syn cookies' という方法を用いて DoS 攻撃を防いでいますが、この 'syn cookies' にデザインバグが存在します。攻撃者はこの弱点を利用して DoS 攻撃を行うことが可能となります。

□ 関連情報:

 Caldera Systems, Inc. Security Advisory CSSA-2001-038.0 Linux - syncookies firewall breaking problems
http://www.caldera.com/support/security/advisories/CSSA-2001-038.0.txt

 MandrakeSoft Security Advisory MDKSA-2001:079-1 kernel 2.4 update
2001/11/26 追加
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-079-1.php3?

 MandrakeSoft Security Advisory MDKSA-2001:082-1 kernel 2.2 update
2001/11/26 追加
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-082-1.php3?


<Mandrake Linux>
▽ Apache
 Mandrake Linuxに含まれるApacheのデフォルト設定では、ディレクトリ内を参照できる問題。この情報が更新されている。

http://www.kb.cert.org/vuls/id/913704

<その他の製品>
▽ TWIG
 TWIGのデフォルト設定では、ユーザーのパスワードが、クリアテキストの状態でCookieに保存される問題。Cookieからパスワードを入手することにより、そのユーザーの情報やファイルへのアクセスが可能になる。

http://www.securiteam.com/unixfocus/6M0130035S.html


<リリース情報>
▽ OpenSSH
 RedHatがUpdated OpenSSH packagesをリリース(更新)
http://www.redhat.com/support/errata/RHSA-2001-161.html

▽ apache
 RedHatがUpdated apache packagesをリリース(更新)
http://www.redhat.com/support/errata/RHSA-2001-126.html

▼ IP Filter
 IP Filter 3.4.22がリリースされた。
http://coombs.anu.edu.au/~avalon/ip-filter.html


<セキュリティトピックス>
▽ トピックス
 島さとし衆議院議員のWebサイトで、セキュリティに問題のある「EASY PSW Ver1.0」が会員限定サイトで利用されていたことが判明した。Ver1.0では、訪問者が入力したメールアドレスを直接sendmailに渡していたために、悪意のある訪問者が、メールアドレスにコマンドを付け加えることにより、サーバーに他のプログラムを実行させてしまうことができてしまう。同氏の会員限定サイトでは、この問題を解決したVer1.1が導入されていなかった。

http://www.net-easy.com/psw/ezpsw.html

▼ 技術情報
 マイクロソフト セキュリティ情報で提供される 「深刻性」の評価について
http://www.microsoft.com/japan/technet/security/topics/rating.asp


【詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?m-sc_sdx


《ScanNetSecurity》

PageTop

アクセスランキング

  1. 保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

    保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  4. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

  5. IPA が SCS評価制度の詳細を公表

    IPA が SCS評価制度の詳細を公表

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP