セキュリティホール情報<2002/01/17>
<UNIX共通>
▼ Bugzilla
Bugzilla に複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=774
脆弱性と脅威
セキュリティホール・脆弱性
▼ Bugzilla
Bugzilla に複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=774
Bugzilla の実装上の原因により、弱点が存在します。攻撃者にこの弱点を利用された場合は、リモートからグループ制限によって保護されているバグデータを奪取される可能性があります。また、この他にも幾つかのセキュリティホールが存在します。
□ 関連情報:
Bugzilla Security Advisory
Bugzilla Security Advisory for v2.12/2.13
http://www.mozilla.org/projects/bugzilla/security2_14.html
Red Hat Linux Errata Advisory
RHSA-2001:107-07 New bugzilla packages are available
http://www.redhat.com/support/errata/RHSA-2001-107.html
Bugzilla Security Advisory 2002/01/16 追加
Bugzilla Security Advisory for v2.14 and v2.15 prior to 2002-Jan-04
http://www.mozilla.org/projects/bugzilla/security2_14_1.html
Red Hat Linux Errata Advisory 2002/01/16 追加
RHSA-2002:001-10 Updated bugzilla packages available
http://www.redhat.com/support/errata/RHSA-2002-001.html
▼ glibc
glibc に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=934
glibc (GNU C Library) の glob(3) 実装上の原因により、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受けたり、任意のコードの実行されたりする可能性があります。
□ 関連情報:
Red Hat Linux Errata Advisory
RHSA-2001:160-09 Updated glibc packages are available
http://www.redhat.com/support/errata/RHSA-2001-160.html
Hewlett-Packard IT リソース・センター
http://www.itresourcecenter.hp.com/
Common Vulnerabilities and Exposures (CVE) CAN-2001-0886
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0886
MandrakeSoft Security Advisory MDKSA-2001:095 glibc
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-095.php3?dis=8.1
SuSE Security Announcement 2001/12/26 追加
SuSE-SA:2001:046 glibc/shlibs, in.ftpd
http://www.suse.de/de/support/security/2001_046_glibc_txt.txt
CIAC 2001/12/27 追加
M-029: Red Hat glibc Vulnerability
http://www.ciac.org/ciac/bulletins/m-029.shtml
Turbolinux Japan Security Center 2002/01/07 追加
glibc 悪意のあるユーザーによるアプリケーションの停止
http://www.turbolinux.co.jp/security/glibc-2.2.4-9.html
Vine Linux errata 2002/01/07 追加
glibc にセキュリティホール
http://www.vinelinux.org/errata/2x/20011231.html
MandrakeSoft Security Advisory 2002/01/09 追加
MDKSA-2001:095-1 glibc
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-095-1.php3?dis=8.0
Debian GNU/Linux ─ Security Information 2002/01/16 追加
DSA-103-1 glibc: buffer overflow
http://www.debian.org/security/2002/dsa-103
<Linux共通>
▼ CIPE
CIPE に DoS 攻撃を受ける問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=968
CIPE は暗号化 UDP を利用して IP パケットをトンネリングするプロトコルです。この CIPE は VPN で受信するパケットの扱い方が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから DoS 攻撃を受ける可能性があります。
□ 関連情報:
CIPE CIPE - Crypto IP Encapsulation
http://sites.inka.de/~bigred/devel/cipe.html
Debian GNU/Linux ─ Security Information
DSA-104-1 cipe : DoS attack
http://www.debian.org/security/2002/dsa-104
▼ gzip
gzip に任意のコードが実行可能な問題
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=969
gzip は圧縮する際のファイル名を適切にチェックしていないことが原因で、バッファオーバーフローが存在します。攻撃者にこの弱点を利用された場合、ローカルから任意のコードを実行される可能性があります。
□ 関連情報:
The gzip home page
http://www.gzip.org/
Debian GNU/Linux ─ Security Information
DSA-100-1 gzip : Potential buffer overflow
http://www.debian.org/security/2002/dsa-100
<その他の製品>
▽ Pi3Web
Pi3Webに、バッファオーバーフローの脆弱性が発見された。この問題を利用することにより、リモートの攻撃者が特殊なリクエストを発することで、サーバーをクラッシュさせることが可能になる。
SecuriTeam.com
John Roy Pi3Web Long Request Buffer Overflow Vulnerability
http://www.securiteam.com/windowsntfocus/5QP0H1P60E.html
▽ 4D/eCommerce
4D/eCommerce 3.5.3に複数の脆弱性が発見された。一つ目はディレクトリーの横断攻撃が可能になる問題。もう一つはリクエストのバッファオーバーフローの脆弱性。これらを利用することで、DoS攻撃などが可能になる。
SecurityFocus
MDG Computer Services 4D/eCommerce Directory Traversal Vulnerability
http://www.securityfocus.com/bid/3872
MDG Computer Services Web Server 4D/eCommerce DoS Vulnerability
http://www.securityfocus.com/bid/3874
▽ www.address.com
Webメールサービスのwww.address.comで使用されているレジストレーションフォームに、他のアカウントの情報を上書きできる脆弱性が発見された。上書きされた場合、本来の使用者は、そのアカウントを使用できなくなる。
SecuriTeam.com
www.address.com Account Hijacking Vulnerability
http://www.securiteam.com/securitynews/5SP0J1P60O.html
<リリース情報>
▽ Slackware
SlackwareのAdministrators Security Tool Kitがリリースされた。
SecuriTeam.com
Slackware Administrators Security Tool Kit
http://www.securiteam.com/tools/5MP0D1P60K.html
▽ RedHat Linux
xchatのアップデートパッケージがリリースされた。
RHSA-2002:005-09 Updated xchat packages are available
http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-005J.html
▼ Squid
Squid 2.5 PRE3がリリースされた。
http://www.squid-cache.org/
▼ IP Filter
IP Filter 3.4.23がリリースされた。
http://coombs.anu.edu.au/~avalon/ip-filter.html
<セキュリティトピックス>
▼ 警告・注意情報
マイクロソフト 「Passport のセキュリティに関する緊急情報」メールに関する最新情報
http://www.microsoft.com/japan/technet/security/topics/passport.asp
▼ 警告・注意情報
マイクロソフト デマウィルスに気をつけましょう
http://www.microsoft.com/japan/technet/security/topics/hoax.asp
▼ 警告・注意情報
マイクロソフト Gigger に関する情報
http://www.microsoft.com/japan/technet/security/virus/gigger.asp
▼ 警告・注意情報
マイクロソフト “.NET ウイルス” に関する情報
http://www.microsoft.com/japan/technet/security/topics/netvirus.asp
▼ ウイルス情報
トレンドマイクロ 新種ウイルス情報 PE_DONUT.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE_DONUT.A
【更に詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
《ScanNetSecurity》