セキュリティホール情報＜2002/02/06＞

＜プラットフォーム共通＞
▼ Mozilla/Netscape Communicator
　Mozilla に Cookie が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985

脆弱性と脅威セキュリティホール・脆弱性

18 views

2002.2.6 Wed 12:00

＜プラットフォーム共通＞
▼ Mozilla/Netscape Communicator
　Mozilla に Cookie が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985

　Mozilla は Netscape Communications 社が開発している Web ブラウザです。この Mozilla は特定の URL を適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから Cookie を奪取される可能性があります。

□ 関連情報:

　mozilla.org Mozilla 0.9.7 Release Notes
http://www.mozilla.org/releases/mozilla0.9.7/

　Netscape Security Center by VeriSign: Security on the In ternet
　Security News
http://home.netscape.com/security/

　The Unofficial Cookie FAQ
http://www.cookiecentral.com/faq/

　Turbolinux Japan Security Center 2002/02/05 追加
　mozilla 任意のホストのクッキーが不正に取得されてしまう
http://www.turbolinux.co.jp/security/mozilla-0.9.7-1.html

▽ PHP
　PHPのSafe Modeファイルシステムを用いたサーバーで、MySQL client libraryを用いている場合、LOAD DATA INFILE LOCALステートメント上でファイルの検査が行われないという問題が発見された。この問題を利用することのより、MySQLを介して保護されたファイルをダウンロードすることができる。

　SecuriTeam.com
　PHP Safe Mode Filesystem Circumvention Problem
http://www.securiteam.com/exploits/5LP03156AC.html

＜Microsoft＞
▽ NTFS
　NTFSで極端に長いパス名（フォルダ、ファイル名）を用いるとエラーが発生する。このとき、SUBSTコマンドを用いることで代替が可能となるが、この代替されたフォルダがアンチウイルスソフトに検知されないため、ウイルスをこのフォルダに仕込むことが可能になる。

　SecuriTeam.com
　Virus Can Exploit Long Path under NTFS to Evade Detection
http://www.securiteam.com/windowsntfocus/5QP08156AQ.html

＜VineLinux＞
▽ rsync/uucp/at/xcaht
　rsync、uucp、at、xcahtに存在する既知のセキュリティホールに対するパッチが公開された。

　VineLinux
　Vine：rsync にセキュリティホール
http://vinelinux.org/errata/2x/20020205.html
　Vine：uucp にセキュリティホール
http://vinelinux.org/errata/2x/20020205-4.html
　Vine：at のバージョンアップ
http://vinelinux.org/errata/2x/20020205-3.html
　Vine：xchat にセキュリティホール
http://vinelinux.org/errata/2x/20020205-2.html

＜その他の製品＞
▽ Kerberos
　Kerberosのtelnetプロトコルの暗号化オプションに脆弱性が発見された。今回発見された問題は、認証と暗号化のオプションの順序づけられたリストが暗号化されていないという問題。これを利用することにより、攻撃者がこのリストを改編することにより、認証や暗号化を無効にすることが可能になる。

　CERT
　Kerberos Telnet protocol does not adequately protect authentication and encryption options
http://www.kb.cert.org/vuls/id/774587

▽ BlackICE Defender 2.9
　東陽テクニカより、BlackICE Defender 2.9の脆弱性に関するリリースが掲載された。修正バージョンのリリースは未定となっているが、暫定的な対処方法が掲載されている。

　【緊急】BlackICE Defender 2.9 の脆弱点に関して（東陽テクニカ）
http://www.toyo.co.jp/security/news/ids020205.html

＜リリース情報＞
▽ Daisy
　Daisy1.5がリリースされた。
http://vtntug.w2k.vt.edu/daisy.html

▽ HFNetChk
　マイクロソフトのHFNetChk 3.32がリリースされた。
http://www.microsoft.com/downloads/release.asp?ReleaseID=31154

▽ Mozilla
　Mozilla0.9.8がリリースされた。
http://www.mozilla.org/

【更に詳細な情報サービスのお申し込みはこちら
　http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】