セキュリティホール情報<2002/02/06>
<プラットフォーム共通>
▼ Mozilla/Netscape Communicator
Mozilla に Cookie が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985
脆弱性と脅威
セキュリティホール・脆弱性
▼ Mozilla/Netscape Communicator
Mozilla に Cookie が奪取可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=985
Mozilla は Netscape Communications 社が開発している Web ブラウザです。この Mozilla は特定の URL を適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから Cookie を奪取される可能性があります。
□ 関連情報:
mozilla.org Mozilla 0.9.7 Release Notes
http://www.mozilla.org/releases/mozilla0.9.7/
Netscape Security Center by VeriSign: Security on the In ternet
Security News
http://home.netscape.com/security/
The Unofficial Cookie FAQ
http://www.cookiecentral.com/faq/
Turbolinux Japan Security Center 2002/02/05 追加
mozilla 任意のホストのクッキーが不正に取得されてしまう
http://www.turbolinux.co.jp/security/mozilla-0.9.7-1.html
▽ PHP
PHPのSafe Modeファイルシステムを用いたサーバーで、MySQL client libraryを用いている場合、LOAD DATA INFILE LOCALステートメント上でファイルの検査が行われないという問題が発見された。この問題を利用することのより、MySQLを介して保護されたファイルをダウンロードすることができる。
SecuriTeam.com
PHP Safe Mode Filesystem Circumvention Problem
http://www.securiteam.com/exploits/5LP03156AC.html
<Microsoft>
▽ NTFS
NTFSで極端に長いパス名(フォルダ、ファイル名)を用いるとエラーが発生する。このとき、SUBSTコマンドを用いることで代替が可能となるが、この代替されたフォルダがアンチウイルスソフトに検知されないため、ウイルスをこのフォルダに仕込むことが可能になる。
SecuriTeam.com
Virus Can Exploit Long Path under NTFS to Evade Detection
http://www.securiteam.com/windowsntfocus/5QP08156AQ.html
<VineLinux>
▽ rsync/uucp/at/xcaht
rsync、uucp、at、xcahtに存在する既知のセキュリティホールに対するパッチが公開された。
VineLinux
Vine:rsync に セキュリティホール
http://vinelinux.org/errata/2x/20020205.html
Vine:uucp に セキュリティホール
http://vinelinux.org/errata/2x/20020205-4.html
Vine:at のバージョンアップ
http://vinelinux.org/errata/2x/20020205-3.html
Vine:xchat に セキュリティホール
http://vinelinux.org/errata/2x/20020205-2.html
<その他の製品>
▽ Kerberos
Kerberosのtelnetプロトコルの暗号化オプションに脆弱性が発見された。今回発見された問題は、認証と暗号化のオプションの順序づけられたリストが暗号化されていないという問題。これを利用することにより、攻撃者がこのリストを改編することにより、認証や暗号化を無効にすることが可能になる。
CERT
Kerberos Telnet protocol does not adequately protect authentication and encryption options
http://www.kb.cert.org/vuls/id/774587
▽ BlackICE Defender 2.9
東陽テクニカより、BlackICE Defender 2.9の脆弱性に関するリリースが掲載された。修正バージョンのリリースは未定となっているが、暫定的な対処方法が掲載されている。
【緊急】BlackICE Defender 2.9 の脆弱点に関して(東陽テクニカ)
http://www.toyo.co.jp/security/news/ids020205.html
<リリース情報>
▽ Daisy
Daisy1.5がリリースされた。
http://vtntug.w2k.vt.edu/daisy.html
▽ HFNetChk
マイクロソフトのHFNetChk 3.32がリリースされた。
http://www.microsoft.com/downloads/release.asp?ReleaseID=31154
▽ Mozilla
Mozilla0.9.8がリリースされた。
http://www.mozilla.org/
【更に詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
《ScanNetSecurity》