セキュリティホール情報<2002/02/07>
<プラットフォーム共通>
▽ Oracle 9iAS
Oracle 9iASに複数のバッファオーバーフローの脆弱性が発見された。この問題は、ApacheをベースとしたOracle 9iASのサービスで発生する物で、任意のコードが実行可能になる。
脆弱性と脅威
セキュリティホール・脆弱性
▽ Oracle 9iAS
Oracle 9iASに複数のバッファオーバーフローの脆弱性が発見された。この問題は、ApacheをベースとしたOracle 9iASのサービスで発生する物で、任意のコードが実行可能になる。
SecurityFocus
Multiple Buffer Overflows in Oracle 9iAS
http://www.securityfocus.com/archive/1/254426
▽ Oracle 9iAS
Oracle 9iASに含まれるOracleJSPで、任意のコードにアクセスできる問題が発見された。この問題を利用することにより、.javaファイルに含まれるテキスト情報などが参照できる。
SecurityFocus
JSP translation file access under Oracle 9iAS
http://www.securityfocus.com/archive/1/254435
▽ Oracle 9i
PL/SQLで、任意のライブラリーを認証無しに呼び出すことが可能になる問題が発見された。この問題を利用することにより任意の機能を実行することが可能になる。
SecurityFocus
Remote Compromise in Oracle 9i Database Server
http://www.securityfocus.com/archive/1/254412
<UNIX共通>
▼ rsync
rsync に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=989
rsync はファイル転送プログラムで、リモートマシン上のファイルを高速で同期化できることが特徴です。この rsync の I/O 機能が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートから任意のコードが実行される可能性があります。
□ 関連情報:
rsync Home Page
http://rsync.samba.org/
Debian GNU/Linux ─ Security Information DSA-106-1 rsync remote exploit
http://www.debian.org/security/2002/dsa-106
Red Hat Linux Errata Advisory 2002/02/01 更新
RHSA-2002:018-10 New rsync packages available
http://www.redhat.com/support/errata/RHSA-2002-018.html
SuSE Security Announcement SuSE-SA:2002:004 rsync
http://www.suse.de/de/support/security/2002_004_rsync_txt.txt
MandrakeSoft Security Advisory
MDKSA-2002:009 rsync
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-009.php?dis=8.1
Turbolinux Japan Security Center 2002/02/01 追加
rsync ローカルユーザーによるroot権限奪取
http://www.turbolinux.co.jp/security/rsync-2.4.6-3.html
CIAC 2002/02/01 追加
M-035: Red Hat Linux "rsync" Vulnerability
http://www.ciac.org/ciac/bulletins/m-035.shtml
Vine Linux errata 2002/02/06 追加
rsync に セキュリティホール
http://www.vinelinux.org/errata/2x/20020131.html
▼ xchat
xchat に任意の IRC コマンドが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=974
xchat は CTCP PING リクエストを適切にチェックしていないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、リモートからユーザになりすまして任意の IRC コマンドを IRC サーバに送信したり DoS 攻撃などをされる可能性があります。
□ 関連情報:
xchat - IRC (chat) client for UNIX
http://www.debian.org/security/2002/dsa-099
Debian GNU/Linux ─ Security Information
DSA-099-1 xchat: IRC session hijacking
http://www.debian.org/security/2002/dsa-099
Red Hat Linux Errata Advisory
RHSA-2002:005-09 Updated xchat packages are available
http://www.redhat.com/support/errata/RHSA-2002-005.html
MandrakeSoft Security Advisory
MDKSA-2002:006 xchat
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-006.php
Common Vulnerabilities and Exposures (CVE)
CAN-2002-0006
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0006
Vine Linux errata 2002/02/06 追加
xchat に セキュリティホール
http://www.vinelinux.org/errata/2x/20020205-2.html
<Linux共通>
▼ uucp
uucp に任意のコードが実行可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=910
uucp の ”uuxqt” は長く指定されたオプションを適切に処理できないことが原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから uucp の権限で任意のコードを実行される可能性があります。
□ 関連情報:
The UUCP Project
http://www.uucp.org/index.shtml
Caldera International, Inc. Security Advisory
CSSA-2001-033.0 Linux - uucp argument handling problems
http://www.caldera.com/support/security/advisories/CSSA-2001-033.0.txt
MandrakeSoft Security Advisory 2001/10/08 追加
MDKSA-2001:078 uucp
http://www.linux-mandrake.com/en/security/2001/MDKSA-2001-078.php3?
SuSE Security Announcement 2001/11/16 追加
SuSE-SA:2001:38 uucp
http://www.suse.de/de/support/security/2001_038_uucp_txt.txt
Red Hat Linux Errata Advisory 2002/01/18 追加
RHSA-2001:165-08 The uuxqt utility can be used to execute arbitrary commands as uucp.uucp
https://www.redhat.com/support/errata/RHSA-2001-165.html
Common Vulnerabilities and Exposures (CVE) 2002/01/18 追加
CAN-2001-0873
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2001-0873
Hewlett-Packard IT リソース・センタ 2002/01/28 追加
Hewlett-Packard IT リソース・センタ
http://itrc.hp.com
Vine Linux errata 2002/02/06 追加
uucp に セキュリティホール
http://www.vinelinux.org/errata/2x/20020205-4.html
▼ at
at に権限の昇格が可能な問題 [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=971
at は指定した時間にプログラムを実行させるコマンドです。この at が使用する free() が原因で、弱点が存在します。攻撃者にこの弱点を利用された場合、ローカルから権限を昇格され、昇格された権限で任意のコードを実行される可能性があります。
□ 関連情報:
Debian GNU/Linux ─ Security Information
DSA-102-1 at:daemon exploit
http://www.debian.org/security/2002/dsa-102
SuSE Security Announcement
SuSE-SA:2002:003 at
http://www.suse.de/de/support/security/2002_003_at_txt.txt
MandrakeSoft Security Advisory 2002/01/22 追加
MDKSA-2002:007 at
http://www.linux-mandrake.com/en/security/2002/MDKSA-2002-007.php?dis=8.1
Red Hat Linux Errata Advisory 2002/01/24 追加
RHSA-2002:015-13 Updated at package available
http://www.redhat.com/support/errata/RHSA-2002-015.html
Turbolinux Japan Security Center 2002/01/28 追加
at ローカルユーザーによるるroot権限奪取
http://www.turbolinux.co.jp/security/at-3.1.8-9.html
Vine Linux 2002/02/06 追加
at のバージョンアップ
http://www.vinelinux.org/errata/2x/20020205-3.html
<User-mode-Linux>
▽ kernel
Linux version patch-2.4.17-8のユーザー取り扱いに脆弱性が発見された。この問題を利用することにより攻撃者が高い権限を奪取できる。
SecuriTeam.com
User-mode-Linux Security Flaws
http://www.securiteam.com/exploits/5NP041P6AW.html
<Astaro Security Linux>
▽ Multiple
Astaro Security Linuxに複数の脆弱性が発見された。今回発見されたのは、設計上による問題が5つ、理論上の設計問題が2つ、可能になると思われる設計上の問題が1つ、Astaro社による修正版のリリースが保証されない問題。
SecuriTeam.com
Vulnerabilities in Astaro Security Linux
http://www.securiteam.com/unixfocus/5LP021P6AG.html
<リリース情報>
▽ Lucent VitalSuite
Lucent VitalSuite 8.0/8.1/8.2用の修正パッチがリリースされた。
SecuriTeam.com
Vulnerability in Lucent VitalSuite Software
http://www.securiteam.com/securitynews/5MP031P6AO.html
▽ ウイルスバスター
ウイルスバスター2002を、3月から全国のコンビニ2万1,000店で発売
http://www.trendmicro.co.jp/company/news/2002/news020206.asp
<セキュリティトピックス>
▽ 事件
愛媛CATV加入者のメールアドレス56件が流出
http://www.e-catv.ne.jp/
▽ 資料
JPCERT/CC REPORT 2002-02-06、翻訳公開
http://www.jpcert.or.jp/wr/2002/wr020501.txt
▽ 事件
ヤフーが引き落としミス オークション参加費
http://auctions.yahoo.co.jp/phtml/auc/jp/notice/20020205.html
【更に詳細な情報サービスのお申し込みはこちら
http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx 】
《ScanNetSecurity》