セキュリティホール情報<2002/03/06> | ScanNetSecurity
2026.05.03(日)

セキュリティホール情報<2002/03/06>

<プラットフォーム共通>
▽ RADIUS
 RADIUS に複数のセキュリティホール[更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1064

脆弱性と脅威 セキュリティホール・脆弱性
17 views
facebookLINE
<プラットフォーム共通>
▽ RADIUS
 RADIUS に複数のセキュリティホール[更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1064

 RADIUS (Remote Authentication Dial In User Service) は実装上の原因により、複数の弱点が存在します。攻撃者にこれらの弱点を利用された場合、リモートから任意のコードを実行されたり DoS 攻撃を受けたりする可能性があります。

□ 関連情報:

 CERT Coordination Center (CERT/CC) 2002/03/05 更新
 CA-2002-06 Vulnerabilities in Various Implementations of the RADIUS Protocol
http://www.cert.org/advisories/CA-2002-06.html

 CERT/CC Vulnerability Note
 VU#589523 Multiple implementations of the RADIUS protocol containa digest calculation buffer overflow
http://www.kb.cert.org/vuls/id/589523

 CERT/CC Vulnerability Note
 VU#936683Multiple implementations of the RADIUS protocol do not adequately validate the vendor-length of the vendor-specific attributes
http://www.kb.cert.org/vuls/id/936683

 Cistron
 Cistron RADIUS server
http://www.radius.cistron.nl/

 Radius - GNU Project -
 Free Software Foundation (FSF)
http://www.gnu.org/software/radius/radius.html

 radius
http://www.vergenet.net/linux/radius/

 radiusclient
ftp://ftp.cityline.net/pub/radiusclient/

 XTRadius
http://xtradius.sourceforge.net/

 YARD
http://www.lovergine.com/

 Red Hat Linux Errata Advisory
 RHSA-2002:030-08 Updated radiusd-cistron packages are available
http://www.redhat.com/support/errata/RHSA-2002-030.html

 IPA 2002/03/05 追加
 複数の RADUIS サーバーに脆弱性 (CA-2002-06)に関する情報を掲載
http://www.ipa.go.jp/security/news/news.html

▼ SNMP
 SNMP に 複数のセキュリティホール [更新]
http://sid.softek.co.jp/loPrint.html?vg=1&htmlid=1022

 SNMP は実装上の原因により、バッファオーバーフローやフォーマットストリングバグなどが存在します。攻撃者にこの弱点を利用された場合、リモートから root 権限を奪取されたり、任意のコードを実行されたり DoS攻撃を受ける可能性があります。

□ 関連情報:

 CERT Coordination Center (CERT/CC) 2002/03/05 更新
 CA-2002-03 Multiple Vulnerabilities in Many Implementations of the Simple Network Management Protocol (SNMP)
http://www.cert.org/advisories/CA-2002-03.html

 NEC 2002/03/05 追加
 48シリーズOSのSNMPに関するセキュリティ問題への対応
http://www.mid.comp.nec.co.jp/48info/48patch/ca200203snmpd.html


<Microsoft>
▽ Java VM
 Java VMに、プロクシを利用したWebトラフィックのリダイレクト問題が発見された。この問題を利用することにより、個人情報を奪取されるおそれがある。なお、この問題を修正したパッチがリリースされている。
[更新]

 TechNet
 MS02-013 : Java Applet Can Redirect Browser Traffic
http://www.microsoft.com/technet/security/bulletin/MS02-013.asp

 TechNet
 MS02-013 : Java アプレットがブラウザ トラフィックをリダイレクトする
http://www.microsoft.com/japan/technet/security/current.asp?url=/japan/technet/security/frame_prekb.asp?sec_cd=MS02-013

 IPA
 Java アプレットがブラウザ トラフィックをリダイレクトする(MS02-013)
http://www.ipa.go.jp/security/news/news.html

▽ Windows Media Player 7.0〜/RealOne Player
 Windows Media Player 7.0以降とRealOne Playerで、URLが仕込まれたファイルを実行させることにより、悪意のあるページを開かせることが出来る問題が発見された。この問題を利用することによりCookie情報を盗み出すことなどが可能になる。

 SecuriTeam.com
 Windows NT focus:Embedded URLs in Spoofed Multimedia Files
http://www.securiteam.com/windowsntfocus/5ZP07156KK.html


<UNIX共通>
▽ mod_ssl/Apache_SSL
 mod_sslとApache_SSLの二つに、バッファオーバーフローの脆弱性が発見された。この問題を利用することで、任意のコードを実行できる。[更新]

 CERT 2002/03/04 更新
 mod_ssl and Apache_SSL modules contain a buffer overflow in the implementation of the OpenSSL "i2d_SSL_SESSION" routine
http://www.kb.cert.org/vuls/id/234971

 LinuxSecurity 2002/03/04 追加
 Conectiva: 'apache' Buffer overflow vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-1928.html

 SecuriTeam.com
 Security News:mod_ssl Buffer Overflow Condition (Patch Available)
http://www.securiteam.com/securitynews/5AP08156KS.html

▽ XTell
 XTellデーモンに、複数の脆弱性が発見された。一つ目は、バッファオーバーフロー、二つ目はsymlinkの問題、三つ目はディレクトリートラバーサル問題、四つ目はファイルのレース状態。攻撃者は、これらの脆弱性を利用することによって、必要なアクセス権限を取得することができ、リモートでのコード実行、システムに関する情報の取得、及びファイルやディレクトリ への書き込みなどを実行することができる。

 SecuriTeam.com
 UNIX focus:XTellD Multiple Vulnerabilities
http://www.securiteam.com/unixfocus/5XP05156KS.html

▽ Ntop
 Ntopにフォーマットストリングの脆弱性が発見された。この問題を利用することで、リモートから任意のコードを実行可能になる。

 SecuriTeam.com
 UNIX focus:Remotely Exploitable Format String Vulnerability in Ntop (%s, Web Server)
http://www.securiteam.com/unixfocus/5YP06156KK.html


<Debian GNU/Linux>
▽ CVS
 CVSサーバーで、不適当に初期化されたグローバル変数が引き金となり、サービスがクラッシュする問題が発見された。この問題により、リモートのアクセス権が獲得できる可能性もある。なお、修正パッチがすでにリリースされている。

 Debian Security Advisory
 DSA-117-1 cvs ─ improper variable initialization公開
http://www.debian.org/security/2002/dsa-117

▽ xsane
 xsaneが不安定なテンポラリファイルを作成する問題が発見された。この問題の修正パッチが現在リリースされている。

 Debian Security Advisory
 DSA-118-1 xsane ─ insecure temporary files公開
http://www.debian.org/security/2002/dsa-118


<セキュリティトピックス>
▼ ウイルス情報
 トレンドマイクロ VBS_CHICK.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_CHICK.A

▽ トピックス
 セキュリティ 警告サービス 月刊サマリー 2 月号
http://www.microsoft.com/japan/technet/security/bulletin/news/200202.asp

▽ トピックス
 スラッシュドットジャパンにて、クロスサイトスクリプティング脆弱性
http://memo.st.ryukoku.ac.jp/archive/200203.month/3132.html


【更に詳細な情報サービスのお申し込みはこちら
  http://www.vagabond.co.jp/cgi-bin/order/mpid01.cgi?sof01_sdx


《ScanNetSecurity》

PageTop

アクセスランキング

  1. 保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

    保険代理店への出向者による不適切な情報持ち出し ~ T&Dホールディングス 調査結果 発表

  2. たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

    たった一人で 90 億ドルのランサムウェア被害を防いでいた CISA のセキュリティ専門家が職場を追われる

  3. FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

    FileZen 専用サーバへの不正アクセス、内閣府沖縄総合事務局が保有の個人情報漏えいの可能性

  4. 従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

    従来型 VPN の脆弱性を根本から解消する新サービス「HENNGE Mesh Network」提供

  5. 「制度の趣旨目的と異なる」~ SCS評価制度を引き合いにしたセキュリティ製品の営業活動に経産省が注意喚起

    「制度の趣旨目的と異なる」~ SCS評価制度を引き合いにしたセキュリティ製品の営業活動に経産省が注意喚起

ランキングをもっと見る
PageTop
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事
TOP