セキュリティホール情報<2003/02/05>
<プラットフォーム共通>
▽ Opera
Operaのバージョン7で、クロス領域に関する脆弱性が三つ発見された。
一つ目は、異なるウィンドウの機能が利用出来てしまう問題。
二つ目は、認証情報が利用され、認証が必要なWebサイトを利用出来る問題。
三つ目は、クロ
脆弱性と脅威
セキュリティホール・脆弱性
▽ Opera
Operaのバージョン7で、クロス領域に関する脆弱性が三つ発見された。
一つ目は、異なるウィンドウの機能が利用出来てしまう問題。
二つ目は、認証情報が利用され、認証が必要なWebサイトを利用出来る問題。
三つ目は、クロスサイトスクリプティングの脆弱性。
これらの問題を利用することにより、悪意のあるコードを実行したり、認証情報を利用したアクセスが可能となる。
SecurtyFocus
Opera's Security Model is Highly Vulnerable (GM#002-OP)
http://online.securityfocus.com/archive/1/310103/2003-02-01/2003-02-07/0
▽ Opera
Operaのバージョン7で、Javaスクリプトコンソールに、二つの脆弱性が発見された。
一つ目は、console.htmlの記述を書き換えることにより、ローカルのファイルを利用される問題。
二つ目は、ファイルのリンク情報の属性設定を書き換えることにより、任意のコードを実行させることのできる問題。これらの問題を利用することにより、ローカルのファイルを書き換えられたり、悪意のあるコードを実行される可能性がある。
SecurtyFocus
Phantom of the Opera (GM#003-OP)
http://online.securityfocus.com/archive/1/310104/2003-02-01/2003-02-07/0
▽ MIT Kerberos
MIT Kerberosの1.2.5以前のバージョンに複数の脆弱性が発見された。
一つ目は、KDCをクラッシュさせることができる問題。
二つ目は、許可されていないリモートのユーザーが、他のローカルのユーザーになりすますことができる問題。
三つ目は、許可されていないユーザーが、KDCのデータベースにアクセス出来る問題。[更新]
□ 関連情報:
SecurtyFocus
MITKRB5-SA-2003-001: Multiple vulnerabilities in old releases of MIT Kerberos
http://online.securityfocus.com/archive/1/308899/2003-01-26/2003-02-01/0
SecuriTeam.com 2003/01/30 追加
Multiple Vulnerabilities in Old Releases of MIT Kerberos
http://www.securiteam.com/unixfocus/5LP0T2K8UQ.html
CERT 2003/02/03 追加
Vulnerability Note VU#587579
MIT Kerberos V5 ASN.1 decoder fails to perform bounds checking on data element length fields
http://www.kb.cert.org/vuls/id/587579
CERT 2003/02/04 更新
Vulnerability Note VU#684563
MIT Kerberos V5 allows inter-realm user impersonation by malicious realm controllers with shared keys
http://www.kb.cert.org/vuls/id/684563
MIT krb5 Security Advisory 2003-001 2003/02/04 追加
ultiple vulnerabilities in old releases of MIT Kerberos
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2003-001-multiple.txt
CIAC 2003/02/04 追加
N-037: Multiple Vulnerabilities in Old Releases of MIT Kerberos
http://www.ciac.org/ciac/bulletins/n-037.shtml
▽ ISC BIND
BIND のオプションである recursion が原因で、複数のセキュリティホールが存在する。この問題を利用することにより、リモートから任意のコードを実行されたり DoS 攻撃を受ける可能性がある。 [更新]
□ 関連情報:
Internet Software Consortium
BIND Vulnerabilities
http://www.isc.org/products/BIND/bind-security.html
Internet Security Systems Security Advisory
Multiple Remote Vulnerabilities in BIND4 and BIND8
http://bvlive01.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21469
Internet Security Systems セキュリティ アドバイザリ
BIND4 および BIND8 でのリモートで利用可能な複数の脆弱点
http://www.isskk.co.jp/support/techinfo/general/BIND4and8_xforce.html
CIAC (Computer Incident Advisory Capability)
N-013: ISCRemote Vulnerabilities in BIND4 and BIND8
http://www.ciac.org/ciac/bulletins/n-013.shtml
CVE (Common Vulnerabilities and Exposures)
CAN-2002-1219
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1219
CVE (Common Vulnerabilities and Exposures)
CAN-2002-1220
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1220
CVE (Common Vulnerabilities and Exposures)
CAN-2002-1221
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1221
LinuxSecurity.com
RedHat: Alert: BIND 4/8 Vulnerabilities
http://www.linuxsecurity.com/advisories/redhat_advisory-2559.html
IPA
BIND4及びBIND8に複数の脆弱性
http://www.ipa.go.jp/security/news/news.html
CERT/CC Vulnerability Note 2002/11/15 更新
VU#844360 Domain Name System (DNS) stub resolver libraries
vulnerable to buffer overflows via network name or address lookups
http://www.kb.cert.org/vuls/id/844360
CERT/CC Vulnerability Note 2002/11/21 更新
VU#229595 ISC BIND 8 fails to properly handle DNS lookups for non-existent sub-domains when overly large OPT resource records are appen ded to a query
http://www.kb.cert.org/vuls/id/229595
CERT/CC Vulnerability Note 2002/12/03 更新
VU#852283 Remotely exploitable buffer overflow in the named process
http://www.kb.cert.org/vuls/id/852283
CERT/CC Vulnerability Note 2002/12/02 更新
VU#581682 ISC BIND 8 fails to properly dereference cache SIG RR elements with invalid expiry times from the internal database
http://www.kb.cert.org/vuls/id/581682
CERT/CC (CERT Coordination Center) 2002/11/15 追加
CA-2002-31 Multiple Vulnerabilities in BIND
http://www.cert.org/advisories/CA-2002-31.html
SuSE Security Announcement 2002/11/15 追加
SuSE-SA:2002:044 bind8
http://www.suse.de/de/security/2002_004_bind8.html
SecurityFocus 2002/11/15 追加
FreeBSD Security Advisory FreeBSD-SA-02:43.bind
http://online.securityfocus.com/archive/1/299804/2002-11-12/2002-11-18/0
SecurityFocus 2002/11/15 追加
SuSE Security Announcement: Multiple vulnerabilities in BIND8 (SuSE-SA:2002:044)
http://online.securityfocus.com/archive/1/299801/2002-11-12/2002-11-18/0
LinuxSecurity 2002/11/15 追加
Debian: bind multiple vulnerabilities
http://www.linuxsecurity.com/advisories/debian_advisory-2569.html
LinuxSecurity 2002/11/15 追加
Connectiva: bind multiple vulnerabilities
http://www.linuxsecurity.com/advisories/other_advisory-2570.html
LinuxSecurity 2002/11/15 追加
Mandrake: bind multiple vulnerabilities
http://www.linuxsecurity.com/advisories/mandrake_advisory-2572.html
FreeBSD Security Advisory 2002/11/18 追加
FreeBSD-SA-02:43.bind multiple vulnerabilities in BIND
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:43.bind.asc
Debian GNU/Linux ─ Security Information 2002/11/18 追加
DSA-196-1 bind ─ several
http://lists.debian.org/debian-security-announce/debian-security-announce-2002/msg00120.html
MandrakeSoft Security Advisory 2002/11/18 追加
MDKSA-2002:077 bind
http://www.mandrakesecure.net/en/advisories/2002/MDKSA-2002-077.php?dis=7.2
Vine Linux errata 2002/11/18 追加
bind にセキュリティホール
http://www.vinelinux.org/errata/25x/20021115-1.html
OpenBSD Security Advisory 2002/11/18 追加
005: SECURITY FIX: November 14, 2002
http://www.openbsd.org/errata.html#named
OpenBSD Security Advisory 2002/11/18 追加
019: SECURITY FIX: November 14, 2002
http://www.openbsd.org/errata31.html#named
OpenBSD Security Advisory 2002/11/18 追加
036: SECURITY FIX: November 14, 2002
http://www.openbsd.org/errata30.html#named
SecurityFocus 2002/11/18 追加
[OpenPKG-SA-2002.011] OpenPKG Security Advisory (bind, bind8)
http://online.securityfocus.com/archive/1/300019/2002-11-14/2002-11-20/0
Vine Linux errata [2.1.x] 2002/11/19 追加
bind にセキュリティホール
http://www.vinelinux.org/errata/2x/20021117-2.html
ISS X-Force Database 2002/11/20 追加
bind-sig-rr-bo (10304)
ISC BIND SIG cached resource records (RR) heap buffer overflow
http://www.iss.net/security_center/static/10304.php
ISS X-Force Database 2002/11/20 追加
bind-opt-rr-dos (10332)
ISC BIND OPT resource record (RR) denial of service
http://www.iss.net/security_center/static/10332.php
ISS X-Force Database 2002/11/20 追加
bind-null-dereference-dos (10333)
ISC BIND SIG null pointer dereference denial of service
http://www.iss.net/security_center/static/10333.php
ISS X-Force Database 2002/11/20 追加
bind-dns-libresolv-bo (10624)
ISC BIND DNS stub resolver library (libresolv.a) stack buffer overflows
http://www.iss.net/security_center/static/10624.php
Turbolinux Japan Security Center 2002/11/20 追加
bind 3つのセキュリティ上の問題
http://www.turbolinux.co.jp/security/bind-8.2.6-2.html
NetBSD Security Advisory 2002/11/21 追加
NetBSD-SA2002-028 Buffer overrun in getnetbyname/getnetbyaddr
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-028.txt.asc
NetBSD Security Advisory 2002/11/21 追加
NetBSD-SA2002-029 named(8) multiple denial of service and remote execution of code
ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-029.txt.asc
CVE (Common Vulnerabilities and Exposures) 2002/11/21 追加
CAN-2002-0029
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0029
Sun(sm) Alert Notification 2002/11/22 追加
48818 Security vulnerabilities in BIND and libresolv (CERT CA-2002-31)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-0029
Apple Security Advisory 2002/11/25 追加
Security Update 2002-11-21 is available
http://lists.apple.com/mhonarc/security-announce/msg00020.html
SecuriTeam.com 2002/11/27 追加
Vulnerability in Requests Control of BIND Versions 4 and 8 Allows DNS Spoofing
http://www.securiteam.com/unixfocus/6N00O2060K.html
SecurtyFocus 2002/12/05 追加
Multiple Vulnerabilities in BIND Name Service Daemon on IRIX
http://online.securityfocus.com/archive/1/302120/2002-12-02/2002-12-08/0
SCO Security Advisory 2002/12/06 追加
CSSA-2002-054.0 Linux: exploitable memory leak in ypserv
ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2002-054.0.txt
SecurtyFocus 2002/12/06 追加
BIND Name Server DNS Spoofing Vulnerability on IRIX
http://online.securityfocus.com/archive/1/302208/2002-12-02/2002-12-08/0
LinuxSecurty
Caldera: bind multiple vulnerabilities
http://www.linuxsecurity.com/advisories/caldera_advisory-2691.html
SecurtyFocus 2003/01/16 追加
Security Update: [CSSA-2003-SCO.2] UnixWare 7.1.1 : multiple vulnerabilities in BIND (CERT CA-2002-31)
http://online.securityfocus.com/archive/1/306750/2003-01-13/2003-01-19/0
Free Sun Alert Notifications 2003/02/05 追加
Security vulnerabilities in BIND and libresolv (CERT CA-2002-31)
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F48818&zone_32=category%3Asecurity
▽ Java
Java VMは、適切なチェックを行っておらず、オブジェクトの保護されたフィールドまたはメソッドに対して不正アクセスを許してしまうため、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから不正アクセスされる可能性がある。 [更新]
□ 関連情報:
Sun(sm) Alert Notification
50083 Java Virtual Machine May Allow Illegal Access to Protected Fields or Methods
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50083&zone_32=category%3Asecurity
HP-UX security bulletins digest 2003/01/29 追加
HPSBUX0301-239 SSRT3467 Sec. Vulnerability in Java
http://itrc.hp.com/
HEWLETT-PACKARD COMPANY セキュリティ報告 2003/01/29 追加
HPSBUX0301-239 SSRT3467 Javaにおけるセキュリティ脆弱性
http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0301-239.html
SecurityTracker.com Archives 2003/01/31 追加
Alert ID:1006005 Sun Java Runtime Environment (JRE) Unspecified Hole Lets Java Code Bypass Access Controls
http://www.securitytracker.com/alerts/2003/Jan/1006005.html
ISS X-Force Database 2003/02/04 追加
sun-java-unauthorized-access (11183) Sun Java Virtual Machine could allow unauthorized access to objects
http://www.iss.net/security_center/static/11183.php
▽ JSSE
JSSE(Java Secure Socket Extension)は、細工されたデジタル証明書を
適切にチェックしていないことが原因で、セキュリティホールが存在する。
攻撃者にこのセキュリティホールを悪用された場合、リモートから Java Plug-In/Java Web Start を実行される可能性がある。[更新]
□ 関連情報:
Sun(sm) Alert Notification
50081 Incorrect Certificate Validation in Java Secure Socket Extension (JSSE), Java Plug-In and Java Web Start
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50081&zone_32=category%3Asecurity
Security Bugware 2003/01/29 追加
Java Secure Socket Extension Incorrect Certificate Validation
http://www.securitybugware.org/Other/5955.html
ISS X-Force Database 2003/02/04 追加
sun-java-improper-validation (11182) Sun Java products incorrectly validate digital certificates
http://www.iss.net/security_center/static/11182.php
<その他の製品>
▽ Quake3 engine
さまざまなゲームで利用されているゲームエンジンQuake3 engineは、マップをダウンロードする際のコマンドに脆弱性があり、任意のファイルを実行されたりゲームを起動不能にされる可能性がある。この脆弱性は「Ravensoft's Star Trek Voyager:EliteForce」、「Medal of Honour:Allied Assault」、「Medal of Honour:Spearhead」の3種類のゲームに存在する可能性があるという。
Quake3 engine autodownload issues.
http://msgs.securepoint.com/cgi-bin/get/bugtraq0302/36.html
▽ SSH2
AbsoluteTelnet、Entunnel、SecureCRT、SecureFX、PuTTYの複数のSSH2クライアントプログラムは、各 SSH クライアントによって送信されたログイン名およびパスワードがプレインテキストのままメモリ上に格納されることが原因で、セキュリティホールが存在する。攻撃者にこのセキュリティホールを悪用された場合、ローカルからパスワードを奪取される可能性がある。
□ 関連情報:
Neohapsis Archives - Bugtraq
iDEFENSE Security Advisory 01.28.03: SSH2 Clients Insecurely Store
Passwords - From labs_at_idefense.com
http://archives.neohapsis.com/archives/bugtraq/2003-01/0351.html
ISS X-Force Database 2003/02/04 追加
ssh-plaintext-passwords (11197) Multiple SSH2 clients store passwords in plain text
http://www.iss.net/security_center/static/11197.php
CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
CAN-2003-0046
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0046
CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
CAN-2003-0047
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0047
CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
CAN-2003-0048
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0048
<UNIX共通>
▽ mailman
mailmanのウェブインターフェースは、細工されたURLを入力された場合、不適切な文字列を適切にチェックせずそのまま処理することが原因で、クロスサイトスクリプティングの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから不正なスクリプトコードを含んだウェブページを生成される可能性がある。 [更新]
□ 関連情報:
Neohapsis Archives - Bugtraq
Mailman: cross-site scripting bug - From webmaster_at_procheckup.com
http://archives.neohapsis.com/archives/bugtraq/2003-01/0263.html
SecurityTracker.com Archives
Alert ID:1005987 Mailman List Software Input Validation Flaw in
'email' Variable Allows Remote Users to Conduct Cross-SiteScripting Attacks
http://www.securitytracker.com/alerts/2003/Jan/1005987.html
ISS X-Force Database
mailman-email-variable-xss (11152) Mailman email variable cross-site scripting
http://www.iss.net/security_center/static/11152.php
ISS X-Force Database 2003/02/04 追加
mailman-error-page-xss (11175) GNU Mailman error page cross-site scripting
http://www.iss.net/security_center/static/11175.php
CVE (Common Vulnerabilities and Exposures) 2003/02/04 追加
CAN-2003-0038
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0038
<SunOS/Solaris>
▽ FTP Server
FTP Serverにin.ftpd(1M)を使用する際に、FTPサービスを分裂させることが可能となる問題が発見された。この問題を利用することにより、ローカルのユーザーがDoS攻撃を仕掛けることが可能となる。
□ 関連情報:
Free Sun Alert Notifications
Solaris FTP Server (in.ftpd(1M)) is Vulnerable to Denial of Service Attack
http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F50240&zone_32=category%3Asecurity
ISS X-Force Database 2003/02/04 追加
solaris-ftpd-dos (11186) Sun Solaris FTP server denial of service
http://www.iss.net/security_center/static/11186.php
<Linux共通>
▽ qt-dcgui
qt-dcguiのバージョン0.2.2以前で利用されているディレクトリパーサー
に脆弱性が発見された。この問題を利用することにより、リモートの攻撃
者がファイルをダウンロードすることが可能となる。
□ 関連情報:
SecurtyFocus
GLSA: qt-dcgui
http://online.securityfocus.com/archive/1/310123/2003-02-01/2003-02-07/0
LinuxSecurty 2003/02/05 追加
Gentoo: qt-dcgui file leaking vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2831.html
▽ Kernel
Kernel 2.4.18で、ネットワークインターフェースカードのドライバがNullバイトに、パッドフレームを適用しない問題が発見された。この問題により、リモートの攻撃者がメモリ内容を参照出来る。
□ 関連情報:
Red Hat Linux Security Advisory
RHSA-2003:025-20 Updated 2.4 kernel fixes various vulnerabilities
http://rhn.redhat.com/errata/RHSA-2003-025.html
SecurtyFocus
[RHSA-2003:025-20] Updated 2.4 kernel fixes various vulnerabilities
http://online.securityfocus.com/archive/1/310161/2003-02-01/2003-02-07/0
LinuxSecurty 2003/02/05 追加
RedHat: kernel 2.4 ehternet vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2832.html
▽ DHCP3
dhcp3に、dhcpリレーがBOOTPリクエストを受け取る場合、MACアドレスff:ff:ff:ff:ff:を使用して、DHCPサーバーへリクエストを転送する問題が発見された。この問題を利用することにより、悪意のあるパケットを使用し、パケットストームを起こすことが可能となる。 [更新]
□ 関連情報:
Debian GNU/Linux ─ Security Information
DSA-245-1 dhcp3 ─ ignored counter boundary
http://www.debian.org/security/2003/dsa-245
SecurtyFocus
[SECURITY] [DSA 245-1] New dhcp3 packages fix potential network flood
http://online.securityfocus.com/archive/1/308758/2003-01-26/2003-02-01/0
LinuxSecurty
Debian: dhcp3 potential flood vulnerability
http://www.linuxsecurity.com/advisories/debian_advisory-2820.html
CERT 2003/02/05 追加
Vulnerability Note VU#149953
ISC "dhcrelay" fails to limit hop count when malicious bootp packet is received
http://www.kb.cert.org/vuls/id/149953
▽ CVS
CVSにダブルフリーの脆弱性が発見された。この問題を利用し、書き込み特権を持ったユーザーが任意のコードを実行するなどが可能となる。[更新]
□ 関連情報:
Red Hat Linux Security Advisory
RHSA-2003:012-07 Updated CVS packages available
http://rhn.redhat.com/errata/RHSA-2003-012.html
MandrakeSoft Security Advisory
MDKSA-2003:009 : cvs
http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:009
LinuxSecurty
RedHat: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/redhat_advisory-2780.html
SecuriTeam.com 2003/01/22 追加
CVS Remote Vulnerability
http://www.securiteam.com/unixfocus/5VP0P0A8UQ.html
CERT 2003/01/23 更新
Vulnerability Note VU#650937
Concurrent Versions System (CVS) server improperly deallocates memory
http://www.kb.cert.org/vuls/id/650937
Debian GNU/Linux ─ Security Information 2003/01/22 追加
DSA-233-1 cvs ─ doubly freed memory
http://www.debian.org/security/2003/dsa-233
LinuxSecurty 2003/01/22 追加
Connectiva: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2788.html
LinuxSecurty 2003/01/22 追加
OpenPKG: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/other_advisory-2784.html
LinuxSecurty 2003/01/22 追加
Gentoo: CVS double free vulnerability
http://www.linuxsecurity.com/advisories/gentoo_advisory-2783.html
CVS 2003/01/23 追加
2003-01-20: CVS 1.11.5 Released! (security update)
http://ccvs.cvshome.org/servlets/NewsItemView?newsID=51
CVE (Common Vulnerabilities and Exposures) 2003/01/23 追加
CAN-2003-0015
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0015
IPA 2003/01/23 追加
CVS サーバにリモートから攻略可能な脆弱性
http://www.ipa.go.jp/security/
Miracle Linux Support 2003/01/23 追加
cvs メモリ領域の二重開放
http://www.miraclelinux.com/support/update/data/cvs.html
SecurtyFocus 2003/01/23 追加
[OpenPKG-SA-2003.004] OpenPKG Security Advisory (cvs)
http://online.securityfocus.com/archive/1/307625/2003-01-20/2003-01-26/0
SecurtyFocus 2003/01/24 追加
[CLA-2003:561] Conectiva Linux Security Announcement - cvs
http://online.securityfocus.com/archive/1/307919/2003-01-21/2003-01-27/0
CIAC 2003/01/24 追加
N-032: Double-Free Bug in Concurrent Versions System (CVS) Server
http://www.ciac.org/ciac/bulletins/n-032.shtml
LinuxSecurty 2003/01/24 追加
Connectiva: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/connectiva_advisory-2804.html
LinuxSecurty 2003/01/28 追加
YellowDog: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/yellowdog_advisory-2815.html
SuSE Security Announcement 2003/02/03 追加
SuSE-SA:2003:0007 CVS
http://www.suse.de/de/security/2003_007_cvs.html
SecurtyFocus 2003/02/03 追加
Security Update: [CSSA-2003-006.0] Linux: CVS double free
vulnerability
http://online.securityfocus.com/archive/1/309689/2003-01-31/2003-02-06/0
LinuxSecurty 2003/02/03 追加
Caldera: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/caldera_advisory-2826.html
SecurtyFocus 2003/02/04 追加
Exploit for CVS double free() for Linux pserver
http://online.securityfocus.com/archive/1/309913/2003-02-01/2003-02-07/0
SecurtyFocus 2003/02/05 追加
FreeBSD Security Advisory FreeBSD-SA-03:01.cvs
http://online.securityfocus.com/archive/1/310172/2003-02-01/2003-02-07/0
LinuxSecurty 2003/02/05 追加
FreeBSD: cvs double free vulnerability
http://www.linuxsecurity.com/advisories/freebsd_advisory-2833.html
▽ courier-ssl
courier-sslで、PostgreSQLにユーザー名が渡される際に、攻撃者が任意のSQLコマンドを入力することができる問題が発見された。この問題により、悪意のあるユーザーがSQLサーバーを利用することができるようになる。[更新]
□ 関連情報:
Debian GNU/Linux ─ Security Information
DSA-247-1 courier-ssl ─ missing input sanitizing
http://www.debian.org/security/2003/dsa-247
SourceForge.net: File Release Notes and Changelog
Project: Courier Mail Server: Release Notes 0.41.0
http://sourceforge.net/project/shownotes.php?release_id=93065
CVE (Common Vulnerabilities and Exposures)
CAN-2003-0040
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0040
Linux Securty 2003/01/31 追加
Debian: courier arbitrary command execution vulnerability
http://www.linuxsecurity.com/advisories/debian_advisory-2824.html
ISS X-Force Database 2003/02/04 追加
courierimap-authmysqllib-sql-injection (11213) Courier-IMAP
authpgsqllib username SQL injection
http://www.iss.net/security_center/static/11213.php
<リリース情報>
▽ GNOME 2.0 Desktop for the Solaris
GNOME 2.0 Desktop for the Solarisがリリースされた。
http://wwws.sun.com/software/star/gnome/
<セキュリティトピックス>
▽ サポート情報
トレンドマイクロのサポート情報が複数アップされている。
2003/02/04 更新
http://www.trendmicro.co.jp/esolution/newsolution.asp
▽ セミナー情報
IPA、ITセキュリティ評価及び認証セミナー開催について
http://www.ipa.go.jp/security/ccj/event/20030228/index.htm
▽ セキュリティトピックス
ミラクル・リナックス、Linux長期サポートサービスを発表
http://www.miraclelinux.com/pressroom/details/2003020401.html
▽ ウイルス情報
トレンドマイクロ、WORM_LOLOL.C
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_LOLOL.C
▽ ウイルス情報
シマンテック、W32.HLLW.Winur
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.winur.html
▽ ウイルス情報
日本ネットワークアソシエイツ、VBS/Sludge.worm
http://www.nai.com/japan/virusinfo/virS.asp?v=VBS/Sludge.worm
▽ ウイルス情報
日本ネットワークアソシエイツ、IRC/Backdoor.g
http://www.nai.com/japan/virusinfo/virB.asp?v=IRC/Backdoor.g
▽ ウイルス情報
日本ネットワークアソシエイツ、FDoS-SynKal
http://www.nai.com/japan/virusinfo/virF.asp?v=FDoS-SynKal
▽ ウイルス情報
日本ネットワークアソシエイツ、Exploit-IISInjector
http://www.nai.com/japan/virusinfo/virE.asp?v=Exploit-IISInjector
▽ ウイルス情報
日本ネットワークアソシエイツ、DDoS-Smurf
http://www.nai.com/japan/virusinfo/virD.asp?v=DDoS-Smurf
【更に詳細な情報サービスのお申し込みはこちら
https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx 】
《ScanNetSecurity》