セキュリティホール情報＜2003/03/17-1＞

＜プラットフォーム共通＞
▽ Opera
　Operaのバージョン6と7でファイルのダウンロードを行う際、対象のファイルが極端に長い名称の場合、バッファオーバーフローの脆弱性が発生する。この問題を利用することにより、任意のコードを実行することができる。 [更新]

□ 関連情報:

　Opera Software
　http://www.opera.com/

　SecurityFocus
　[Opera 7/6] Long Filename Buffer Overflow Vulnerability in Download
　http://www.securityfocus.com/archive/1/314748/2003-03-09/2003-03-15/0

　ISS X-Force Database 2003/03/13 追加
　opera-filename-download-bo (11517) Opera long file name download buffer overflow
　http://www.iss.net/security_center/static/11517.php

　NEOHAPSIS ARCHIVES
　[Opera 7/6] Long Filename Buffer Overflow Vulnerability in Download
　http://archives.neohapsis.com/archives/bugtraq/2003-03/0173.html

　Changelog for Opera 7.03 for Windows 2003/03/17 追加
　http://www.opera.com/windows/changelogs/703/

　Operash セキュリティホール情報 2003/03/17 追加
　[Opera 7/6] ダウンロード時の長いファイル名で起こるバッファオーバーフローによる脆弱性
　http://opera.rainyblue.org/adv/opera02-dlfnbof.php

　Security Bugware 2003/03/17 追加
　Opera long filename download buffer overflow
　http://www.securitybugware.org/Other/6054.html

　SecurityTracker.com Archives 2003/03/17 追加
　Alert ID:1006269 Opera Browser Download Filename Buffer Overflow Lets Remote Users Execute Arbitrary Code
　http://www.iss.net/security_center/static/11517.php

▽ Delegate
　delegateは、HTTP プロキシとして利用している環境において、細工された robots.txt に対して適切なチェックをしていないことが原因で、バッファオーバーフローの問題が存在する。攻撃者にこのセキュリティホールを悪用された場合、リモートから任意のコードを実行される可能性がある。[更新]

□ 関連情報:

　Article delegate-en
　RELEASE DeleGate/8.4.1(alpha) ─ fixes for HTTP / PERMIT (8.4.0),DNS server stall on Win32, etc.
　http://www.delegate.org/mail-lists/delegate-en/2149

　SecurityTracker.com Archives
　Alert ID:1006260 DeleGate Overflow in Processing 'robots.txt'
　Fields Lets Remote Users Execute Arbitrary Code on the Proxy Server
　http://www.securitytracker.com/alerts/2003/Mar/1006260.html

　ISS X-Force Database
　delegate-useragent-bo (11503) DeleGate User-Agent pointer array overflow
　http://www.iss.net/security_center/static/11503.php

　Security Bugware 2003/03/14 追加
　DeleGate Pointer Array Overflow May Let Remote Users Execute Arbitrary Code
　http://www.securitybugware.org/Other/6065.html

　SNS Advisory 2003/03/17 追加
　SNS Advisory No.63：DeleGate Pointer Array Overflow May Let Remote Users Execute Arbitrary Code
　http://www.lac.co.jp/security/intelligence/SNSAdvisory/63.html

▽ sendmail
　sendmailのメールヘッダーにバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、攻撃メールを転送させるなどの攻撃が可能となる。 [更新]

□ 関連情報:

　SENDMAIL.ORG
　Sendmail 8.12.8
　http://www.sendmail.org/8.12.8.html

　Sendmail セキュリティアラート
　http://www.sendmail.com/jp/security/

　Internet Security Systems Security Advisory
　Remote Sendmail Header Processing Vulnerability
　http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=21950

　CERT 2003/03/04 更新
　Vulnerability Note VU#398025
　Remote Buffer Overflow in Sendmail
　http://www.kb.cert.org/vuls/id/398025

　CERT Advisory
　CA-2003-07 Remote Buffer Overflow in Sendmail
　http://www.cert.org/advisories/CA-2003-07.html

　CIAC
　N-048: Sendmail MTA Vulnerability
　http://www.ciac.org/ciac/bulletins/n-048.shtml

　CVE (Common Vulnerabilities and Exposures)
　CAN-2002-1337
　http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2002-1337

　ISS X-Force Database
　sendmail-header-processing-bo (10748) Sendmail mail header processing buffer overflow
　http://www.iss.net/security_center/static/10748.php

　IPA
　Sendmail における深刻なセキュリティ脆弱性について
　http://www.ipa.go.jp/security/ciadr/20030303sendmail.html

　Free Sun Alert Notifications
　sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases
　http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F51181&zone_32=category%3Asecurity

　SuSE Security Announcement
　SuSE-SA:2003:013 sendmail-tls
　http://lists2.suse.com/archive/suse-security-announce/2003-Mar/0001.html

　Apple Security Advisory
　APPLE-SA-2003-03-03 sendmail
　http://lists.apple.com/archives/security-announce/2003/Mar/03/applesa20030303sendmail.txt

　CERT/CC Vulnerability Note
　IBM Information for VU#398025
　http://www.kb.cert.org/vuls/id/JPLA-5K6Q2Z

　SGI Security Advisory
　20030301-01-P Mail Header Buffer Overflow In Sendmail
　ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P

　Internet Security Systems セキュリティアラート
　「Sendmailのヘッダー処理に対する脆弱性」
　http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html

　FreeBSD Security Advisory
　FreeBSD-SA-03:04.sendmail
　ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-03:04/sendmail.patch

　OpenBSD
　022: SECURITY FIX: March 3, 2003
　A source code patch exists which remedies the problem.
　http://www.openbsd.org/errata31.html#sendmail

　Red Hat Linux Security Advisory
　RHSA-2003:074-06 Updated sendmail packages fix critical security
　issue
　https://rhn.redhat.com/errata/RHSA-2003-074.html

　MandrakeSoft Security Advisory
　MDKSA-2003:028 : sendmail
　http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:028

　SecurityFocus
　[RHSA-2003:073-06] Updated sendmail packages fix critical security
　 issues
　http://www.securityfocus.com/archive/1/313632/2003-03-01/2003-03-07/0

　SecurityFocus
　sendmail 8.12.8 available
　http://www.securityfocus.com/archive/1/313631/2003-03-01/2003-03-07/0

　SecurityFocus
　Mail Header Buffer Overflow In Sendmail
　http://www.securityfocus.com/archive/1/313624/2003-03-01/2003-03-07/0

　SecurityFocus
　FreeBSD Security Advisory FreeBSD-SA-03:04.sendmail
　http://www.securityfocus.com/archive/1/313649/2003-03-01/2003-03-07/0

　SecurityFocus
　Sendmail buffer overflow vulnerability in AIX.
　http://www.securityfocus.com/archive/1/313637/2003-03-01/2003-03-07/0

　SecurityFocus
　SuSE Security Announcement: sendmail (SuSE-SA:2003:013)
　http://www.securityfocus.com/archive/1/313688/2003-03-01/2003-03-07/0

　SecurityFocus
　MDKSA-2003:028 - Updated sendmail packages fix remotely
　exploitable buffer overflow vulnerability
　http://www.securityfocus.com/archive/1/313690/2003-03-01/2003-03-07/0

　SecurityFocus
　[CLA-2003:571] Conectiva Linux Security Announcement - sendmail
　http://www.securityfocus.com/archive/1/313719/2003-03-01/2003-03-07/0

　Internet Security Systems セキュリティアラート 2003/03/05 追加
　Sendmailのヘッダー処理に対する脆弱性
　http://www.isskk.co.jp/support/techinfo/general/SendmailHeader_xforce.html

　JPCERT/CC Alert 2003/03/05 追加
　sendmail の脆弱性に関する注意喚起
　http://www.jpcert.or.jp/at/2003/at030002.txt

　Vendor Status Note JVNCA-2003-07
　Sendmail に遠隔から攻略可能な脆弱性
　http://jvn.doi.ics.keio.ac.jp/vn/JVNCA-2003-07.html

　IBM 2003/03/05 追加
　IBM Information for VU#398025
　ftp://ftp.software.ibm.com/aix/efixes/security/sendmail_efix.tar.Z

　SGI Security Advisory 2003/03/05 追加
　20030301-01-P Mail Header Buffer Overflow In Sendmail
　ftp://patches.sgi.com/support/free/security/advisories/20030301-01-P

　Free Sun Alert Notifications 2003/03/05 追加
　sendmail(1M) Parses Headers Incorrectly in Certain Corner Cases
　http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F51181

　OpenBSD 3.2 errata 2003/03/05 追加
　009: セキュリティのための修正
　http://www.openbsd.org/ja/errata.html#sendmail

　FreeBSD Security Advisory 2003/03/05 追加
　sendmail header parsing buffer overflow
　ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:04.sendmail.asc

　NetBSD Security Advisory 2003/03/05 追加
　Malformed header Sendmail Vulnerability
　ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-002.txt.asc

　Red Hat Linux Security Advisory 2003/03/05 追加
　RHSA-2003:073-06 sendmailパッケージのアップデート
　http://www.redhat.co.jp/support/errata/RHSA/RHSA-2003-073J.html

　Turbolinux Security Advisory 2003/03/05 追加
　TLSA-2003-13 sendmail のヘッダー処理に対する脆弱性
　http://www.turbolinux.co.jp/security/TLSA-2003-13j.txt

　SuSE Security Announcement 2003/03/05 追加
　sendmail, sendmail-tls: local privilege escalation
　http://www.suse.de/de/security/2003_13_sendmail.html

　アップル 2003/03/05 追加
　Security Update 2003-03-03
　http://www.apple.co.jp/ftp-info/reference/security_update_2003-03-03.html

　SecuriTeam.com 2003/03/05 追加
　Remote Sendmail Header Processing Vulnerability
　http://www.securiteam.com/securitynews/5SP02159FC.html

　SecurityFocus 2003/03/05 追加
　GLSA: sendmail (200303-4)
　http://www.securityfocus.com/archive/1/313762/2003-03-01/2003-03-07/0

　SecurityFocus 2003/03/05 追加
　[SECURITY] [DSA-257-1] sendmail remote exploit
　http://www.securityfocus.com/archive/1/313763/2003-03-01/2003-03-07/0

　SecurityFocus 2003/03/05 追加
　HP-UX security bulletins digest [Fwd/sendmail issue]
　http://www.securityfocus.com/archive/1/313788/2003-03-01/2003-03-07/0

　SecurityFocus 2003/03/05 追加
　[OpenPKG-SA-2003.016] OpenPKG Security Advisory (sendmail)
　http://www.securityfocus.com/archive/1/313875/2003-03-01/2003-03-07/0

　LinuxSecurity 2003/03/05 追加
　SuSE: sendmail/sendmail-tls Remote vulnerability
　http://www.linuxsecurity.com/advisories/suse_advisory-2915.html

　LinuxSecurity 2003/03/05 追加
　Mandrake: sendmail Remote vulnerability
　http://www.linuxsecurity.com/advisories/mandrake_advisory-2916.html

　LinuxSecurity 2003/03/05 追加
　Debian: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/debian_advisory-2918.html

　LinuxSecurity 2003/03/05 追加
　FreeBSD: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/freebsd_advisory-2919.html

　LinuxSecurity 2003/03/05 追加
　Gentoo: sendmail remote root exploit
　http://www.linuxsecurity.com/advisories/gentoo_advisory-2920.html

　LinuxSecurity 2003/03/05 追加
　NetBSD: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/netbsd_advisory-2922.html

　LinuxSecurity 2003/03/05 追加
　Slackware: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/slackware_advisory-2923.html

　LinuxSecurity 2003/03/05 追加
　OpenPKG: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/other_advisory-2928.html

　LinuxSecurity 2003/03/05 追加
　FreeBSD: REVISED: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/freebsd_advisory-2930.html

　Debian GNU/Linux ─ Security Information
　DSA-257-1 sendmail ─ remote exploit
　http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00039.html

　SOLARSPEED.NET - Free Sun Cobalt PKG files
　Sendmail "Remote Header Processing Vulnerability" patch (Security
　upgrade)
　http://www.solarspeed.net/downloads/index.php

　Sun(sm) Alert Notification
　51181 sendmail(1M) Parses Headers Incorrectly in Certain Corner
　Cases
　http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F51181&zone_32=category%3Asecurity

　Tru64 UNIX] V5.1B PK1 BL01 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v51bb1-c0003900-16874-es-20030211.README

　Tru64 UNIX V5.1A PK4 BL21 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v51ab21-c0103500-17099-es-20030226.README

　Tru64 UNIX V5.1A PK3 BL03 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v51ab3-c0101900-16876-es-20030211.README

　Tru64 UNIX V5.1 PK6 BL20 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v51b20-c0169800-16980-es-20030218.README

　Tru64 UNIX V5.1 PK5 BL19 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v51b19-c0169100-16882-es-20030211.README

　Tru64 UNIX V5.0A PK3 BL17 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v50ab17-c0031300-16884-es-20030211.README

　Tru64 UNIX V4.0G PK3 BL17 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/t64v40gb17-c0028100-16887-es-20030211.README

　Tru64 UNIX V4.0F PK7 BL18 ECO Summary
　SSRT3469 - HP Tru64 UNIX sendmail Potential Security Vulnerability
　http://ftp.support.compaq.com/patches/public/Readmes/unix/duv40fb18-c0092200-16888-es-20030211.README

　MIRACLE LINUX CORPORATION セキュリティ情報
　セキュリティ問題に対応したパッケージ
　http://www.miraclelinux.com/security/index.html

　CTC セキュリティ情報
　0001-46　sendmailのセキュリティ脆弱性
　http://www.ctc-g.co.jp/security/0001-46.html

　HP社セキュリティ報告 2003/03/06 追加
　HPSBUX0302-246 sendmailにおける潜在的セキュリティ脆弱性(改訂1)
　http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0210-073.html

　Debian GNU/Linux ─ Security Information 2003/03/06 追加
　DSA-257-1 sendmail ─ remote exploit
　http://www.debian.org/security/2003/dsa-257

　Miracle Linux Support 2003/03/06 追加
　sendmail バッファオーバーフロー
　http://www.miraclelinux.com/support/update/data/sendmail.html

　LinuxSecurity 2003/03/06 追加
　YellowDog: sendmail remote exploit
　http://www.linuxsecurity.com/advisories/yellowdog_advisory-2935.html

　LinuxSecurity 2003/03/06 追加
　Debian: sendmail-wide remote exploit
　http://www.linuxsecurity.com/advisories/debian_advisory-2932.html

　SecurityTracker.com Archives 2003/03/06 追加
　Alert ID:1006199 Sendmail Buffer Overflow in Parsing Certain
　Header Comments May Let Remote Users Execute Arbitrary Code with Root Privileges
　http://www.securitytracker.com/alerts/2003/Mar/1006199.html

　Incompatible changes with Postfix version 2.0.6 2003/03/07 追加
　ftp://ring.aist.go.jp/pub/net/mail/postfix/official/postfix-2.0.6.RELEASE_NOTES

　SCO Security Advisory 2003/03/08 追加
　CSSA-2003-SCO.5 UnixWare 7.1.1 Open UNIX 8.0.0 UnixWare 7.1.3 :remote buffer overflow in sendmail (CERT CA-2003-07)
　ftp://ftp.sco.com/pub/updates/UnixWare/CSSA-2003-SCO.5/CSSA-2003-SCO.5.txt

　SecuriTeam.com 2003/03/10 追加
　Technical Analysis of Remote Sendmail Vulnerability (Exploit)
　http://www.securiteam.com/unixfocus/5PP03209FW.html

　SecurityFocus 2003/03/10 追加
　Security Update: [CSSA-2003-SCO.5] UnixWare 7.1.1 Open UNIX 8.0.0
　UnixWare 7.1.3 : remote buffer overflow in sendmail (CERT CA-2003-07)
　http://www.securityfocus.com/archive/1/314378/2003-03-06/2003-03-12/0

　CIAC 2003/03/10 追加
　N-050: Sun sendmail(1M) ".forward" Constructs Vulnerability
　http://www.ciac.org/ciac/bulletins/n-050.shtml

　Free Sun Alert Notifications 2003/03/10 追加
　Sun Linux and Cobalt Legacy Products are Vulnerable to a sendmail(1M) Buffer Overflow
　http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F51400&zone_32=category%3Asecurity

　SCO Security Advisory 2003/03/11 追加
　CSSA-2003-010.0 Linux: remote buffer overflow in sendmail (CERT CA-2003-07)
　ftp://ftp.sco.com/pub/security/OpenLinux/CSSA-2003-010.0.txt

　LinuxSecurity 2003/03/12 追加
　SCO: sendmail Buffer overflow vulnerability
　http://www.linuxsecurity.com/advisories/caldera_advisory-2953.html

　Red Hat Linux Security Advisory 2003/03/12 更新
　RHSA-2003:073-06 Updated sendmail packages fix critical security issues
　http://rhn.redhat.com/errata/RHSA-2003-073.html

　HP-UX security bulletins digest 2003/03/05 追加 , 2003/03/12 更新
　HPSBUX0302-246 SSRT3469 Potential Security Vulnerability in sendmail (rev.3)
　http://itrc.hp.com/

　SecurityFocus 2003/03/14 追加
　Security Update: [CSSA-2003-SCO.6] OpenServer 5.0.5 OpenServer 5.
　0.6 OpenServer 5.0.7 : remote buffer overflow in sendmail (CERT CA-2003-07)
　http://www.securityfocus.com/archive/1/314940/2003-03-11/2003-03-17/0

　Lotus Software - セキュリティー情報 2003/03/15 追加
　725542 Sendmail のリモートバッファオーバーフローに関するISS / CERTの報告について
　http://www-6.ibm.com/jp/domino04/lotus/support/faqs/faqs.nsf/all/725542?OpenDocument

▽ OpenSSL
　OpenSSLのSSL/TLSに対するタイミングに関する攻撃が可能になる問題が発見された。この問題により、攻撃者が接続時のデータ認証のタイミングを測定することなどが可能となる。 [更新]

□ 関連情報:

　SecurityFocus
　[OpenPKG-SA-2003.013] OpenPKG Security Advisory (openssl)
　http://online.securityfocus.com/archive/1/312364/2003-02-17/2003-02-23/0

　SecurityFocus
　OpenSSL 0.9.7a and 0.9.6i released
　http://online.securityfocus.com/archive/1/312333/2003-02-17/2003-02-23/0

　OpenSSL Security Advisory
　Timing-based attacks on SSL/TLS with CBC encryption
　http://www.openssl.org/news/secadv_20030219.txt

　LASEC
　Security Flaws Induced by CBC Padding - Applications to SSL, IPSEC,WTLS...
　http://lasecwww.epfl.ch/php_code/publications/search.php?ref=Vau02a

　CVE (Common Vulnerabilities and Exposures)
　CAN-2003-0078
　http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0078

　SecurityFocus 2003/02/21 追加
　[ESA-20030220-005] OpenSSL timing-based attack vulnerability
　http://online.securityfocus.com/archive/1/312503/2003-02-18/2003-02-24/0

　SecurityFocus 2003/02/21 追加
　GLSA: openssl (200302-10)
　http://online.securityfocus.com/archive/1/312562/2003-02-18/2003-02-24/0

　LinuxSecurity 2003/02/21 追加
　Gentoo: openssl timing based attack vulnerability
　http://www.linuxsecurity.com/advisories/gentoo_advisory-2875.html

　LinuxSecurity 2003/02/21 追加
　EnGarde: OpenSSL timing-based attack vulnerability
　http://www.linuxsecurity.com/advisories/engarde_advisory-2874.html

　Security Bugware 2003/02/21 追加
　openssl timming attack to obtain plaintext of SSL/TLS communication
　http://www.securitybugware.org/Other/6003.html

　ISS X-Force Database 2003/02/21 追加
　ssl-cbc-information-leak (11369) Multiple SSL/TLS implementation CBC ciphersuites information leak
　http://www.iss.net/security_center/static/11369.php

　MandrakeSoft Security Advisory 2003/02/22 追加
　MDKSA-2003:020 openssl
　http://www.mandrakesecure.net/en/advisories/advisory.php?name=MDKSA-2003:020

　SecurityTracker.com Archives 2003/02/22 追加
　Alert ID:1006132 OpenSSL Flaw in Processing Padding Errors May Let Remote Users Obtain Certain Plaintext Information
　http://www.securitytracker.com/alerts/2003/Feb/1006132.html

　SecurityFocus 2003/02/24 追加
　TSLSA-2003-0005 - openssl
　http://online.securityfocus.com/archive/1/312755/2003-02-20/2003-02-26/0

　SecurityFocus 2003/02/24 追加
　MDKSA-2003:020 - Updated openssl packages fix timing-based attack vulnerability
　http://online.securityfocus.com/archive/1/312756/2003-02-20/2003-02-26/0

　LinuxSecurity 2003/02/24 追加
　Trustix: openssl block cipher padding vulnerability
　http://www.linuxsecurity.com/advisories/trustix_advisory-2885.html

　OpenBSD Security Advisory 2003/02/24 追加
　007: SECURITY FIX: February 22, 2003
　http://www.jp.openbsd.org/errata.html#ssl

　OpenBSD Security Advisory 2003/02/24 追加
　021: SECURITY FIX: February 23, 2003
　http://www.jp.openbsd.org/errata31.html#ssl2

　FreeBSD Security Advisory 2003/02/25 追加
　FreeBSD-SA-03:02 openssl OpenSSL timing-based SSL/TLS attack
　ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-03:02.openssl.asc

　Debian GNU/Linux ─ Security Information 2003/02/25 追加
　DSA-253-1 openssl ─ information leak
　http://www.debian.org/security/2003/dsa-253

　SecurityFocus 2003/02/25 追加
　[SECURITY] [DSA 253-1] New OpenSSL packages fix timing-based attack vulnerability
　http://online.securityfocus.com/archive/1/312986/2003-02-22/2003-02-28/0

　SecurityFocus 2003/02/25 追加
　[CLA-2003:570] Conectiva Linux Security Announcement - openssl
　http://online.securityfocus.com/archive/1/312999/2003-02-22/2003-02-28/0

　LinuxSecurity 2003/02/25 追加
　Debian: openssl Information leak
　http://www.linuxsecurity.com/advisories/debian_advisory-2887.html

　FreeBSD Security Advisory 2003/02/26 追加
　FreeBSD-SA-03:02 openssl [REVISED] OpenSSL timing-based SSL/TLS attack
　http://home.jp.freebsd.org/cgi-bin/showmail/announce-jp/1104

　LinuxSecurity 2003/02/26 追加
　FreeBSD: openssl information leak
　http://www.linuxsecurity.com/advisories/freebsd_advisory-2897.html

　LinuxSecurity 2003/02/26 追加
　Mandrake: openssl information leak
　http://www.linuxsecurity.com/advisories/mandrake_advisory-2896.html

　LinuxSecurity 2003/02/26 追加
　Connectiva: openssl information leak
　http://www.linuxsecurity.com/advisories/connectiva_advisory-2893.html

　SuSE Security Announcement 2003/02/27 追加
　openssl: remote attack on encryption
　http://www.suse.de/de/security/2003_011_openssl.html

　SecurityFocus 2003/02/27 追加
　SuSE Security Announcement: openssl (SuSE-SA:2003:011)
　http://online.securityfocus.com/archive/1/313229/2003-02-24/2003-03-02/0

　LinuxSecurity 2003/02/27 追加
　FreeBSD: REVISED: openssl information leak
　http://www.linuxsecurity.com/advisories/freebsd_advisory-2903.html

　Turbolinux Security Center 2003/02/28 追加
　TLSA-2003-10 oepnssl Timing-based attacks on SSL/TLS with CBC encryption
　http://www.turbolinux.com/security/TLSA-2003-10.txt

　Turbolinux Japan Security Center 2003/02/28 追加
　TLSA-2003-10 oepnssl SSL/TLS の CBC 暗号化方式に対するタイミングベースの攻撃
　http://www.turbolinux.co.jp/security/TLSA-2003-10j.txt

　LinuxSecurity 2003/02/28 追加
　SuSe: openssl information leak
　http://www.linuxsecurity.com/advisories/suse_advisory-2904.html

　NetBSD Security Advisory 2003/03/04 追加
　NetBSD-SA2003-001 Encryption weakness in OpenSSL code
　ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2003-001.txt.asc

　LinuxSecurity 2003/03/05 追加
　NetBSD: OpenSSL timing-based attack vulnerability
　http://www.linuxsecurity.com/advisories/netbsd_advisory-2921.html

　Apple Security Advisory 2003/03/05 追加
　APPLE-SA-2003-03-03 sendmail
　http://lists.apple.com/archives/security-announce/2003/Mar/03/applesa20030303sendmail.txt

　MARC: msg 2003/03/06 追加
　Internet Software Consortium Security Advisory: 5 March 2003
　http://marc.theaimsgroup.com/?l=bind-announce&m=104692041818694&w=2

　Red Hat Linux Security Advisory 2003/03/07 追加
　RHSA-2003:062-11 Updated OpenSSL packages fix timing attack
　http://rhn.redhat.com/errata/RHSA-2003-062.html

　SecurityFocus 2003/03/07 追加
　[RHSA-2003:062-11] Updated OpenSSL packages fix timing attack
　http://www.securityfocus.com/archive/1/314107/2003-03-04/2003-03-10/0

　LinuxSecurity 2003/03/07 追加
　RedHat: OpenSSL timing-based attack vulnerability
　http://www.linuxsecurity.com/advisories/redhat_advisory-2939.html

　CIAC 2003/03/10 追加
　N-051: Red Hat Updated OpenSSL Packages Fix Timing Attack
　http://www.ciac.org/ciac/bulletins/n-051.shtml

　Miracle Linux Support 2003/03/11 追加
　openssl　セキュリティホール 2003/3/11 タイミングベースアタック
　http://www.miraclelinux.com/support/update/data/openssl.html

　Security Bugware 2003/03/15 追加
　OpenSSL and other crypto library timming attack vulenrability
　http://www.securitybugware.org/Other/6066.html

＜その他の製品＞
▽ NOKIA SGSN
　NOKIA SGSNは、電話網のコントロールエレメントを提供するSSLとSignaling System 7（SS7）で連動際に、セキュリティ上のリスクが発生する。古いSGSNエレメントは、例え攻撃者がSNMPの保護に用いられているコミュニティストリングを把握していなくても、SNMPに関する全情報を攻撃者に返す。

　ISS X-Force Database
　nokia-sgsn-snmp-read (11527)
　Nokia SGSN SNMP options information disclosure
　http://www.iss.net/security_center/static/11527.php

　@stake, Inc. Security Advisory
　Nokia SGSN (DX200 Based Network Element) SNMP issue
　http://www.atstake.com/research/advisories/2003/a031303-2.txt

▽ SaveMyModem
　Enrico TassiのWindowsおよびUNIX向けメールフィルタであるSaveMyModemの0.17以前のバージョンにおいて、バッファオーバーフローの脆弱性が発見された。この脆弱性が悪用されると、攻撃者はリモートからシステム上で任意のコードを実行できる可能性がある。

　ISS X-Force Database
　savemymodem-statusbarsettext-bo (11530) SaveMyModem statusbar_set_text() buffer overflow
　http://www.iss.net/security_center/static/11530.php

▽ QPopper
　QPopperにバッファオーバーフローの脆弱性が発見された。この問題を利用することにより、攻撃者が任意のコードを実行させることが可能となる。 [更新]

□ 関連情報:

　Qpopper
　Qpopper 4.0
　http://www.eudora.com/qpopper/

　SecuriTeam.com
　QPopper Qvsnprintf Vulnerability (Exploit, MDEF)
　http://www.securiteam.com/unixfocus/5EP0C0K9FG.html

　SecurityFocus
　QPopper 4.0.x buffer overflow vulnerability
　http://www.securityfocus.com/archive/1/314643/2003-03-10/2003-03-16/0

　ISS X-Force Database
　qpopper-qvsnprint-macroname-bo (11516) Qpopper Qvsnprintf() long macroname buffer overflow
　http://www.iss.net/security_center/static/11516.php

　NEOHAPSIS ARCHIVES
　QPopper 4.0.x buffer overflow vulnerability
　http://archives.neohapsis.com/archives/bugtraq/2003-03/0152.html

　NEOHAPSIS ARCHIVES
　Re: QPopper 4.0.x buffer overflow vulnerability
　http://archives.neohapsis.com/archives/bugtraq/2003-03/0178.html

　LinuxSecurity 2003/03/14 追加
　Debian: qpopper Privilege escalation
　http://www.linuxsecurity.com/advisories/debian_advisory-2956.html

　Debian GNU/Linux ─ Security Information 2003/03/14 追加
　DSA-259-1 qpopper ─ mail user privilege escalation
　http://lists.debian.org/debian-security-announce/debian-security-announce-2003/msg00042.html

　Security Bugware 2003/03/14 追加
　Qpopper buffer overflow
　http://www.securitybugware.org/mUNIXes/6051.html

　SecurityTracker.com Archives 2003/03/17 追加
　Alert ID:1006263 Qpopper POP3 Mail Server Buffer Overflow May Let
　Remote Authenticated Users Execute Arbitrary Code on the Server
　http://www.securitytracker.com/alerts/2003/Mar/1006263.html

▽ Lotus Notes/Domino────────────────────────
　Lotus Notes/Dominoなどに利用されているLotus Notes Protocolに、バッファオーバーフローの脆弱性が発見された。この問題を利用することにより、攻撃者がデータセッションを上書きすることが可能となる。 [更新]

　CERT
　Lotus Domino Server suceptable to a buffer overflow during Notes authentication
　http://www.kb.cert.org/vuls/id/433489

　SecurityFocus
　R7-0010: Buffer Overflow in Lotus Notes Protocol Authentication
　http://www.securityfocus.com/archive/1/314906/2003-03-11/2003-03-17/0

　Rapid 7 Advisory
　Buffer Overflow in Lotus Notes Protocol Authentication
　http://www.rapid7.com/advisories/R7-0010.html

　ISS X-Force Database 2003/03/17 追加
　lotus-nrpc-bo (11526) Lotus Domino and Notes Client Notes Protocol (NRPC) buffer overflow
　http://www.iss.net/security_center/static/11526.php

　SecurityTracker.com Archives 2003/03/17 追加
　Alert ID:1006266 Lotus Domino Authentication Process Buffer Overflow Lets Remote Users Crash the Server
　http://www.securitytracker.com/alerts/2003/Mar/1006266.html

▽ pgp4pine
　pgp4pineにスタックオーバーフローの脆弱性が発見された。この問題を利用することにより、特殊なメールを送ることで任意のコードを実行させることが可能となる。 [更新]

□ 関連情報:

　SecurityFocus
　pgp4pine stack overflow vulnerability
　http://www.securityfocus.com/archive/1/314788/2003-03-10/2003-03-16/0

　NOEHAPSIS ARCHIVES
　pgp4pine stack overflow vulnerability
　http://archives.neohapsis.com/archives/bugtraq/2003-03/0179.html

　ISS X-Force Database 2003/03/14 追加
　pgp4pine-fileverifydecryptmenu-bo (11520) pgp4pine fileVerifyDecryptMenu() buffer overflow
　http://www.iss.net/security_center/static/11520.php

　Security Bugware 2003/03/14 追加
　pgp4pine stack overflow vulnerability
　http://www.securitybugware.org/Linux/6060.html

　SecuriTeam.com 2003/03/17 追加
　PGP4Pine Buffer Overflow Vulnerability
　http://www.securiteam.com/unixfocus/5QP0I1P9FC.html

【更に詳細な情報サービスのお申し込みはこちら
　　 https://shop.vagabond.co.jp/cgi-bin/mm/p.cgi?sof01_sdx 】