Linux勧告ウォッチ - 2003年5月9日
今週のニュースレターはいくつかの点を変更した。まず、セキュリティ勧告をパッケージ順ではなく配布元順に並べ替えるようにした。その目的は、読者が自分の配布元についての情報を見つけやすいようにすることだ。また、それぞれの勧告に関する説明を短く、情報的なものにした。たとえば、一部の弱点について非常に詳しく説明し、残りの弱点については説明しないというやり方をやめ、すべての勧告に対してすべて同程度の説明を記載するように努力した。このような変更によって、このニュースレターが読者にとってより役立つものになることを願う。
さらに、毎週のニュースレターには、特に重要な勧告、セキュリティ・ニュース、意見、ヒント、リサーチ、その他読者にとって興味があるであろうことに対する解説を含める。
何か意見をお持ちの方はぜひお寄せいただきたい。私たちは今、このニュースレターの品質を高めるための3段階にわたる構造改革の第1段階にいる。私たちの目的は、簡単にアクセスでき、セキュリティ勧告情報を入手するための1つの場所を提供することだ。読者の仕事を楽にするために、私たちに何ができるだろうか。読者はこのニュースレターに何を望んでいるのだろうか。このような変更を読者はどう思うのだろうか。このほかに、品質向上のための提案はないだろうか。
読者の声をぜひお送りいただきたい。
newsletter-admins@linuxsecurity.com
Linuxセキュリティに関するその他の記事:
At the RealWorld Linux Expo in Toronto, Guardian Digital launched the next generation of the Community edition of our EnGarde Secure Linux. ─ Guardian Digitalは、Linuxオペレーティング・システムを専門とするインターネット・セキュリティ企業である。現在のインターネット上でセキュリティの必要性を認識する企業を対象として、オープン・ソースのインターネット・セキュリティ関連製品を開発している。Days of the Honeynet: Attacks, Tools, Incidents ─ ハニーネットを実行することで得られる利点は数多くあるが、中でも、そこで「何が起こっているか」を鋭く認識できるという点は大きい。ファイアウォールの外にネットワークIDSを置いてもこれと似た大量の警告を受け取ることができるが、ハニーポットを使えば、関連するサーバが侵入者によって侵害された場合に何が起こるかについて、独特の見解を得ることができる。
| | | | | |
| | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 配布元: | SCO | |||
| 2003/5/7 | samba | |||
| 複数の弱点 このアップデートは、sambaの複数の弱点を修正する。 | ||||
| 2003/5/7 | file | |||
| バッファ・オーバーフローの弱点 fileコマンドは、悪質な細工を施されたバイナリを渡されたときに、バッファ・オーバーフローの弱点が生じる。 | ||||
| 2003/5/7 | tcpsec | |||
| SYN+FINパケット破棄の弱点 SYNビットとFINビットの両方が設定されたTCPパケットを許可すると、攻撃者がファイアウォールを回避する可能性が非常に高くなる。 | ||||
| 配布元: | Conectiva | |||
| 2003/5/5 | krb5 | |||
| 複数の弱点 暗号化に関する弱点、バッファのオーバーフローとアンダーフロー、長さチェックの欠陥、整数符号の弱点が修正された。 | ||||
| 2003/5/5 | vnc | |||
| 複数の弱点 暗号化に関する弱点、バッファのオーバーフローとアンダーフロー、長さチェックの欠陥、整数符号の弱点が修正された。 | ||||
| 2003/5/7 | snort | |||
| 整数オーバーフローの弱点 Snortには整数オーバーフローの弱点があり、リモートから悪用される可能性がある。 | ||||
| 配布元: | Debian | |||
| 2003/5/5 | epic4 | |||
| バッファ・オーバーフローの弱点 悪質なサーバが特殊な応答文字列を作成し、クライアントにバッファ境界を越えて書き込みを行わせる可能性がある。 | ||||
| 2003/5/6 | balsa | |||
| バッファ確保ミス(off-by-one)の弱点 Byrial Jensenは、MuttのIMAPコードにいくつかのバッファ確保ミス(off-by-one)によるバッファ・オーバーフローを発見した。 | ||||
| 2003/5/6 | leksbot | |||
| 不適切なsetuid-rootの実行 パッケージングのエラーにより、/usr/bin/KATAXWRプログラムは間違ってルートにセットUIDされた状態でインストールされていた。 | ||||
| 2003/5/7 | libgtop | |||
| リモート・バッファ・オーバーフローの弱点 リモートのマシンをモニタするのに使うgtopデーモンに、そのデーモンのプロセスの権限で任意のコードを実行可能なバッファ・オーバーフローが存在する。 | ||||
| 2003/5/7 | fuzz | |||
| ローカル特権のエスカレーションの弱点 Joey Hessは、fuzzが一時ファイルを不注意に生成していることを発見した。このバグは、攻撃者によってfuzzを起動したユーザの権限を取得するのに使われる可能性がある。 | ||||
| 配布元: | Gentoo | |||
| 2003/5/2 | openssh | |||
| 情報露見の弱点 Mediaservice.netは、OpenSSHに、脆弱なシステム上にいる有効なユーザの情報を攻撃者が識別できるバグを発見した。 | ||||
| 配布元: | RedHat | |||
| 2003/5/2 | MySQL | |||
| 複数の弱点 MySQLに二重freeの弱点とルート特権を得る弱点が発見された。 | ||||
| 2003/5/2 | mod_auth_any | |||
| 任意のコマンド実行の弱点 リモートの攻撃者が任意のコマンドを動作中のWebサーバ上で実行できる弱点が発見された。 | ||||
