Linux勧告ウォッチ - 2003年5月30日

今週は、squid、BitchX、netpbm、gPS、heimdal、nessus、lprng、gnupg、up2date、ptrace、apache、cups、glibcに対する勧告が公開された。配布元には、Conectiva、Debian、Gentoo、Mandrake、Red Hat、Slackware、SuSeが含まれる。いくつかの勧告は、先週見つかった弱点に対するアップデートである。今週は特に深刻な問題はないが、週末の前には常にすべてのパッチを適用しておくことをお勧めする。

自分のサーバが最新状態であることを知っておくことは、邪魔が入らない週末を過ごすためのよい方法である。土日の間にシステム運用をスムーズに進めるためにできることが、この他に何かあるだろうか？ この原則には重要な点がたくさんある。最も重要なのは、正しく設定し、強化したサーバを使うことだ。さらに、正しいサーバの管理手順に従わなければならない。パッケージそのものの弱点によって引き起こされる被害も多いが、ソフトウェア設定や管理が不適切であるために起こる被害も数多くある。この負担はすべて管理者にかかる。不適切なソフトウェア設定の危険を減らすために、できることは何だろうか。

最も簡単なのは、事前設定済みの、セキュリティ特化版のディストリビューションを探すことだ。私は長い間EnGarde Secure Linuxに貢献しているので、私のこの意見には偏りがある。しかし、個人的には、EnGradeのようなディストリビューションを使うと、ほんの少しの時間、労力、投資で組織のセキュリティに対する姿勢を大きく向上することができるように思う。EnGardeを使ってみると、管理作業が楽になることがわかるはずだ。私はEnGardeをもう何年も使っているが、他のシステムを使ってみると、自分が怠け者になっていることがよくわかる。どんな操作も手作業でやろうとは思わなくなってしまった。管理作業は楽になっており、現在ではもっと知的で刺激的なプロジェクトに専念することができる。重要な環境で複数のシステムを管理する管理者にとって、特化版のディストリビューションは理想的だ。

おばあちゃんの編み物サイトを立ち上げるためだけにLinuxとApacheをインストールしたという人、またはセキュリティと管理の内部的な仕組みを理解したいというだけの人には、優れたLinuxセキュリティの本を探すことをお勧めする。最近私が読んで面白かったのは『Linux Security Toolkit』（David Bandel著）という本だ。ホストのセキュリティ、ネットワークのセキュリティ、ファイアウォールとセキュリティ強化ソフトウェア、Linuxセキュリティ監査について説明している。読みやすく、セキュリティについて集中的に学びたい管理者には最適な本である。最近の本はほとんどがそうだが、熟練した管理者には向かない。よい本ではあるが、最先端の知識はそれほど多くない。セキュリティについて学習中という人は、ぜひ見てみてほしい。Amazon.comの中古販売ならば、格安で手に入る。

では、また来週。
Benjamin D.Thomas

Linuxセキュリティに関するその他の記事：

Intrusion Detection Systems: An Introduction─侵入検出（Intrusion Detection）とは、データを調べ、悪意のある行為、または不正確/異常な行為を探し出す手順および方法のことである。よく目にする侵入検出システムとしては、最も基本的なレベルではホスト・ベースとネットワーク・ベースの2種類がある。

RealWorld Linux Expo（トロント）にて：Guardian Digital launched the next generation of the Community edition of EnGarde Secure Linux ─情報資産を保護しながら、完全なインターネット環境を構築するための安全で管理の簡単なシステム。無料の試用版をダウンロード！

[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]

Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読 ]

配布元：		Conectiva
		BitchX
	リモートからの複数の弱点 BitchXの最新バージョンで、バッファ・オーバーフローとDenial of Service攻撃の弱点が修正された。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3292.html
		netpbm
	バッファ・オーバーフローの弱点 Alan CoxとAl Viroは、netpbmバージョン9.20以降にいくつかの「数学オーバーフロー」の弱点を発見した。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3296.html
配布元：		Debian
		gPS
	複数の弱点 いくつかのセキュリティ上の弱点が修正された。 http://www.linuxsecurity.com/advisories/debian_advisory-3299.html
配布元：		Gentoo
		heimdal
	krb4暗号化の弱点 heimdalにはmit-krb5と同じ弱点があるため、同じ勧告が当てはまる。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3293.html
		nessus
	複数の弱点 NASLスクリプティング・エンジンにいくつかの弱点がある。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3294.html
配布元：		Mandrake
		lprng
	危険な一時ファイルの弱点 psbannerは、フィルタとして設定されたときにデバッグのために一時ファイルを作成するが、このファイルが既に存在するかどうか、またはsymlinkであるかどうかをチェックしない。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3289.html
		gnupg
	キー検証の弱点 GnuPGバージョン1.2.1以前にバグが発見された。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3290.html
配布元：		Red Hat
		CUPS
	Denial of Service状態の弱点 Red Hat社のPhil D’Amoreは、CUPS IPPインプリメンテーションに弱点を発見した。 http://www.linuxsecurity.com/advisories/redhat_advisory-3297.html
		up2date
	複数の弱点 このリリースには更新されたRHNS-CA-CERTファイルも含まれており、これには追加のCA証明書が含まれている。これは、現在のCA証明書の有効期限2003年8月に達した後に、up2dateがRed Hat Networkと通信し続けるために必要である。 http://www.linuxsecurity.com/advisories/redhat_advisory-3300.html
		ptrace
	カーネルの弱点 権限のないローカル・ユーザが昇格された（ルート）特権を得る可能性のあるptrace関連の弱点が発見された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3301.html
		apache
	2.0 Denial of Service状態の弱点 Apache 2.0〜2.0.45で、リモートの攻撃者がDenial of Service状態を引き起こし、任意のコードを実行する可能性のあるバグが発見された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3302.html
配布元：		Slackware
quotacheck 2.0 Denial of Service状態の弱点 /etc/rc.d/rc.Mでのuotacheckの使用に関する問題を修正する更新済みsysvinitパッケージが公開された。 http://www.linuxsecurity.com/advisories/slackware_advisory-3291.html
		cups
	Denial of Service状態の弱点 Slackwareの8.1、9.0、および最新バージョン用の更新済みCUPSパッケージが公開された。Denial of Service攻撃に対する弱点が修正されている。 http://www.linuxsecurity.com/advisories/slackware_advisory-3303.html
配布元：		SuSe
		glibc
	バッファ・オーバーフローの弱点 glibcのXDRコードにまた整数オーバーフローが見つかった。 http://www.linuxsecurity.com/advisories/suse_advisory-3298.html