Linux勧告ウォッチ - 2003年6月6日
先週はシステムのセキュリティを守るためにシステム管理者に可能な選択肢をいくつか提示した。しかし、システム管理者はなぜ、セキュリティに特別な関心を払おうとするのだろうか。上司が求めるからかもしれないし、システムのセキュリティを維持することが職務であり、その仕事に誇りを持っているからかもしれない。なかには、プライバシーとセキュリティを保証するよう連邦政府から命じられている業界もいくつかある。たとえば、医療業界に明るい者なら、HIPAA(Health Insurance Portability and Accountability Act of 1996:1996年医療保険の相互運用性と説明責任に関する法律)について聞いたことがあると思う。また、金融業界と密接に関係しているような仕事をしている者は、Graham-Leach-Bliley Actについて知っているはずだ。
過去数ヶ月の間に病院、歯医者、または薬局に行ったことがあるなら、プライバシーの権利について書かれた何枚かの用紙にサインするよう求められたに違いない。HIPAAのプライバシー規則にそのような要求が規定されているからである。現在、企業はHIPAAの第二部であるセキュリティ規則の遵守に取り組んでおり、2005年4月21日までにこの規則の要求を満たさなければならない。「医療業界ではないから関係ない。」と考えているかもしれないが、HIPAAセキュリティ規則(164.308-164.312)には、組織内でセキュリティを守るために取るべき措置について高レベルの骨子が規定されている。内容はデータの機密性、整合性、最大限の利用可能性を保証するための管理上・物的・技術的な保護手段である。
連邦保健福祉省は、必須の規則も任意の規則も産業界の標準に沿ったものとなるよう尽力してきた。セキュリティの要件は詳細に調査され、医療業界のリーダーの求めに応じて手直しされてきた。したがって、HIPAAに定められた各規則への対処は、事業の足かせではなく、適正な商慣行とみなされるべきである。どのような組織も、セキュリティを守るために何らかの対策を講じているはずだが、HIPAAから学ぶべきことは多い。医療業界でなくても、ある程度時間をかけてHIPAAの要求を検討し、その原理を日常業務に適用すべきである。HIPAAのセキュリティ規則の最終版は官報Volume 68、No. 34に発表された。このセキュリティ基準の主要部分は、セキュリティ管理プロセス、事故手順、緊急時対策、ワークステーション・セキュリティ、監査制御、データの整合性、認証などである。つまり、HIPAAが提案している基準は、ほとんどすべての組織に当てはまるといえる。完璧とはいかないだろうが、役立つことは確かだ。
HIPAA基準の適用方法について何か質問があれば、遠慮なく連絡してほしい。
ではまた来週。
ben@linuxsecurity.com
Linuxセキュリティに関するその他の記事:
Real-Time Alerting with Snort – リアルタイム警報は、許容可能な時間内に事象について担当者に通知する機能で、IDSまたはその他のモニタリング・アプリケーションに組み込まれている。許容可能な時間がどの程度であるかは、人によってさまざまである。Intrusion Detection Systems: An Introduction
侵入検出(Intrusion Detection)とは、データを調べ、悪意のある行為、または不正確/異常な行為を探し出す手順および方法のことである。よく目にする侵入検出システムとしては、最も基本的なレベルではホスト・ベースとネットワーク・ベースの2種類がある。[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読 ]
| 配布元: | Gentoo | |||
| 2003/5/30 | maelstrom | |||
| バッファ・オーバーフローの弱点
maelstromにローカル・バッファ・オーバーフローが発見された。
|
||||
| 2003/6/2 | uw-imapdにバッファ・オーバーフローの弱点 | |||
| バッファ・オーバーフローの弱点
UW-imapdはIMAPクライアントとしても機能し、ユーザは特定のサーバに接続できる。この機能は匿名(anonymous)ユーザに対しては無効になるが、それ以外は誰にでも許可される。
|
||||
| 2003/6/2 | apache | |||
| 2.x Denial of Service状態の弱点
Apache 2.0のバージョン2.0.37〜2.0.45は、特定の状況下でクラッシュする可能性がある。
|
||||
| 2003/6/2 | tomcat | |||
| ファイル・アクセスの弱点
4.1.24以前のtomcatバージョンは、パスワードが格納されているファイルにユーザがアクセスできるようなディレクトリ・モードで/opt/tomcatを作成する。
|
||||
| 配布元: | Immunix | |||
| 2003/5/30 | kernel | |||
| RaceGuardルール
異なる特権レベルを持つプロセスを除いてセッション全体に作用するようなRaceGuardキャッシュ・クリア機能を追加するためのパッチが公開された。
|
||||
| 2003/6/4 | wget | |||
| 入力の弱点
Steven M. Christeyは、ftpサーバ応答の入力削除が不十分であるというwgetの弱点を発見した。
|
||||
| 2003/6/4 | file | |||
| ルートの弱点
匿名レポーターがfileの弱点をiDEFENSEに報告した。特別な細工が施されたファイルに対してルートがfileを実行した場合、ルート権限が不正使用される可能性がある。
|
||||
| 2003/6/5 | lprng | |||
| 危険なtmpファイルの弱点
psbannerには、既知のファイル名を持つ一時ファイルを危険な方法で作成するという弱点があることがわかった。
|
||||
| 配布元: | Mandrake | |||
| 2003/5/30 | cups | |||
| Denial of Service状態の弱点
Red Hat社のPhil D’Amoreは、CUPS印刷システムにDenial of Service(DoS)状態の弱点があることを発見した。
|
||||
| 2003/6/2 | apache | |||
| 2.xの複数の弱点
Apache webサーバに2つの弱点が発見された。これらは2.0.46以前のすべての2.xバージョンに該当する弱点である。
|
||||
| 配布元: | Apache | |||
| 2003/5/30 | 2.0に複数の弱点 | |||
| 2.xの複数の弱点
Apache 2.0のバージョン2.0.37〜2.0.45は、特定の状況下でクラッシュする可能性がある。
|
||||
| 配布元: | OpenPKG | |||
| 2003/6/3 | ghostscript | |||
| 任意のコマンドの実行
Red Hat社のセキュリティ勧告によると、バージョン7.07より前のGhostscriptには欠陥があり、コマンドライン・オプション-dSAFERが有効になっていても、悪質なPostscriptファイルによる任意のコマンドの実行が可能であるという。
|
||||
| 配布元: | Red Hat | |||
| 2003/6/2 | ghostscript | |||
| 任意のコマンドの実行に関する弱点
バージョン7.07より前のGhostscriptで、パッチが充てられていないものには欠陥があり、-dSAFERが有効になっていても、悪質なPostscriptファイルによる任意のコマンドの実行が可能である。
|
||||
| 2003/6/3 | 2.4 kernelの複数の弱点 | |||
| 任意のコマンドの実行に関する弱点
これらのパッケージによって、昇格された(ルート)特権の獲得につながる可能性のあるptrace関連の弱点が修正された。
|
||||
| 2003/6/3 | 2.4 kernelの弱点とドライバ問題 | |||
| 任意のコマンドの実行に関する弱点
Linux kernelに影響するセキュリティ問題がいくつか発見された。今回のアップデートによってドライバ問題もいくつか修正された。
|
||||
| 2003/6/3 | kon2 | |||
| バッファ・オーバーフローの弱点
kon2のバッファ・オーバーフローによって、ローカル・ユーザがルート特権を獲得できる。
|
||||
| 配布元: | Turbolinux | |||
| 2003/5/30 | gnupg | |||
| キー検証のバグ
このバグによって、1つのキーに複数のユーザIDが設定されている場合、そのキーに対応するすべてのユーザIDに、最も信頼度の高いキーに与えられている信頼度が適用される。
|
||||
| 配布元: | Yellow Dog | |||
| 2003/6/4 | squirrelmail | |||
| 複数の弱点
SquirrelMail 1.2.10以前のバージョンにはクロスサイト・スクリプティングの弱点があり、リモートの攻撃者がメールボックスの表示、メッセージの表示、または検索結果の表示を通じて、他のWebユーザとしてスクリプトを実行する可能性がある。
|
||||
| 2003/6/4 | xinetd | |||
| Denial of Service状態の弱点
プログラミング・エラーがあるため、何らかの理由で接続が拒否された場合にメモリが割り当てられて解放されない。
|
||||
| 2003/6/4 | cups | |||
| Denial of Service状態の弱点
Red Hat社のPhil D’AmoreがCUPS IPPインプリメンテーションの弱点を発見した。
|
||||
| 2003/6/4 | gnupg | |||
| キー検証の弱点
1.2.2より前のGnuPGバージョンは、1つのキーに割り当てられた異なるUIDの信頼度値を評価する際に、誤って、最高の信頼度を持つUIDの信頼度値を、そのキーに対応するすべてのUIDに関連付ける。
|
||||
| 2003/6/4 | lprng | |||
| 危険な一時ファイルの弱点
psbannerには、既知のファイル名を持つ一時ファイルを危険な方法で作成するという弱点があることがわかった。
|
||||
| 2003/6/4 | lv | |||
| 任意のコードの実行に関する弱点
カレント・ディレクトリの.lvファイルを読み取るバージョンのlvにバグが見つかった。
|
||||
| 2003/6/4 | compat-gccのモジュール欠落 | |||
| 任意のコードの実行に関する弱点
Yellow Dog Linux 3.0に付属するcompat-gccバージョンには、g77 Fortranコンパイラの互換バージョンが欠落している。
|
||||
| 2003/6/4 | httpd | |||
| 複数の弱点
Apache 2.0〜2.0.45にはビルドシステム上の問題があり、スレッド型サーバが使用されている場合、リモートの攻撃者によって認証済みコンテンツへのアクセス拒否が引き起こされる可能性がある。
|
||||
