Linux勧告ウォッチ - 2003年7月18日
私がベンダの脆弱性告知についていつも不満に思っていることの1つは、標準化がされていないという点だ。では、なぜ私はこれほど標準化を気にするのだろうか。私は年季の入ったLinuxユーザであり、各ベンダのさまざまな告知フォーマットに慣れている。しかし、もっと経験の少ないユーザにとっては、ごちゃごちゃした勧告の中から何をアップデートすべきかを判別するのは非常に難しいことだろうと思う。最も一貫しているディストリビューションの1つはRed Hatである。Red Hatが毎週出している勧告には、個々の弱点についての有益ながら簡潔な履歴と、すべてのアップグレード用パッケージへのリンク、アップデート方法の説明、アップデート済みファイル用のMD5チェックサムが掲載されている。
Debianも、一貫性の高いディストリビューションである。告知の形式はRed Hatによく似ているが、Debianの場合は各URLの下にMD5チェックサムが掲載されている。この単純な違いで、管理者が各ファイルを検証するときの時間がかなり短縮される。表の中から探すよりも、目的のものを簡単に見つけられるからだ。ImmunixやGentooなど、その他のディストリビューションでは、各勧告に含まれている情報が非常に少ない。ごく短い説明と、アップグレード用パッケージへのリンク、あるいはソフトウェアのアップデート方法の説明が掲載されているだけだ。私は自分が何を適用しているのかをきちんと把握していたい性質なので、Red Hat/Debian方式の方が好ましいと思う。しかし人によっては、たくさんの情報に目を通す時間がないので短い勧告の方がいい、と考える場合もあるかもしれない。
では、どうするのが一番いいだろうか? 標準化に最も近い位置にいるのはVulnXMLプロジェクトだ。これは、XML形式のセキュリティ勧告の作成方法を規定するオープンなXML DTDである。このプロジェクトでは、より一貫性の高い勧告を公開するために、勧告をプレーンテキストではなくXMLドキュメントとして公開することをベンダに推奨している。これは結局、ユーザにとって理解しやすい勧告を公開することにつながる。さらに、Webサイトでは、勧告を読みやすく、インデックス付けのしやすい形式で書式化することが可能になるだろう。私は、VulnXML開発チームがこのプロジェクトを発足させたことを大いに評価している。同プロジェクトの今後の進展を温かく見守りたい。おそらく、最も難しい点はベンダを参加させることだろう。まずは、新しい勧告を「翻訳」するボランティアを募集することから始まる。VulnXML勧告についてのコミュニティの支援と需要が大きくなれば、ベンダも同調することだろう。
では、また。
Benjamin D. Thomas
Linuxセキュリティに関するその他の記事:
REVIEW: Linux Security Cookbook―実世界の問題に対する単純な解決策というものはめったにない。セキュリティの分野では特にそうである。『Linux Security Cookbook』は、こうした実世界の問題を解決するのに役立つ必須ツールである。本書は、ベテランのシステム管理者から、セキュリティに興味のあるホームユーザに至るまで、あらゆる人に当てはまる状況を網羅しており、自ら述べているように、セキュリティを重視する人にとっては必読の参考書である。
Real-Time Alerting with Snort─リアルタイム警報は、IDSやその他のモニタリング・アプリケーションの機能であり、イベントを許容可能な時間内に担当者に通知する。許容可能な時間がどの程度であるかは、人によってさまざまである。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読
]
| 配布元: | Conectiva | ||
| 7/11/2003 | pam | ||
|
ローカルな弱点 Andreas Beckが、suユーティリティでpam_xauthを使用した場合の弱点を発見した。攻撃者がユーザにXセッションからsuを実行させることができた場合、攻撃者はXの資格情報を盗み、suを実行しているユーザのXディスプレイ内でプログラムを実行できる。最悪のシナリオは、管理者がrootとしてログインし、攻撃者のアカウントに対して”su”を使用した場合だ。 |
|||
| 7/11/2003 | gnupg | ||
| キー検証の弱点 GnuPG 1.2.2の開発中に、キー検証コードのバグが発見された。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3454.html |
|||
| 7/15/2003 | mpg123 | ||
| バッファ・オーバーフローの弱点 mpg123がビットレート0のmp3ファイルを扱うときの弱点。これにより、攻撃者が特別に手を加えたmp3ファイルを使用して、任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3458.html |
|||
| 7/15/2003 | ucd-snmpのヒープ・オーバーフローの弱点 | ||
| バッファ・オーバーフローの弱点 snmpnetstat(リモートホストについての情報を取得するツール)内に、リモート・ヒープ・オーバーフローの弱点が見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3459.html |
|||
| 7/16/2003 | ucd-snmpのリモート・ヒープ・オーバーフローの弱点 | ||
| バッファ・オーバーフローの弱点 snmpnetstat内に、リモート・ヒープ・オーバーフローの弱点が見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3464.html |
|||
| 7/16/2003 | phpgroupware | ||
| XSSについての複数の弱点 バージョン0.9.14.003以下のphpgroupwareに、クロスサイトスクリプティングの弱点がいくつか見つかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3465.html |
|||
| 配布元: | Debian | ||
| 7/14/2003 | traceroute-nanogのバッファ・オーバーフローの弱点 | ||
| 整数オーバーフロー、バッファ・オーバーフローの弱点 traceroute-nanog(通常のtracerouteプログラムの拡張バージョン)に整数オーバーフローのバグがあり、攻撃者がこれを不正利用して任意のコードを実行する可能性がある。traceroute-nanogはsetuid rootだが、生のICMPソケットおよび名前のIPソケットを取得した直後にroot権限を落とす。 http://www.linuxsecurity.com/advisories/debian_advisory-3455.html |
|||
| 7/14/2003 | nfs-utilsのバッファ・オーバーフローの弱点 | ||
| バッファ・オーバーフローの弱点 nfs-utilsのロギングコード内に、ログインしようとする文字列に改行を追加すると、off-by-oneバッファ・オーバーランが起きるバグがある。攻撃者がこの弱点を利用して、任意のコードを実行するか、特定のRPC要求を送信してDoS状態を引き起こす可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3456.html |
|||
| 7/15/2003 | falconseye | ||
| バッファ・オーバーフローの弱点 falconseyeパッケージは、長い’-s’コマンドラインオプションによってバッファ・オーバーフローを起こす弱点を持つ。 http://www.linuxsecurity.com/advisories/debian_advisory-3460.html |
|||
| 7/17/2003 | php4 | ||
| XSSの弱点 http://www.linuxsecurity.com/advisories/debian_advisory-3468.html |
|||
| 配布元: | Gentoo | ||
| 7/11/2003 | unzip | ||
|
ディレクトリ移動の弱点 攻撃者が”..”の間に無効な文字を挿入して、任意のファイルを上書きする可能性がある。 |
|||
| 7/11/2003 | cistronradius | ||
|
バッファ・オーバーフローの弱点 リモートの攻撃者がNAS-Port属性に大きな値を指定することで、DoSを引き起こし、任意のコードを実行する可能性がある(この値は負数として解釈され、バッファ・オーバーフローを引き起こす)。 |
|||
| 7/11/2003 | ypserv | ||
|
リモートDoS リモートの攻撃者が、サーバに応答を返さないTCPクライアント要求を使用して(これによってypservがブロックされる)、DoSを引き起こす可能性がある。 |
|||
| 7/11/2003 | gtksee | ||
|
バッファ・オーバーフローの弱点 攻撃者が特別に手を加えたpng画像を用意し、その画像がgtkseeで表示されたときにバッファ・オーバーフローを利用して任意のコードを実行する可能性がある。 |
|||
| 配布元: | Immunix | ||
| 7/16/2003 | nfs-utilsのoff-by-oneオーバーフローの弱点 | ||
| バッファ・オーバーフローの弱点 http://www.linuxsecurity.com/advisories/immunix_advisory-3466.html |
|||
| 配布元: | Mandrake | ||
| 7/17/2003 | kernel | ||
|
複数の弱点 このLinuxカーネルにあった複数の弱点が修正されている。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3469.html |
|||
| 配布元: | RedHat | ||
| 7/14/2003 | nfs-utilsのDoSの弱点 | ||
| 複数の弱点 最新のnfs-utilsパッケージが公開されている。このパッケージでは、リモートから利用可能だったDoSの弱点が修正されている。 http://www.linuxsecurity.com/advisories/redhat_advisory-3457.html |
|||
| 7/15/2003 | mozilla | ||
| ヒープ・オーバーフローの弱点 リモートの攻撃者が、NetscapeおよびMozillaのヒープベースのバッファ・オーバーフローを利用して、jarを通じて任意のコードを実行する可能性がある(不正な形の.jarファイルのURLを参照すると、解凍の際にバッファがオーバーフローする)。 http://www.linuxsecurity.com/advisories/redhat_advisory-3461.html |
|||
| 7/17/2003 | xpdf | ||
| 任意のコード実行の弱点 最新のXpdfパッケージが公開されている。このパッケージでは、悪意のあるPDFドキュメントを利用して任意のコードを実行できる弱点が修正されている。 http://www.linuxsecurity.com/advisories/redhat_advisory-3470.html |
|||
| 配布元: | Slackware | ||
| 7/15/2003 | nfs-utilsのDoSの弱点 | ||
| 複数の弱点 xlog.c内のoff-by-oneバッファ・オーバーフローが修正されている。攻撃者がこの弱点を利用した場合、NFSサービスをDoS状態にしたり、任意のコードを実行したりできる。 http://www.linuxsecurity.com/advisories/slackware_advisory-3462.html |
|||
| 7/16/2003 | nfs-utilsのoff-by-oneオーバーフローの弱点 | ||
| バッファ・オーバーフローの弱点 nfs-utilsパッケージ内のxlog()に、off-by-oneオーバーフローの弱点がある。 http://www.linuxsecurity.com/advisories/slackware_advisory-3467.html |
|||
| 配布元: | SuSe | ||
| 7/15/2003 | nfs-utilsのDoSの弱点 | ||
| 複数の弱点 rpc.mountdが使用するxlog()の中に、off-by-oneのバグがある。リモートの攻撃者がこのoff-by-oneオーバーフローを利用して、任意のコードをrootとして実行する可能性がある。 http://www.linuxsecurity.com/advisories/suse_advisory-3463.html |
|||
| 配布元: | Trustix | ||
| 7/11/2003 | apache | ||
| 複数の弱点 バッファ・オーバーフローなどの弱点が修正されている。 http://www.linuxsecurity.com/advisories/trustix_advisory-3452.html |
|||
| 配布元: | Turbo Linux | ||
| 7/17/2003 | ypserv | ||
| DoSの弱点 この弱点により、攻撃者がypservのDoSを引き起こす可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3471.html |
|||