Linux勧告ウォッチ - 2003年8月22日
このほど、米国立標準技術研究所(NIST)は「連邦情報システムのセキュリティ証明および認定に関するガイド(Guide for the Security Certification and Accreditation of Federal Information System)」の第2草案を発行した。現在2回目のパブリックコメント募集期間が開始されており、締め切りは2003年8月31日である。この文書は政府機関の使用を想定したものだが、それ以外の組織も簡単に利用できる。事業を営む上で情報セキュリティの担う役割が重要性を増し、標準化や方法論の整備が切実に求められるようになった。全社的な情報セキュリティ・プログラムや証明認定手続きに関心を持つ者にとって、この文書は格好の入門書といえよう。
この文書はまず、証明と認定の概念の紹介から始まっている。第1章では、システム開発のライフサイクル、コンポーネントの評価、評価活動など、重要な問題が取り上げられている。次の章は、役割と責任、情報システムのカテゴリ、文書、監視など、証明と認定(C&A)の原理についての概説である。全体として最初の2章には、組織内で証明認定プログラムを確立するために必要な基礎知識が書かれている。
最後の章はC&Aのプロセス全体を取り扱い、手引き、証明、認定、そして最終的な監視の問題が網羅されている。この最終章を読めば、C&Aプログラムの実現に必要な作業がよくわかり、C&Aプロセスを開始することの重要性も理解できるはずである。
この文書は、内容がわかりやく示唆に富んでいるだけでなく、図も豊富なので、著者の意図を視覚的に捉えることができる。この文書をまだ目にしたことがなければ、一度ご覧になることをお勧めする。非常に有益な内容で、しかも無料である。全文は以下のURLから入手できる。
http://csrc.nist.gov/publications/drafts/sp800-37-Draftver2.pdf
では、また来週
Benjamin D. Thomas
Linuxセキュリティに関するその他の記事:
Expert vs. Expertise: Computer Forensics and the Alternative OS – コンピュータ犯罪調査はもう暗く不可解なプロセスではなく、明るみに出てから既に5年以上経つ。それにも関わらず、注目を浴びるようになったのはごく最近である。
REVIEW: Linux Security Cookbook – 実世界の問題に対する単純な解決策というものはめったにない。セキュリティの分野では特にそうである。『Linux Security Cookbook』は、こうした実世界の問題を解決するのに役立つ必須ツールである。本書は、ベテランのシステム管理者から、セキュリティに興味のあるホームユーザに至るまで、あらゆる人に当てはまる状況を網羅しており、自ら述べているように、セキュリティを重視する人にとっては必読の参考書である。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[購読
]
| 配布元: | Conectiva | ||
| 2003/8/15 | openslp | ||
| 一時ファイルの作成に関する弱点 openslpデーモンの制御に使用されるinitscriptに、シンボリックリンクの弱点があることがわかった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3563.html | |||
| 2003/8/21 | zip | ||
| ディレクトリ横断に関する弱点 CLSA-2003:672[1]の発表の改版である。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3564.html | |||
| 配布元: | Debian | ||
| 2003/8/17 | netris | ||
| バッファ・オーバーフローの弱点 信頼できないnetrisサーバに接続されているnetrisクライアントは、異常に長いデータパケットが送信された場合、このパケットが境界チェックなしに固定長バッファにコピーされる可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3559.html | |||
| 2003/8/16 | autorespond | ||
| バッファ・オーバーフローの弱点 この弱点をリモートの攻撃者が悪用すると、qmailの設定でメッセージをautorespondに転送するようにしているユーザの権限を取得できる可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3560.html | |||
| 2003/8/18 | man-dbのDoSの弱点 | ||
| バッファ・オーバーフローの弱点 今回のアップデートによってハードリンクを解決するルーチンにエラーが導入された。ハードリンクが施されたmanpageのファイル名によっては、このルーチン自体が割り当てメモリのオーバーランを起こし、セグメンテーションエラーが発生することがある。 http://www.linuxsecurity.com/advisories/debian_advisory-3565.html | |||
| 配布元: | Mandrake | ||
| 2003/8/21 | unzip | ||
| 任意のファイル上書きに関する弱点 5.50以前のunzipに弱点が発見された。2つの「.」文字の間に印刷不能な文字を置くことによって、アーカイブ抽出中に任意のファイルを上書きされる可能性がある。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3566.html | |||
| 2003/8/21 | eroaster | ||
| 一時ファイルの作成に関する弱点 eroasterには、ロックファイル用に一時ファイルを作成するときにセキュリティ予防策がまったくとられないという弱点があることがわかった。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3567.html | |||
| 配布元: | Red Hat | ||
| 2003/8/15 | unzip | ||
| トロイの木馬に関する弱点 アップデートされたunzipのパッケージが入手可能になった。任意のファイルが上書きされる弱点が解決されている。 http://www.linuxsecurity.com/advisories/redhat_advisory-3561.html | |||
| 2003/8/21 | GDM | ||
| 複数の弱点 アップデートされたGDMパッケージが入手可能になった。ローカル・ユーザがシステム上の任意のテキストファイルを読むことができるバグとXDMCPが有効になっている場合のDoS問題が修正されている。 http://www.linuxsecurity.com/advisories/redhat_advisory-3568.html | |||
