Linux勧告ウォッチ - 2003年9月19日
今週は数多くの勧告が公開された。重要な勧告がたくさんあるので、自分のディストリビューションを慎重にチェックしよう。今週は、mana、pine、gtkhtml、openssh、sendmail、MySQL、xfree86、buffer、kernel、KDEに対する勧告が公開された。配布元にはSCO、Conectiva、Debian、EnGarde、FreeBSD、Gentoo、Immunix、NetBSD、Red Hat、Slackware、SuSE、Trustix、TurboLinux、Yellow Dogが含まれる。
フリーのThawte Apache SSL Guide─Webサーバのセキュリティが心配な人は、ここをクリックしてフリーのThawte Apache SSL Guideを入手しよう。Apache SSLに関するすべてのセキュリティニーズへの答えが見つかる。
フリーのThawte Apache SSL Guide─Webサーバのセキュリティが心配な人は、ここをクリックしてフリーのThawte Apache SSL Guideを入手しよう。Apache SSLに関するすべてのセキュリティニーズへの答えが見つかる。
Linuxセキュリティに関するその他の記事:
A Practical Approach of Stealthy Remote Administration ─ 重要なサーバ(企業のファイアウォール・コンソールやIDSなど)を管理する秘密の手法を求める神経質な管理者のために書かれたペーパー。
Expert vs. Expertise: Computer Forensics and the Alternative OS ─ コンピュータ犯罪調査はもう暗く不可解なプロセスではなく、明るみに出てから既に5年以上経つ。それにも関わらず、注目を浴びるようになったのはごく最近である。
[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。 [ ]
| 配布元: | SCO | ||
| 2003/9/15 | mana | ||
|
ローカルの弱点 manaでローカル環境変数に関する複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/caldera_advisory-3622.html |
|||
| 配布元: | Conectiva | ||
| 2003/9/12 | pine | ||
|
リモート攻撃に対する複数の弱点 バッファ・オーバーフローと整数オーバーフローの弱点が修正された。リモートの攻撃者は、特別な方法で作成したメッセージを送信することによって、これを悪用する可能性があった。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3616.html |
|||
| 2003/9/12 | gtkhtml | ||
|
バッファ・オーバーフローの弱点 複数のバッファ・オーバーフローの弱点が見つかった。形式の不正なHTMLを悪用することによって、少なくともgtkhtmlにリンクされたプログラムがクラッシュさせられる可能性がある。Evolutionの場合、リモートの攻撃者はHTMLを攻撃の誘発手段として利用する可能性がある。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3617.html |
|||
| 2003/9/16 | openssh | ||
|
バッファ管理のエラー OpenSSHのバッファ処理コードに潜んでいたリモート攻撃に対する弱点が修正された。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3623.html |
|||
| 9/17/2003 | openssh | ||
|
リモート攻撃に対する弱点 OpenSSHのバッファを処理するコードに新しい弱点が見つかった。これらの弱点は、CLSA-2003:739告知で修正されたものと似ており、リモートの攻撃者はこれを悪用してDenial of Service状態を引き起こしたり、任意のコードを実行したりする可能性がある。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3648.html |
|||
| 2003/9/18 | sendmail | ||
|
バッファ・オーバーフローの弱点
Michal Zalewskiは、sendmailバージョン8.12.9以前のリモート攻撃に対する弱点を報告した。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3656.html |
|||
| 2003/9/18 | MySQL | ||
|
複数の弱点 全員が書き込み可能な設定ファイル、二重freeの弱点、パスワード処理バッファのオーバーフローが修正された。 http://www.linuxsecurity.com/advisories/connectiva_advisory-3658.html |
|||
| 配布元: | Debian | ||
| 2003/9/12 | xfree86 | ||
|
複数の弱点 XFree86で4つの弱点(Denial of Serviceの弱点など)が見つかり、修正された。 http://www.linuxsecurity.com/advisories/debian_advisory-3618.html |
|||
| 2003/9/15 | mysql | ||
|
バッファ・オーバーフローの弱点 MySQLにバッファ・オーバーフローが見つかった。これは、”mysql”データベースのテーブルに対する”ALTER TABLE”コマンドを実行するアクセス権を持つユーザによって悪用される可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3619.html |
|||
| 2003/9/16 | ssh | ||
|
バッファ管理のエラー OpenSSHのバッファ処理にバグが見つかった。実際には再割り当てが失敗した場合に、バッファが拡張されたことを示すマークが設定される可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3624.html |
|||
| 2003/9/17 | openssh | ||
|
複数の弱点 前のDSA-382-1勧告に対する補足。DSA-382-1で説明されているものに加え、バッファ処理に関する問題がさらに2つ見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3633.html |
|||
| 2003/9/17 | openssh-krb5のバッファ処理の弱点 | ||
|
複数の弱点 OpenSSHのバッファ処理にいくつかのバグが見つかった。これらのバグが悪用可能かどうかはわかっていないが、念のためアップグレードが推奨される。 http://www.linuxsecurity.com/advisories/debian_advisory-3634.html |
|||
| 2003/9/18 | sendmail | ||
|
バッファ・オーバーフローの弱点 sendmailに複数のバッファ・オーバーフローの弱点が見つかった。 http://www.linuxsecurity.com/advisories/debian_advisory-3651.html |
|||
| 配布元: | EnGarde | ||
| 2003/9/16 | OpenSSH | ||
|
バッファ管理のエラー すべてのバージョンのEnGarde Secure Linuxに含まれるOpenSSHデーモンに、悪用される可能性のあるバッファ管理のエラーが見つかった。 http://www.linuxsecurity.com/advisories/engarde_advisory-3621.html |
|||
| 2003/9/18 | 追加のバッファ管理のバグ | ||
|
‘OpenSSH’のバッファ管理のバグ ESA-20030916-023のリリース後、OpenSSHチームはさらにいくつかの同じ種類のバッファ管理のバグを発見した(OpenSSH 3.7.1で修正)。さらに、Solar Designerはこの種のいくつかのバグを修正した。修正はこのアップデートに含まれている。 http://www.linuxsecurity.com/advisories/engarde_advisory-3649.html |
|||
| 2003/9/18 | ‘MySQL’のバッファ・オーバーフロー | ||
|
バッファ・オーバーフローの弱点 MySQLデーモンにバッファ・オーバーフローが含まれている。これは、”mysql”データベースに対するALTER TABLEアクセス権を持つすべてのユーザによって悪用される可能性がある。 http://www.linuxsecurity.com/advisories/engarde_advisory-3650.html |
|||
| 配布元: | FreeBSD | ||
| 2003/9/16 | バッファ | ||
|
管理のエラー OpenSSHのバッファ処理にバグが見つかった。実際には再割り当てが失敗した場合に、バッファが拡張されたことを示すマークが設定される可能性がある。 http://www.linuxsecurity.com/advisories/freebsd_advisory-3625.html |
|||
| 2003/9/17 | sendmail | ||
|
複数のバッファ・オーバーフローの弱点
ヘッダーの解析中に発生する可能性のあるバッファ・オーバーフローが見つかった。攻撃者は特別な方法で作成したメッセージを使って、sendmailを実行するユーザ(通常はroot)の特権でsendmailに任意のコードを実行させる可能性がある。 http://www.linuxsecurity.com/advisories/freebsd_advisory-3647.html |
|||
| 配布元: | Gentoo | ||
| 2003/9/15 | mysql | ||
|
バッファ・オーバーフローの弱点 MySQLサーバに対するグローバル管理特権を持つすべてのユーザは、そのユーザがシェルアクセスすべきではないホスト上でも、MySQLサーバを実行するシステムアカウントの特権を使用して任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3620.html |
|||
| 2003/9/16 | exim | ||
|
バッファ・オーバーフローの弱点 バージョン4.21より前のすべてのexim3とexim4にヒープ・オーバーフローが見つかった。eximデーモンに対してSMTP接続を確立できるすべてのユーザによって悪用される可能性がある。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3626.html |
|||
| 2003/9/16 | openssh | ||
|
バッファ管理のエラー バージョン3.7よりも前のすべてのOpenSSHのsshdにバッファ管理エラーが含まれる。このエラーが悪用可能かどうかはわかっていないが、念のためバグを修正することが推奨される。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3629.html |
|||
| 2003/9/17 | sendmail | ||
|
バッファ・オーバーフローの弱点
アドレス解析におけるバッファ・オーバーフローが修正された。ルールセット解析で生じる可能性のあるバッファ・オーバーフローも修正された。デフォルトのsendmail構成では、この問題が悪用されることはない。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3646.html |
|||
| 配布元: | Immunix | ||
| 2003/9/16 | openssh | ||
|
バッファ管理のエラー OpenSSHのバッファ処理にバグが見つかった。実際には再割り当てが失敗した場合に、バッファが拡張されたことを示すマークが設定される可能性がある。 http://www.linuxsecurity.com/advisories/immunix_advisory-3627.html |
|||
| 2003/9/17 | openssh | ||
|
バッファ管理のエラー OpenSSHチームがコードベースの中に問題のプログラミングイディオムをさらに発見したことを反映して、勧告が更新された。 http://www.linuxsecurity.com/advisories/immunix_advisory-3635.html |
|||
| 2003/9/18 | sendmail | ||
|
バッファ・オーバーフローの弱点 Michal Zalewskiはsendmailのprescan()関数に弱点を発見した。 http://www.linuxsecurity.com/advisories/immunix_advisory-3652.html |
|||
| 配布元: | NetBSD | ||
| 2003/9/17 | openssh | ||
|
バッファ・オーバーフローの弱点 OpenSSHでバッファ・オーバーライトが発見された。これによる影響はわかっていない。 http://www.linuxsecurity.com/advisories/netbsd_advisory-3636.html |
|||
| 2003/9/17 | kernel | ||
|
メモリ露見の弱点 statfs用のiBCS2システムコールトランスレータがカーネルデータ構造体をユーザランドにコピーするときの、ユーザ提供の長さパラメータの使用方法が正しくない。 http://www.linuxsecurity.com/advisories/netbsd_advisory-3637.html |
|||
| 2003/9/17 | sysctl | ||
|
複数の弱点 カーネルsysctlコードに、引数の不適切な処理による3つの無関係な問題が見つかった。これはローカルの攻撃者によって悪用される可能性がある。 http://www.linuxsecurity.com/advisories/netbsd_advisory-3638.html |
|||
| 配布元: | RedHat | ||
| 2003/9/16 | openssh | ||
|
バッファ管理のエラー OpenSSHのバッファ処理にバグが見つかった。実際には再割り当てが失敗した場合に、バッファが拡張されたことを示すマークが設定される可能性がある。 http://www.linuxsecurity.com/advisories/redhat_advisory-3628.html |
|||
| 2003/9/16 | KDE | ||
|
複数の弱点 KDM PAMサポートおよび弱いセッションクッキー生成のローカルのセキュリティに関する問題を解決するKDEパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3631.html |
|||
| 2003/9/17 | OpenSSH | ||
|
バッファ操作の弱点
OpenSSH 3.7.1で修正されたバッファ操作に関する追加の問題を修正するパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3644.html |
|||
| 2003/9/17 | sendmail | ||
|
複数のオーバーフローの弱点 悪用される可能性のある弱点を修正するsendmail用のパッケージが公開された。このバグが悪用されると、ヒープとスタック構造体のオーバーフローにつながる。 http://www.linuxsecurity.com/advisories/redhat_advisory-3645.html |
|||
| 配布元: | Slackware | ||
| 2003/9/16 | openssh | ||
|
バッファ管理のエラー バージョン3.7よりも前のOpenSSHのバッファ管理のエラーが修正された。このエラーはリモートから悪用される可能性があるため、OpenSSHを実行するすべてのサイトをすぐに新しいOpenSSHパッケージにアップグレードすることを推奨する。 http://www.linuxsecurity.com/advisories/slackware_advisory-3630.html |
|||
| 2003/9/17 | openssh | ||
|
バッファ管理のエラー 最近の3.7p1リリースで修正されなかった追加のバッファ管理のエラーを修正するパッケージが公開された。 http://www.linuxsecurity.com/advisories/slackware_advisory-3639.html |
|||
| 2003/9/17 | sendmail | ||
|
複数の弱点 sendmailパッケージに複数の弱点が見つかった。 http://www.linuxsecurity.com/advisories/slackware_advisory-3640.html |
|||
| 配布元: | SuSE | ||
| 2003/9/16 | openssh | ||
|
バッファ管理の弱点 バッファ管理を行うコードにプログラミング・エラーが見つかった。(リモートの)攻撃者がこれを悪用すると、権限なしでシステムにアクセスし、任意のコマンドを実行する可能性がある。 http://www.linuxsecurity.com/advisories/suse_advisory-3632.html |
|||
| 2003/9/18 | openssh | ||
|
management errors バッファ管理を行うコードにプログラミング・エラーが見つかった。 http://www.linuxsecurity.com/advisories/suse_advisory-3657.html |
|||
| 配布元: | Trustix | ||
| 2003/9/17 | openssh | ||
|
バッファ管理のエラー バージョン3.7.1よりも前のすべてのOpenSSHにバッファ管理のエラーが含まれる。 http://www.linuxsecurity.com/advisories/trustix_advisory-3641.html |
|||
| 2003/9/17 | mysql | ||
|
バッファ・オーバーフローの弱点 SET PASSWORDのバッファ・オーバーフローが修正された。root特権を持つMySQLユーザがこれを悪用し、ランダムなコードを実行したり、シェルにアクセスしたりする可能性があった。 http://www.linuxsecurity.com/advisories/trustix_advisory-3642.html |
|||
| 配布元: | TurboLinux | ||
| 2003/9/17 | openssh | ||
|
バッファ管理のエラー リモートの管理者は、この弱点を利用して任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3643.html |
|||
| 2003/9/18 | sendmail | ||
|
バッファ・オーバーフローの弱点 sendmailのルールセット解析とアドレス解析でバッファ・オーバーフローが起こる可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3653.html |
|||
| 配布元: | YellowDog | ||
| 2003/9/18 | openssh | ||
|
バッファ管理のエラー OpenSSH 3.7.1で修正されたバッファ操作に関する追加の問題を修正するパッケージが公開された。 http://www.linuxsecurity.com/advisories/yellowdog_advisory-3654.html |
|||
| 2003/9/18 | sendmail | ||
|
バッファ・オーバーフローの弱点 Michal Zalewskiはバージョン8.12.10よりも前のsendmailのprescan()関数に弱点を発見した。 http://www.linuxsecurity.com/advisories/yellowdog_advisory-3655.html |
|||
