Linux勧告ウォッチ - 2005年10月21日（金）

今週は、Ruby、hylafax、Mozilla、module-assistant、Lynx、phpMyAdmin、AbiWord、netpbm、gdb、xloadimage、openldapに関する勧告が公開された。配布元には、Debian、Gentoo、Red Hatが含まれる。

ローカルユーザのセキュリティ
著者：Dave Wreski

システムへの侵入者がルートアカウントにたどり着こうとして試みることの1つに、ローカルユーザアカウントへのアクセスがある。ローカルセキュリティが緩いと、侵入者はさまざまなバグとローカルサービスのセットアップ不手際を利用して、通常のユーザアクセスをルートアクセスに「アップグレード」できる。だが、ローカルセキュリティが固ければ、侵入者が越えるべきハードルはそれだけ高くなる。

ローカルユーザは、ID詐称などしていないときでさえ、システムに大きな混乱を引き起しうる存在である。よく知らない人物や、連絡方法のわからない人物にアカウントを与えるのは、絶対に好ましくない。

ユーザにアカウントを与える際は、権限を必要最低限に抑えるよう注意しなければならない。たとえば、10歳の息子にアカウントを与えるなら、せいぜいワードプロセッサかお絵描きプログラムへのアクセス権限を与えるにとどめるべきで、他人のデータを削除する権限を与えるなどもってのほかである。

自Linuxマシンへのアクセスを許可するときは、経験的に、次の点への留意が有効である。

必要最低限の特権だけを与える。
いつ、どこからログインするか、またするべきか、に常に注意する。
休止状態のアカウントを取り除く。休止状態かどうかは、’last’コマンドで確認できる。また、ログファイルでもユーザの活動の有無を確認できる。
すべてのコンピュータとネットワークで同じユーザIDを使うようにすると、アカウント保守とログデータ分析がしやすくなる。
グループユーザIDの作成は、絶対に禁止すること。ユーザアカウントには責任がともなうが、グループアカウントではその責任を追及できない。

セキュリティ破りに利用されるローカルユーザアカウントは、ときに何か月も、何年も使われていない。誰も使っていないアカウントは、攻撃の武器として理想的である。

さらに詳しくは、「Linux Security Howto」をどうぞ。
http://www.linuxsecurity.com/docs/LDP/Security-HOWTO/

	Debian
	Debian：新しいRuby 1.8パッケージでは、セキュリティ上の抜け道がふさがれている
	2005年10月13日更新済みパッケージ http://www.linuxsecurity.com/content/view/120589

	DDebian：新しいhylafaxパッケージでは、安全でない一時ファイルへの修正が施されている
	2005年10月13日更新済みパッケージ http://www.linuxsecurity.com/content/view/120590

	Debian：新しいMozillaパッケージでは、いくつかの弱点が修正されている
	2005年10月20日更新済みパッケージ http://www.linuxsecurity.com/content/view/120623

	Debian：新しいmodule-assistantパッケージでは、安全でない一時ファイルへの修正が施されている
	2005年10月20日更新済みパッケージ http://www.linuxsecurity.com/content/view/120624

	Gentoo
	Gentoo：KOfficeとKWordで、RTFインポートバッファのオーバーフロー
	2005年10月14日 KOfficeとKWordに、RTFインポータでバッファオーバーフローが起こるという弱点があり、勝手なコードを実行される危険がある。 http://www.linuxsecurity.com/content/view/120596

	Gentoo：SPEで、安全でないファイルパーミッション
	2005年10月15日 SPEファイルのインストール時のデフォルトがworld-writeableパーミッションであるため、特権エスカレーションの危険がある。 http://www.linuxsecurity.com/content/view/120600

	Gentoo：Perl、Qt-UnixODBC、CMake RUNPATHの問題
	2005年10月17日複数のパッケージにRUNPATH問題があり、”portage”グループ中のユーザに特権のエスカレーションを許す危険がある。 http://www.linuxsecurity.com/content/view/120605

	Gentoo：NNTP処理で、Lynxバッファのオーバーフロー
	2005年10月17日 Lynxでバッファオーバーブローが起こり、勝手なコードの実行に利用される危険がある。 http://www.linuxsecurity.com/content/view/120607

	Gentoo：phpMyAdminにローカルファイルインクルード上の弱点
	2005年10月17日 phpMyAdminにローカルファイルインクルード上の弱点があり、勝手なコードの実行に利用される危険がある。 http://www.linuxsecurity.com/content/view/120608

	Gentoo：AbiWordで、新しいRTFインポートバッファオーバーフロー
	2005年10月20日 AbiWordで、RTFインポート時における新しいバッファオーバーフロー群が見つかった。勝手なコードの実行に利用される危険がある。 http://www.linuxsecurity.com/content/view/120625

	Gentoo：Netpbmで、pnmtopngのバッファオーバーフロー
	2005年10月20日 pnmtopngユーティリティ（Netpbmツールの一部）にバッファオーバーフローの弱点があり、勝手なコードの実行に利用される危険がある。 http://www.linuxsecurity.com/content/view/120626

	Red Hat
	RedHat：中：openldapとnss_ldapのセキュリティ更新
	2005年10月17日 openldapとnss_ldapの更新済みパッケージが公開された。パスワード漏れの危険が取り除かれている。Red Hatセキュリティレスポンスチームによるこの更新のセキュリティ重要度評価は、中。 http://www.linuxsecurity.com/content/view/120602

	RedHat：中：openldapとnss_ldapのセキュリティ更新
	2005年10月17日 openldapとnss_ldapの更新済みパッケージが公開された。パスワード漏れの危険と認証上の弱点が取り除かれている。 http://www.linuxsecurity.com/content/view/120603

	RedHat：高：lynxのセキュリティ更新
	17th, October, 2005 lynxの更新済みパッケージが公開された。セキュリティ上の欠陥が取り除かれている。Red Hatセキュリティレスポンスチームによるこの更新のセキュリティ重要度評価は、高。 http://www.linuxsecurity.com/content/view/120604

	RedHat：中：netpbmのセキュリティ更新
	2005年10月18日 netpbmの更新済みパッケージが公開された。セキュリティ問題が修正されている。Red Hatセキュリティレスポンスチームによるこの更新のセキュリティ重要度評価は、中。 http://www.linuxsecurity.com/content/view/120613

	RedHat：低：gdbのセキュリティ更新
	2005年10月18日 gdbの更新済みパッケージが公開された。小さなセキュリティ問題が修正されている。Red Hatセキュリティレスポンスチームによるこの更新のセキュリティ重要度評価は、低。 http://www.linuxsecurity.com/content/view/120614

	RedHat：低：xloadimageのセキュリティ更新
	2005年10月18日 xloadimageの新パッケージが公開された。不正なtiff画像とpbm/pnm/ppm画像の取り扱い、およびファイル名におけるメタ文字の取り扱い上のバグが修正されている。 http://www.linuxsecurity.com/content/view/120615

原文