Linux勧告ウォッチ - 2005年11月18日（金）

今週は、awstats、kdelibs、acidlab、AbiWord、uim、ftpd-ssl、phpsysinfo、phpgroupware、lynx、rar、sylpheed、gtk、egroupware、cpio、lm_sensors、gdk-pixpufに関する勧告が公開された。配布元には、Debian、Gentoo、Mandriva、Red Hatが含まれる。

SELinux管理（パートII）
著者：Pax Dickinson

ポリシー・ブール値とはオン/オフの切り替えができるポリシー設定で、これらによって基本レベルでのポリシー設定を実行時に変更でき、変更のたびにセキュリティポリシー全体を再コンパイルしなくて済む。たとえば、サーバで実行しているWebメール・アプリケーションのWebサーバ・プロセスで、メールサーバポートに接続してユーザのホームディレクトリからメールファイルを読み取れることが必要であるとする。セキュリティポリシーにこのような許可を追加してWebメールを実行していない場合のセキュリティまでも低下させるより、ポリシー開発時にブール値を作成すれば、ローカルの管理者は必要な場合のみこれをオンにすることができる。これによって、高度なセキュリティを維持しながら、最小限の権限のみを有効にするという原則が守られる。

実行中のポリシーのポリシー・ブール値とそれらの現在値のリストを参照するには、sestatusコマンドを使用する。このコマンドでは、現在のenforcing（強制）モード、/etc/selinux/configファイルのenforcingモードとその他の情報、およびすべてのポリシー・ブール値とそれらの状態が列挙される。

特定のブール値の現在の状態を表示するには、getseboolコマンドを使用し、状態を表示したいブール値の名前をこれに指定する。ブール値を設定するにはsetseboolコマンドを使用し、設定するブール値の名前、その後にそのブール値を有効にする場合は1、無効にする場合は0を指定する。

EnGarde Secure Linux SELinuxポリシーのブール値の例としては、httpd_webmailとuser_pingがある。httpd_webmailブール値は、前述の例の用途に使用する。user_pingブール値は、一般ユーザがネットワークにpingパケットを送信できるかどうかを指定するものだ。ブール値は、用途に応じて、allowステートメントのような単純なものの場合もあれば、広範なポリシー設定の有効/無効を切り替えるものの場合もある。

このSELinuxの旅ももうすぐ完結する。次回は、ポリシー開発の基本と、ポリシー拒否のトラブルシューティングや新しいSELinuxポリシーの作成と既存のポリシーの変更によって、高度なセキュリティを維持しながらSELinuxシステムの機能を活用する方法について解説する。ではまた次回。それまで十分なセキュリティの維持をお忘れなく。

記事全文：
http://www.linuxsecurity.com/content/view/120700/49/

	Debian
	Debian:awstatsパッケージの任意のコマンド実行に対する修正
2005年11月10日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120778
	Debian：kdelibsパッケージのバックアップファイル情報リークの修正
2005年11月10日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120779
	Debian：acidlabパッケージのSQL挿入の修正
2005年11月14日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120802
	Debian：AbiWordパッケージの任意のコード実行に対する修正
2005年11月14日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120807
	Debian：uimパッケージの権限昇格の修正
2005年11月14日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120808
	Debian：ftpd-sslパッケージの任意のコード実行に対する修正
2005年11月15日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120809
	Debian：phpsysinfoパッケージの複数の弱点の修正
2005年11月15日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120810
	Debian：phpgroupwareパッケージの複数の弱点の修正
2005年11月17日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120833
	Gentoo
	Gentoo:PHPの複数の弱点
2005年11月13日 PHPに複数の問題があり、セキュリティ機能迂回、ローカルDenial of Service、クロスサイト・スクリプティング、PHP変数上書きにつながる。 http://www.linuxsecurity.com/content/view/120797
	Gentoo：Lynxの任意のコマンド実行の弱点
2005年11月13日 Lynxに、任意のコマンドのリモート実行の弱点がある。 http://www.linuxsecurity.com/content/view/120798
	Gentoo：RARのフォーマット文字列とバッファ・オーバーフローの弱点
2005年11月13日 RARにフォーマット文字列エラーとバッファ・オーバーフローの弱点があり、任意のコードの実行に悪用される可能性がある。 http://www.linuxsecurity.com/content/view/120799
	Gentoo：linux-ftpd-sslのリモート・バッファ・オーバーフロー
2005年11月13日バッファ・オーバーフローの弱点が見つかり、リモートの攻撃者がローカルシステムで昇格した権限を悪用して任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/content/view/120800
	Gentoo：Scorched 3Dの複数の弱点
2005年11月15日 Scorched 3Dの複数の弱点により、リモートの攻撃者がgameサーバでサービス拒否または任意のコードの実行を行う可能性がある。 http://www.linuxsecurity.com/content/view/120814
	Gentoo：SylpheedとSylpheed-ClawsのLDIFにおけるバッファ・オーバーフロー
2005年11月15日 SylpheedとSylpheed-Clawsにバッファ・オーバーフローの弱点があり、任意のコードの実行につながる可能性がある。 http://www.linuxsecurity.com/content/view/120815
	Gentoo：GTK+ 2とGdkPixbufのXPMデコードの複数の弱点
2005年11月16日 GTK+ 2にも含まれているGdkPixbufライブラリにある弱点が、Denial of Serviceまたは任意のコードの実行につながる可能性がある。 http://www.linuxsecurity.com/content/view/120827
	Mandriva
	Mandriva：lynxパッケージの重大な弱点の修正
2005年11月12日 lynxの”lynxcgi:”URIハンドラで任意のコマンド実行の弱点が発見された。攻撃者が悪質なURLにリダイレクトするWebページを作成し、そこでユーザがlynxを実行した場合に任意のコードが実行される可能性がある。最新パッケージはこの問題に対処するように修正されている。 http://www.linuxsecurity.com/content/view/120796
	Mandriva：egroupwareパッケージのphpldapadminとphpsysinfoの弱点の修正
2005年11月16日最新のパッケージでは、これらのサブシステムの新しいバージョンでこの問題が修正されている。 http://www.linuxsecurity.com/content/view/120829
	Mandriva：phpパッケージの複数の弱点の修正
2005年11月17日パッケージが更新された。 http://www.linuxsecurity.com/content/view/120832
	Mandriva：autofsパッケージのLDAPの問題の修正
2005年11月16日 autofsのLDAPライブラリとのリンク方法が原因で、autofsの起動時にsegfaultが発生していた。最新パッケージでは、この問題が修正されている。 http://www.linuxsecurity.com/content/view/120830
	Mandriva：acpidパッケージの複数のバグの修正
2005年11月16日最新のacpidパッケージで複数のバグが修正されている。battery.shではなくlm_battery.shを検索するようにinitscriptが修正された。 http://www.linuxsecurity.com/content/view/120831
	Red Hat
	RedHat：重大：lynxのセキュリティ更新
2005年11月11日セキュリティの欠陥を修正した最新のlynxパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は重大となっている。 http://www.linuxsecurity.com/content/view/120795
	RedHat：低：cpioのセキュリティ更新
2005年11月10日複数の問題を修正した最新のcpioパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は低となっている。 http://www.linuxsecurity.com/content/view/120785
	RedHat：低：lm_sensorsのセキュリティ更新
2005年11月10日安全でないファイルの問題を修正した新しいlm_sensorsパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は低となっている。 http://www.linuxsecurity.com/content/view/120786
	RedHat：中：phpのセキュリティ更新
2005年11月10日 Red Hat Enterprise Linux 3および4用の最新のPHPパッケージが公開された。このパッケージでは、複数のセキュリティ問題が修正されている。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は中となっている。 http://www.linuxsecurity.com/content/view/120787
	RedHat：中：phpのセキュリティ更新
2005年11月10日 Red Hat Enterprise Linux 2.1用の最新のPHPパッケージが公開された。このパッケージでは、複数のセキュリティ問題が修正されている。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は中となっている。 http://www.linuxsecurity.com/content/view/120788
	RedHat：重要：gdk-pixbufのセキュリティ更新
2005年11月15日複数のセキュリティの問題を修正した新しいgdk-pixbufパッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は重要となっている。 http://www.linuxsecurity.com/content/view/120817
	RedHat：重要：gtk2のセキュリティ更新
2005年11月15日 2つのセキュリティ問題を修正した新しいgtk2パッケージが公開された。Red Hatセキュリティ・レスポンス・チームの評価では、この更新のセキュリティ重要度は重要となっている。 http://www.linuxsecurity.com/content/view/120818

原文