Linux勧告ウォッチ - 2005年11月25日(金)

今週は、phpgroupware、egroupware、fetchmail、gnump3d、common-lisp-controller、xmail、unzip、netpbm、mantis、fetchmail-ssl、sylpheed、ipmenu、horde3、zope、Smb4k、mtab、phpSysInfo、eix、php、drakxtools、binutils、fuseに関する勧告が公開された。配布元には、Debian、Gentoo、Mandrivaが含まれる。

管理について
著者:Benjamin Thomas

サーバが最新の状態にあることを把握するのは、休日に呼び出されないために大切なことだ。自分がいない間も問題が起こらないようにするには、ほかにどんな方策があるだろうか。その方程式にとって重要な要素は多数ある。特に重要なのは、適切に設定され強化されているサーバを使うことだ。また、適切なサーバ管理手順を守る必要がある。多くの不正行為は脆弱なパッケージに起因するが、不適切なソフトウェア・コンフィグレーションや管理が原因になっていることも非常に多い。その責任は管理者の肩にかかっている。不適切なソフトウェア・コンフィグレーションのリスクを軽減するには、何をしたらよいだろうか。

最も簡単な方法は、事前設定がされている、あるいはセキュリティに特化されているディストリビューションを使うことだ。私は長い間EnGarde Secure Linuxに関わってきたので、このアドバイスは偏ってはいる。だが、個人的には、EnGardeのようなディストリビューションを使えば、セキュリティに対する企業の姿勢は大幅に向上し、時間や労力、かかる資金もごくわずかで済むと考えている。EnGardeを使ってみれば、管理業務が簡単になることがわかるだろう。長年使ってきた私は、ほかのシステムを使うのが億劫になった。もう何も手動でやる気がしない。管理業務が簡単になった今、知的な刺激を与えてくれるプロジェクトにこれまで以上に集中できるようになった。特化したディストリビューションは、複数のシステムで重要な環境を維持する管理者にとって理想的だ。EnGardeの詳細については、www.engardelinux.orgを参照のこと。

LinuxとApacheだけをインストールしていて個人のWebサイトをホストしている場合、またはセキュリティと管理業務の相互作用について学びたい場合はどうしたらよいか。Linuxセキュリティに関する良書を探すことをお勧めする。最近読んだなかでよかったのは、David Bandel著の”Linux Security Toolkit”という本だ。ホストセキュリティ、ネットワークセキュリティ、ファイアウォール、セキュリティ専用ソフトウェア、Linuxセキュリティ監査について書かれている。読みやすく、セキュリティに専念したい管理者に最適の内容だ。現在出版されている多くの本がそうであるように、熟練管理者には適さない。とてもよく書かれてはいるが、必ずしも最先端の情報ばかりではないからだ。セキュリティについて学びたい人は、この本を読んでみてはどうだろうか。Amazon.comからは、非常に安価な古本も入手できる。


Debian
Debian:phpgroupwareパッケージの複数の弱点の修正
2005年11月17日

パッケージが更新された。
Debian:egroupwareパッケージの複数の弱点の修正
2005年11月17日

パッケージが更新された。
Debian:fetchmailパッケージの潜在的情報リークの修正
2005年11月18日

パッケージが更新された。
Debian:gnump3dパッケージの複数の弱点の修正
2005年11月19日

パッケージが更新された。
Debian:common-lisp-controllerパッケージの任意のコード挿入に対する修正
2005年11月21日

パッケージが更新された。
Debian:xmailパッケージの任意のコード実行に対する修正
2005年11月21日

パッケージが更新された。
Debian:fetchmailパッケージの潜在的情報リークの修正
2005年11月21日

パッケージが更新された。
Debian:unzipパッケージのアクセス権不正変更の修正
2005年11月21日

パッケージが更新された。
Debian:netpbmパッケージの任意のコード実行に対する修正
2005年11月21日

パッケージが更新された。
Debian:mantisパッケージの複数の弱点の修正
2005年11月22日

パッケージが更新された。
Debian:fetchmail-sslパッケージの潜在的情報リークの修正
2005年11月22日

パッケージが更新された。
Debian:sylpheedパッケージの任意のコード実行に対する修正
2005年11月22日

パッケージが更新された。
Debian:ipmenuパッケージの安全でない一時ファイル作成の修正
2005年11月23日

パッケージが更新された。
Debian:sylpheed-clawsパッケージの任意のコード実行に対する修正
2005年11月23日

パッケージが更新された。
Debian:horde3パッケージのクロスサイト・スクリプティングの修正
2005年11月23日

パッケージが更新された。
Debian:zope2.7パッケージの任意のファイル混入に対する修正
2005年11月24日

パッケージが更新された。
Gentoo
Gentoo:Smb4kのローカルの不正ファイルアクセス
2005年11月18日

/etc/sudoersと/etc/super.tabのファイルの内容への不正アクセスが可能となる弱点が見つかった。
Gentoo:GNUMP3dのディレクトリ・トラバーサルと安全でない一時ファイル
2005年11月21日

GNUMP3dで、限定的ディレクトリ・トラバーサルと安全でない一時ファイルにつながる2件の弱点が見つかった。
Gentoo:FUSEのfusermountによるmtab破壊
2005年11月22日

FUSEのfusermountユーティリティが/etc/mtabファイルの内容の破壊に悪用されると、ローカルの攻撃者が不正なマウントオプションを設定できる可能性がある。
Gentoo:phpSysInfoの複数の弱点
2005年11月22日

phpSysInfoに複数の弱点があり、ローカルファイル混入による情報漏洩や、任意のコードの実行につながる。
Gentoo:eixの安全でない一時ファイル作成
2005年11月22日

eixに安全でない一時ファイル作成の弱点があり、ローカルユーザが任意のファイルを上書きできる可能性がある。
Gentoo:Horde Application FrameworkのXSSの弱点
2005年11月22日

Horde Application Frameworkにクロスサイト・スクリプティングの弱点があり、標的のブラウザ・コンテンツへの侵入につながる。
Mandriva
Mandriva:phpパッケージの複数の弱点の修正
2005年11月17日

パッケージが更新された。
Mandriva:fileパッケージのsegfaultの修正
2005年11月18日

fileプログラムのバグが原因で、x86_64アーキテクチャの特定のファイルでsegfaultが発生する。このアップデートではこの問題が修正されている。
Mandriva:drakxtoolsパッケージの複数のバグの修正
2005年11月18日

最新のdrakxtoolsパッケージで複数のバグが修正されている。
Mandriva:gdk-pixbuf/gtk+2.0パッケージの弱点の修正
2005年11月18日

GTK+ gdk-pixbuf XPMイメージ・レンダリング・ライブラリにヒープ・オーバーフローの弱点があり、任意のコードの実行につながる。
Mandriva:binutilsパッケージの弱点の修正
2005年11月23日

binutilsパッケージの複数のアプリケーションに整数オーバーフローがあり、攻撃者がオブジェクトファイルを加工して任意のコードを実行できる可能性がある。最新パッケージでは、これらの問題に対処している。
Mandriva:fuseパッケージの弱点の修正
2005年11月24日

Thomas Beigeは、fusermountがマウントポイントに指定された特殊な文字を安全に処理できていないことを発見した。この問題を悪用して、ローカルの攻撃者が悪質な名前を付けたディレクトリにfusermountでマウントすることで、/etc/mtabの内容を破壊する可能性がある。

原文