Linux勧告ウォッチ - 2003年6月3日
先週は、HIPAAを米国の医療業界にとっての負担ではなく、正しい方向への前進としてとらえるべきだという話をした。これに対しては、セキュリティ対策のための十分な予算を手に入れた幸運な読者たちから、前向きな反響が数多くあった。今週はBS7799とISO17799について話そう。BS7799はもともと英国貿易産業省(DTI)のCommercial Computer Security Centre(CCSC)が作成し、英国規格協会が取りまとめたもので、多くの業界にわたって使用できるセキュリティ管理の標準を作成することを目的としている。BS7799は作成後すぐに国際標準化機構(ISO)に提出され、数回の改定の後に受諾されて、ISO17799の基盤として使われた。
Linuxセキュリティに関するその他の記事:
Real-Time Alerting with Snort─リアルタイム警報は、許容可能な時間内に事象について担当者に通知する機能で、IDSまたはその他のモニタリング・アプリケーションに組み込まれている。許容可能な時間がどの程度であるかは、人によってさまざまである。Intrusion Detection Systems: An Introduction
─侵入検出(Intrusion Detection)とは、データを調べ、悪意のある行為、または不正確/異常な行為を探し出す手順および方法のことである。よく目にする侵入検出システムとしては、最も基本的なレベルではホスト・ベースとネットワーク・ベースの2種類がある。[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]
Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読
]
配布元: | Debian | ||
2003/6/9 | kernel | ||
複数の弱点 Linuxカーネルに数多くの弱点が発見された。 http://www.linuxsecurity.com/advisories/debian_advisory-3340.html |
|||
2003/6/6 | eterm | ||
バッファ・オーバーフローの弱点 ETERMPATH環境変数の処理にバッファ・オーバーフローの弱点が発見された。攻撃者はutmpグループの権限を得る可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3341.html |
|||
2003/6/8 | xaos | ||
不適切なsetuid-root実行 フラクタル・イメージを表示するプログラムXaoSは、setuid下で安全に実行するように設計されておらず、攻撃者はルートの権限を得る可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3342.html |
|||
2003/6/11 | etherealのバッファ/整数オーバーフロー | ||
不適切なsetuid-root実行 Timo Sirainenは、ネットワーク・トラフィック分析プログラムのetherealにいくつかの弱点を発見した。これには、AIM、GIOP Gryphon、OSPF、PPTP、Quake、Quake2、Quake3、Rsync、SMB、SMPP、TSPディスセクタの1バイト・バッファ・オーバーフローと、Mount、PPPディスセクタの整数オーバーフローが含まれる。 http://www.linuxsecurity.com/advisories/debian_advisory-3349.html |
|||
2003/6/11 | atftpのバッファ・オーバーフロー | ||
不適切なsetuid-root実行 Rick Patelは、サーバに長いファイル名が送られたときに、atftpdでバッファ・オーバーフローが起こることを発見した。攻撃者はこのバグをリモートから利用し、サーバ上で任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3350.html |
|||
2003/6/11 | gnocatanのバッファ・オーバーフロー、DoS | ||
不適切なsetuid-root実行 Bas Wijnenは、gnocatanサーバにいくつかのバッファ・オーバーフローを発見した。攻撃者は、これを利用して、サーバ上で任意のコードを実行する可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3351.html |
|||
2003/6/11 | nethackのバッファ・オーバーフロー | ||
不適切なsetuid-root実行 nethackパッケージにバッファ・オーバーフローの弱点があり、長い「-s」コマンドライン・オプションを使って悪用される可能性がある。攻撃者はこの弱点を利用して、nethackがインストールされているシステム上でgid ‘games’を取得する可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3352.html |
|||
2003/6/12 | slashemのバッファ・オーバーフロー | ||
slashemパッケージにバッファ・オーバーフローの弱点があり、長い「-s」コマンドライン・オプションを使って悪用される可能性がある。攻撃者はこの弱点を利用して、slashemがインストールされているシステム上でgid ‘games’を取得する可能性がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3353.html |
|||
2003/6/12 | cupsysのDoS | ||
DebianのCUPSプリント・サーバには、正しく終了しないHTTP要求を受け取ったときに、Denial of Service状態になるという弱点がある。 http://www.linuxsecurity.com/advisories/debian_advisory-3354.html |
|||
配布元: | Gentoo | ||
2003/6/8 | mod_php | ||
整数オーバーフローの弱点 phpのいくつかの関数で整数オーバーフローが修正された。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3338.html |
|||
2003/6/8 | atftp | ||
バッファ・オーバーフローの弱点 atftpでバッファ・オーバーフローが修正された。 http://www.linuxsecurity.com/advisories/gentoo_advisory-3339.html |
|||
配布元: | Immunix | ||
2003/6/6 | zlib | ||
バッファ・オーバーフローの弱点 Richard Kettlewellはzlibのgzprintf()関数にバッファ・オーバーフローを発見した。この関数は、圧縮ファイルに対してprintf(3)に似た機能を提供する。このアップデートにはOpenPKGプロジェクトからのパッチが含まれており、vsnprintf(3)に対するautoconfテストを有効化することによって、この問題を修正している。 http://www.linuxsecurity.com/advisories/immunix_advisory-3330.html |
|||
2003/6/9 | tetex、psutils、w3c-libwww | ||
バッファ・オーバーフローの弱点 Olaf Kirchは、teTeXスイートのdvips(1)ツールの内部に、system(3)の安全でない使用箇所を発見した。 http://www.linuxsecurity.com/advisories/immunix_advisory-3344.html |
|||
配布元: | Mandrake | ||
2003/6/6 | kon2 | ||
バッファ・オーバーフローの弱点 コマンドライン解析におけるバッファ・オーバーフローが悪用され、ローカル・ユーザがルート特権を得る可能性がある。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3329.html |
|||
2003/6/11 | several | ||
kernelの弱点 Linuxカーネルに複数の弱点が発見され、修正された。 http://www.linuxsecurity.com/advisories/mandrake_advisory-3348.html |
|||
配布元: | OpenPKG | ||
2003/6/11 | gzipのsymlink攻撃 | ||
情報のリーク GNU Bashに基づくznew(1)シェル・スクリプトは、POSIX “noclobber”シェル・オプションを使うことによって、シェルのリダイレクト時に既存のファイルを上書きするのを防ごうとしていたが、結果をチェックし忘れていたため、既存のファイルがある場合にはそれ以降の処理が中止されていた。これによって、古くからの「symlink」攻撃が可能になっていた。 http://www.linuxsecurity.com/advisories/other_advisory-3347.html |
|||
配布元: | RedHat | ||
2003/6/6 | KDE | ||
ssl man-in-the-middle攻撃 KDEのSSLインプリメンテーションの弱点を解決する更新済みKDEパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3331.html |
|||
2003/6/6 | hanterm | ||
複数の弱点 セキュリティ上の2つの問題を修正する更新済みhantermパッケージが公開された。 http://www.linuxsecurity.com/advisories/redhat_advisory-3332.html |
|||
2003/6/6 | kernel | ||
勧告の更新 私たちは、2つのバグ修正勧告を取り消した。これはRed Hat Linux 7.2のS/390アーキテクチャのみに関係する。 http://www.linuxsecurity.com/advisories/redhat_advisory-3333.html |
|||
配布元: | SuSE | ||
2003/6/6 | pptpd | ||
リモートからのバッファ・オーバーフローの弱点 PPTPデーモンに、整数オーバーフローに起因する、リモートからのバッファ・オーバーフローの弱点が含まれていた。 http://www.linuxsecurity.com/advisories/suse_advisory-3334.html |
|||
2003/6/6 | cups | ||
リモートDoSの弱点 正しく終了しないHTTP要求を受け取ったときに、Denial of Service状態になるという弱点がある。 http://www.linuxsecurity.com/advisories/suse_advisory-3335.html |
|||
配布元: | Turbolinux | ||
2003/6/6 | lv | ||
特権昇格の弱点 攻撃者は、lvを呼び出すユーザの権限を取得する可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3336.html |
|||
2003/6/6 | kdelibs | ||
特権昇格の弱点 攻撃者は、lvを呼び出すユーザの権限を取得する可能性がある。 http://www.linuxsecurity.com/advisories/turbolinux_advisory-3337.html |
|||
配布元: | Yellow Dog | ||
2003/6/10 | ghostscriptの弱点 | ||
特権昇格の弱点 パッチを適用していないバージョン7.0より前のGhostscriptに弱点があり、-dSAFERを有効にしている場合でも、悪質なポストスクリプトファイルによって任意のコマンドが実行される可能性がある。 http://www.linuxsecurity.com/advisories/yellowdog_advisory-3345.html |
|||
2003/6/10 | hanterm-xfの弱点 | ||
特権昇格の弱点 攻撃者は、Hangul Terminalを使って被害者のウィンドウ・タイトルを任意のコマンドに設定するエスケープ・シーケンスを作成し、それをコマンドラインに報告する可能性がある。 http://www.linuxsecurity.com/advisories/yellowdog_advisory-3346.html |