Linux勧告ウォッチ - 2003年6月3日

今週は、Linux kernel, eterm、xaos、ethereal、atftp、gnocatan、nethack、slashem、cupsys、mod_php、zlib、kon2、gzip、KDE、hanterm、pptpd、cups、lvに対する勧告が公開された。配布元にはDebian、Gentoo、Immunix、Mandrake、OpenPKG、RedHat、SuSE、Turbolinux、Yellow Dogが含まれる。

先週は、HIPAAを米国の医療業界にとっての負担ではなく、正しい方向への前進としてとらえるべきだという話をした。これに対しては、セキュリティ対策のための十分な予算を手に入れた幸運な読者たちから、前向きな反響が数多くあった。今週はBS7799とISO17799について話そう。BS7799はもともと英国貿易産業省(DTI)のCommercial Computer Security Centre(CCSC)が作成し、英国規格協会が取りまとめたもので、多くの業界にわたって使用できるセキュリティ管理の標準を作成することを目的としている。BS7799は作成後すぐに国際標準化機構(ISO)に提出され、数回の改定の後に受諾されて、ISO17799の基盤として使われた。

BS7799とISO17799の目的とは何だろうか。それぞれは、さまざまな組織が情報セキュリティプログラムを作成するための開始点を確立しようという目的を持って作成された。HIPAAと同様、「7799」標準は、各組織がデータの厳密な機密性、完全性、可用性を維持するのを手助けするものである。標準や勧告は、情報セキュリティの上級管理者を対象として書かれている。これらの標準には何が含まれているのだろうか。それぞれは、組織のセキュリティ問題、資産の分類、スタッフのセキュリティ、セキュリティポリシー、物理的および操作上のセキュリティ、アクセス制御、システム開発、事業継続管理、標準への準拠について説明している。

各組織が国際標準に準拠しようとする理由は数多くある。「7799」が不完全だという状況もあるかもしれないが、それぞれの標準の目的は達成されている。これらの標準は、組織内で情報セキュリティプログラムを構築するための基礎を提供している。

ではまた来週。
Benjamin D. Thomas

Linuxセキュリティに関するその他の記事:

Real-Time Alerting with Snort─リアルタイム警報は、許容可能な時間内に事象について担当者に通知する機能で、IDSまたはその他のモニタリング・アプリケーションに組み込まれている。許容可能な時間がどの程度であるかは、人によってさまざまである。

Intrusion Detection Systems: An Introduction
─侵入検出(Intrusion Detection)とは、データを調べ、悪意のある行為、または不正確/異常な行為を探し出す手順および方法のことである。よく目にする侵入検出システムとしては、最も基本的なレベルではホスト・ベースとネットワーク・ベースの2種類がある。

[ Linux Advisory Watch ] – [ Linux Security Week ] – [ PacketStorm Archive ] – [ Linux Security Documentation ]

Linux勧告ウォッチは、今週中に公開されたセキュリティ上の弱点について説明する包括的なニュースレターである。アップグレード用パッケージへのリンクと、それぞれの弱点の説明を記載している。
[ 購読 ]


配布元: Debian
2003/6/9 kernel
複数の弱点

Linuxカーネルに数多くの弱点が発見された。
http://www.linuxsecurity.com/advisories/debian_advisory-3340.html
2003/6/6 eterm
バッファ・オーバーフローの弱点

ETERMPATH環境変数の処理にバッファ・オーバーフローの弱点が発見された。攻撃者はutmpグループの権限を得る可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3341.html
2003/6/8 xaos
不適切なsetuid-root実行

フラクタル・イメージを表示するプログラムXaoSは、setuid下で安全に実行するように設計されておらず、攻撃者はルートの権限を得る可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3342.html
2003/6/11 etherealのバッファ/整数オーバーフロー
不適切なsetuid-root実行

Timo Sirainenは、ネットワーク・トラフィック分析プログラムのetherealにいくつかの弱点を発見した。これには、AIM、GIOP Gryphon、OSPF、PPTP、Quake、Quake2、Quake3、Rsync、SMB、SMPP、TSPディスセクタの1バイト・バッファ・オーバーフローと、Mount、PPPディスセクタの整数オーバーフローが含まれる。
http://www.linuxsecurity.com/advisories/debian_advisory-3349.html
2003/6/11 atftpのバッファ・オーバーフロー
不適切なsetuid-root実行

Rick Patelは、サーバに長いファイル名が送られたときに、atftpdでバッファ・オーバーフローが起こることを発見した。攻撃者はこのバグをリモートから利用し、サーバ上で任意のコードを実行する可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3350.html
2003/6/11 gnocatanのバッファ・オーバーフロー、DoS
不適切なsetuid-root実行

Bas Wijnenは、gnocatanサーバにいくつかのバッファ・オーバーフローを発見した。攻撃者は、これを利用して、サーバ上で任意のコードを実行する可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3351.html
2003/6/11 nethackのバッファ・オーバーフロー
不適切なsetuid-root実行

nethackパッケージにバッファ・オーバーフローの弱点があり、長い「-s」コマンドライン・オプションを使って悪用される可能性がある。攻撃者はこの弱点を利用して、nethackがインストールされているシステム上でgid ‘games’を取得する可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3352.html
2003/6/12 slashemのバッファ・オーバーフロー
slashemパッケージにバッファ・オーバーフローの弱点があり、長い「-s」コマンドライン・オプションを使って悪用される可能性がある。攻撃者はこの弱点を利用して、slashemがインストールされているシステム上でgid ‘games’を取得する可能性がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3353.html
2003/6/12 cupsysのDoS

DebianのCUPSプリント・サーバには、正しく終了しないHTTP要求を受け取ったときに、Denial of Service状態になるという弱点がある。
http://www.linuxsecurity.com/advisories/debian_advisory-3354.html
配布元: Gentoo
2003/6/8 mod_php
整数オーバーフローの弱点

phpのいくつかの関数で整数オーバーフローが修正された。
http://www.linuxsecurity.com/advisories/gentoo_advisory-3338.html
2003/6/8 atftp
バッファ・オーバーフローの弱点

atftpでバッファ・オーバーフローが修正された。
http://www.linuxsecurity.com/advisories/gentoo_advisory-3339.html
配布元: Immunix
2003/6/6 zlib
バッファ・オーバーフローの弱点

Richard Kettlewellはzlibのgzprintf()関数にバッファ・オーバーフローを発見した。この関数は、圧縮ファイルに対してprintf(3)に似た機能を提供する。このアップデートにはOpenPKGプロジェクトからのパッチが含まれており、vsnprintf(3)に対するautoconfテストを有効化することによって、この問題を修正している。
http://www.linuxsecurity.com/advisories/immunix_advisory-3330.html
2003/6/9 tetex、psutils、w3c-libwww
バッファ・オーバーフローの弱点

Olaf Kirchは、teTeXスイートのdvips(1)ツールの内部に、system(3)の安全でない使用箇所を発見した。
http://www.linuxsecurity.com/advisories/immunix_advisory-3344.html
配布元: Mandrake
2003/6/6 kon2
バッファ・オーバーフローの弱点

コマンドライン解析におけるバッファ・オーバーフローが悪用され、ローカル・ユーザがルート特権を得る可能性がある。
http://www.linuxsecurity.com/advisories/mandrake_advisory-3329.html
2003/6/11 several
kernelの弱点

Linuxカーネルに複数の弱点が発見され、修正された。
http://www.linuxsecurity.com/advisories/mandrake_advisory-3348.html
配布元: OpenPKG
2003/6/11 gzipのsymlink攻撃
情報のリーク

GNU Bashに基づくznew(1)シェル・スクリプトは、POSIX “noclobber”シェル・オプションを使うことによって、シェルのリダイレクト時に既存のファイルを上書きするのを防ごうとしていたが、結果をチェックし忘れていたため、既存のファイルがある場合にはそれ以降の処理が中止されていた。これによって、古くからの「symlink」攻撃が可能になっていた。
http://www.linuxsecurity.com/advisories/other_advisory-3347.html
配布元: RedHat
2003/6/6 KDE
ssl man-in-the-middle攻撃

KDEのSSLインプリメンテーションの弱点を解決する更新済みKDEパッケージが公開された。
http://www.linuxsecurity.com/advisories/redhat_advisory-3331.html
2003/6/6 hanterm
複数の弱点

セキュリティ上の2つの問題を修正する更新済みhantermパッケージが公開された。
http://www.linuxsecurity.com/advisories/redhat_advisory-3332.html
2003/6/6 kernel
勧告の更新

私たちは、2つのバグ修正勧告を取り消した。これはRed Hat Linux 7.2のS/390アーキテクチャのみに関係する。
http://www.linuxsecurity.com/advisories/redhat_advisory-3333.html
配布元: SuSE
2003/6/6 pptpd
リモートからのバッファ・オーバーフローの弱点

PPTPデーモンに、整数オーバーフローに起因する、リモートからのバッファ・オーバーフローの弱点が含まれていた。
http://www.linuxsecurity.com/advisories/suse_advisory-3334.html
2003/6/6 cups
リモートDoSの弱点

正しく終了しないHTTP要求を受け取ったときに、Denial of Service状態になるという弱点がある。
http://www.linuxsecurity.com/advisories/suse_advisory-3335.html
配布元: Turbolinux
2003/6/6 lv
特権昇格の弱点

攻撃者は、lvを呼び出すユーザの権限を取得する可能性がある。
http://www.linuxsecurity.com/advisories/turbolinux_advisory-3336.html
2003/6/6 kdelibs
特権昇格の弱点

攻撃者は、lvを呼び出すユーザの権限を取得する可能性がある。
http://www.linuxsecurity.com/advisories/turbolinux_advisory-3337.html
配布元: Yellow Dog
2003/6/10 ghostscriptの弱点
特権昇格の弱点

パッチを適用していないバージョン7.0より前のGhostscriptに弱点があり、-dSAFERを有効にしている場合でも、悪質なポストスクリプトファイルによって任意のコマンドが実行される可能性がある。
http://www.linuxsecurity.com/advisories/yellowdog_advisory-3345.html
2003/6/10 hanterm-xfの弱点
特権昇格の弱点

攻撃者は、Hangul Terminalを使って被害者のウィンドウ・タイトルを任意のコマンドに設定するエスケープ・シーケンスを作成し、それをコマンドラインに報告する可能性がある。
http://www.linuxsecurity.com/advisories/yellowdog_advisory-3346.html