-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-4201 JPCERT/CC 2002-10-30 <<< JPCERT/CC REPORT 2002-10-30 >>> これは JPCERT/CC が 10/21(月) から 10/25(金) の間に得たセキュリティ関 連情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CERT Advisory CA-2002-29 Buffer Overflow in Kerberos Administration Daemon http://www.cert.org/advisories/CA-2002-29.html CIAC Bulletin N-009 Buffer Overflow in kadmind4 http://www.ciac.org/ciac/bulletins/n-009.shtml Kerberos の実装のいくつかには、Kerberos Administration Daemon にバッファ オーバーフローの脆弱性があります。結果として、遠隔から第三者が root 権 限を取得する可能性があります。対象となるのは以下のソフトウェアです。 - krb5-1.2.6 およびそれ以前の MIT Kerberos バージョン 4 および 5 - バージョン 1.2.1 より前の KTH eBones - バージョン 0.5.1 より前の KTH Heimdal - 上記脆弱性のある MIT や KTH のコードに由来する Kerberos の実装 この問題は、ベンダや配布元が提供するパッチを適用する、もしくは修正され たバージョンに更新することで解決します。 関連文書 (英語) MIT krb5 Security Advisory 2002-002 Buffer overflow in kadmind4 http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2002-002-kadm4.txt KTH eBones http://www.pdc.kth.se/kth-krb/ KTH Heimdal http://www.pdc.kth.se/heimdal/ [2] @IT 連載: 管理者のためのセキュリティ推進室〜インシデントレスポンス入門〜 第5回「インシデント発見後の関係サイトへの連絡」 http://www.atmarkit.co.jp/fsecurity/ JPCERT/CC の連載記事 (第5回) が公開されました。 [JPCERT/CC からのお知らせ] 次号の発行は 11月 7日(木)の予定です。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用ください。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPox1ay4slNTtAQEO8AQAqrDr4Mf2PS3uMWMqsKAQWdkv5JdaZznh bPctoqCuGBz3vPM34Wj4oLoiQ7NUPHsNDjE2CnUUHuCHglK71ucd6QaFpEwV/kKS +KU0Jtc+r7FHC7+gcVdAj2g4/NrhQBIA1ce48PIAgkgmr3zVittV2CuzJdIA8q0z yCPvKya4yRw= =1Mdo -----END PGP SIGNATURE-----