-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2003-2001 JPCERT/CC 2003-05-21 <<< JPCERT/CC REPORT 2003-05-21 >>> これは JPCERT/CC が 5/11(日) から 5/17(土) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] Turbolinux Security Advisory TLSA-2003-31 openssh ユーザ名の漏洩 http://www.turbolinux.co.jp/security/TLSA-2003-31j.txt Vine Linux errata openssh にセキュリティホール http://vinelinux.org/errata/25x/20030514-1.html OpenSSH バージョン 3.6.1p1 およびそれ以前の portable version には、PAM を用いた認証処理において、ユーザが存在しない場合にエラーメッセージを即 時に返してしまう脆弱性があります。結果として、遠隔から第三者がシステム 上に存在するユーザ名を推測する可能性があります。 この問題は、OpenSSH をバージョン 3.6.1p2 に更新する、またはベンダや配 布元が提供するパッケージに更新することで解決します。 [2] CIAC Bulletin N-095 Red Hat Multiple Vulnerabilities in KDE http://www.ciac.org/ciac/bulletins/n-095.shtml KDE 2 および KDE 3.1.1 およびそれ以前のバージョンには、PostScript ファ イルや PDF ファイルのプレビュー処理に脆弱性があります。結果として、遠 隔から第三者がユーザの権限を取得する可能性があります。 また、KDE 2 および KDE 3.0.5 およびそれ以前のバージョンには、URL やファ イル名、電子メールアドレスの扱いに脆弱性があります。結果として、遠隔か ら第三者がユーザの権限を取得する可能性があります。 これらの問題は、KDE のパッケージを、ベンダや配布元が提供するパッケージ に更新することで解決します。 関連文書 (日本語) Turbolinux Security Advisory TLSA-2003-1 多数の KDE パッケージに脆弱性が存在 http://www.turbolinux.co.jp/security/TLSA-2003-1j.txt Turbolinux Security Advisory TLSA-2003-28 PS/PDF ファイルを扱うモジュールに弱点 http://www.turbolinux.co.jp/security/TLSA-2003-28j.txt Debian セキュリティ警告 http://www.debian.org/security/2003/dsa-234.ja.html http://www.debian.org/security/2003/dsa-235.ja.html http://www.debian.org/security/2003/dsa-236.ja.html http://www.debian.org/security/2003/dsa-237.ja.html http://www.debian.org/security/2003/dsa-238.ja.html http://www.debian.org/security/2003/dsa-239.ja.html http://www.debian.org/security/2003/dsa-240.ja.html http://www.debian.org/security/2003/dsa-241.ja.html http://www.debian.org/security/2003/dsa-242.ja.html http://www.debian.org/security/2003/dsa-243.ja.html Debian セキュリティ警告 DSA-284-1 kdegraphics -- 安全でないプログラムの実行 http://www.debian.org/security/2003/dsa-284.ja.html 関連文書 (英語) KDE Security Advisory Multiple vulnerabilities in KDE http://www.kde.org/info/security/advisory-20021220-1.txt KDE Security Advisory PS/PDF file handling vulnerability http://www.kde.org/info/security/advisory-20030409-1.txt Red Hat Linux Security Advisory RHSA-2003:002-30 Updated KDE packages fix security issues https://rhn.redhat.com/errata/RHSA-2003-002.html Debian Security Advisory DSA-293-1 kdelibs -- insecure execution http://www.debian.org/security/2003/dsa-293.en.html Debian Security Advisory DSA-296-1 kdebase -- insecure execution http://www.debian.org/security/2003/dsa-296.en.html [3] CIAC Bulletin N-096 Red Hat New Kernel Fixes Local Security Issues http://www.ciac.org/ciac/bulletins/n-096.shtml Red Hat Linux 7.3 および 8.0 のカーネルには、いくつかのドライバに脆弱 性があります。結果として、ローカルユーザが root 権限を取得する可能性が あります。この問題は、カーネルを Red Hat が提供するパッケージに更新す ることで解決します。 関連文書 (英語) Red Hat Linux Security Advisory RHSA-2002:206-13 New kernel fixes local security issues https://rhn.redhat.com/errata/RHSA-2002-206.html [4] CIAC Bulletin N-097 Red Hat Updated Tcpdump Packages http://www.ciac.org/ciac/bulletins/n-097.shtml Red Hat Linux の tcpdump パッケージが更新されました。これにより標準で、 起動後に root ではなく、pcap ユーザの権限でプロセスを実行するようにな りました。 関連文書 (英語) Red Hat Linux Security Advisory RHSA-2003:174-04 Updated tcpdump packages fix privilege dropping error https://rhn.redhat.com/errata/RHSA-2003-174.html [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 http://www.jpcert.or.jp/wr/ 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL をご参照ください。 http://www.jpcert.or.jp/announce.html JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL をご参照ください。 http://www.jpcert.or.jp/form/ 以上。 __________ 2003 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPsre3Ix1ay4slNTtAQEoKQP9GA8gehCZT/JDenYFCp9X9Cr8IIk1wN0+ hZrAJ1IEatvRMhhDxntTZyMu4e4862SpE7WMlWGSSS6M2n02rr+6KA4ngPCR21S1 D7L4uMXsr5HXoZttLEfMDIwMkXurA7oMzqPt9C95+grzzIVhfk1C1/dsLEK7idqP mBIB6iZmFNQ= =bURm -----END PGP SIGNATURE-----