-----BEGIN PGP SIGNED MESSAGE-----

                                                  JPCERT-WR-2001-2301
                                                            JPCERT/CC
                                                           2001-10-31

                  <<< JPCERT/CC REPORT 2001-10-31 >>>

これは JPCERT/CC が 10/22(月) から 10/26(金) の間に得たセキュリティ関
連情報のうち、重要と思われるものを抜粋してまとめたレポートです。


[1] CIAC Bulletin M-008
    Sun rpc.yppasswdd Security Vulnerability
    http://www.ciac.org/ciac/bulletins/m-008.shtml

JPCERT/CC REPORT 2001-10-17 号でも紹介した、Solaris に含まれる
rpc.yppasswdd のバッファオーバーフローの脆弱性情報です。

  関連文書 (日本語)
    JPCERT/CC REPORT 2001-10-17号
    http://www.jpcert.or.jp/wr/2001/wr012101.txt

  関連文書 (英語)
    Sun(sm) Alert Notification
    Buffer Overflow in "rpc.yppasswdd" Process
                              Might Lead to Unauthorized Root Access
    http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=salert%2F27486&zone_32=yppasswd%2A%20%202748%2A%20


[2] CIAC Bulletin M-009
    Red Hat Linux PAM Vulnerability
    http://www.ciac.org/ciac/bulletins/m-009.shtml

RedHat Linux 7.1, 7.2 に含まれている util-linux パッケージの /bin/login
には、PAM (Pluggable Authentication Module) の設定内容によっては正しく
ユーザ認証できないという問題があります。結果として、ローカルユーザが別
のユーザでログインできる可能性があります。この問題は util-linux パッケー
ジを更新することで解決します。

  関連文書(日本語)
    Red Hat Linux セキュリティアドバイス
    http://www.jp.redhat.com/support/errata/RHSA/RHSA-2001-132J.html


[3] CERT Advisory CA-2001-29
    Oracle9iAS Web Cache vulnerable to buffer overflow
    http://www.cert.org/advisories/CA-2001-29.html

Oracle9iAS Web Cache には、遠隔から攻撃可能なバッファオーバーフローの
脆弱性があります。結果として第三者が Web Cache のプロセスを停止したり、
Web Cache を実行しているユーザ権限で任意のプログラムを実行できる可能性
があります。この問題はベンダの提供するパッチを適用することで解決します。

  関連文書(英語)
    Oracle9iAS Web Cache Overflow vulnerability
    http://otn.oracle.com/deploy/security/pdf/webcache.pdf



[JPCERT/CC からのお願い]

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
す。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものに
ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
以下の URL からご利用下さい。

     http://www.jpcert.or.jp/wr/

JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
で示されるページをご覧ください。

     http://www.jpcert.or.jp/form/

以上。
======================================================================
コンピュータ緊急対応センター (JPCERT/CC)
http://www.jpcert.or.jp/

-----BEGIN PGP SIGNATURE-----
Version: 2.6.3ia
Charset: noconv

iQCVAwUBPvbJG4x1ay4slNTtAQE0rgQA1F1joa3yLd8SPQbhBmrHTXNsbssr9kAx
bp7vkuQxLDZTpSWsJ+KdDZAMcTK8nVY8bAJ4DWMpdO+qo7D16dHENaHKXuIydipq
eeWjVgr+ZQOy4GWyzLpkZg/2sgaH/beW6xov8nO4gWYZFIVZTlw8MJhL2iwKFpag
LPZBPS1naSw=
=p/Oi
-----END PGP SIGNATURE-----