-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-0402 JPCERT/CC 2002-01-30 <<< JPCERT/CC REPORT 2002-01-30 >>> これは JPCERT/CC が 1/21(月) から 1/25(金) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CIAC Bulletin M-032 HP-UX Security Vulnerability with wu-ftpd 2.6 http://www.ciac.org/ciac/bulletins/m-032.shtml Hewlett-Packard が HP-UX 11.0 および 11.11 向けに提供している wu-ftpd のパッケージには、ident プロトコルの利用に関連する脆弱性があります。結 果として、第三者が遠隔から root 権限で任意のプログラムを実行する可能性 があります。この問題はパッケージを更新することで解決します。なお、この 問題は CERT Advisory CA-2001-33 にて既に指摘されているものです。 関連文書(英語) CERT/CC Advisory CA-2001-33 Multiple Vulnerabilities in WU-FTPD http://www.cert.org/advisories/CA-2001-33.html CERT/CC Vulnerability Note VU#639760 WU-FTPD configured to use RFC 931 authentication running in debug mode contains format string vulnerability http://www.kb.cert.org/vuls/id/639760 Software Depot - wu-ftpd 2.6 special release http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/displayProductInfo.pl?productNumber=WUFTPD26 関連文書(日本語) JPCERT/CC REPORT 2001-12-05号 http://www.jpcert.or.jp/wr/2001/wr012801.txt [2] CERT Advisory CA-2002-02 Buffer Overflow in AOL ICQ http://www.cert.org/advisories/CA-2002-02.html ICQ の Windows 版クライアントにはバッファオーバーフローの脆弱性が存在 します。結果として、第三者が ICQ のサーバ経由で特定のメッセージを送る ことによって、遠隔から任意のプログラムを実行する可能性があります。この 問題は ICQ プログラムを最新版 (2001B Beta v5.18 Build #3659) にするこ とで解決します。 関連文書(英語) CERT/CC Vulnerability Note VU#570167 ICQ contains a buffer overflow while processing Voice Video & Games feature requests http://www.kb.cert.org/vuls/id/570167 [3] FreeBSD Security Advisory FreeBSD-SA-02:08 race condition during exec may allow local root compromise ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-02:08.exec.asc NetBSD Security Advisory 2002-001 Close-on-exec, SUID and ptrace(2) ftp://ftp.netbsd.org/pub/NetBSD/security/advisories/NetBSD-SA2002-001.txt.asc OpenBSD 3.0 errata 012: SECURITY FIX: January 21, 2002 http://www.openbsd.org/errata.html#ptrace いくつかの BSD 系 OS には、システムコール ptrace(2) を使用する際のプロ セス制御機能の制限に脆弱性があります。結果として、ローカルユーザが root 権限を取得する可能性があります。対象となるのは以下のバージョンで す。 [FreeBSD] 4.5-RELEASE より前の全てのバージョン [NetBSD] NetBSD-current: 2002年1月14日より前のバージョン NetBSD-1.5.*: 1.5.2 およびそれ以前のバージョン NetBSD-1.4.*: 1.4.3 およびそれ以前のバージョン [OpenBSD] OpenBSD-current: 2002年1月20日より前のバージョン OpenBSD-3.0 stable: 2002年1月23日より前のバージョン この問題は、各 OS 開発元が提供する情報に基き、カーネルを更新することで 解決します。 [4] sudo の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-01-23号でも紹介した、sudo の脆弱性に関する追加情 報です。 Turbolinux Japan Security Center 悪意のあるローカルユーザーによるsendmail不正利用 http://www.turbolinux.co.jp/security/sudo-1.6.5-1.html Vine Linux 2.x/{i386,ppc,sparc,alpha} の更新/障害情報 sudo にセキュリティホール http://vinelinux.org/errata/2x/20020123.html 関連文書(日本語) JPCERT/CC REPORT 2002-01-23号 http://www.jpcert.or.jp/wr/2002/wr020301.txt [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用下さい。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPIx1ay4slNTtAQErtwP+LkNw2IOPWLHgT8yME7AeKGfSKybX5AdE FLXpFhX1+AizPWpZ6Move1JpArVrJY/TV+eaDVe1uQKa56BgoIItAfFwuowpldC3 XeE2dkrNk/3wGU4tptUl/jpO1ZJvzezCloardWATrabps9b6rwvQ0MPgFmPWdLyg p4BKmZWJ+BA= =Jsq+ -----END PGP SIGNATURE-----