-----BEGIN PGP SIGNED MESSAGE----- JPCERT-WR-2002-2901 JPCERT/CC 2002-07-31 <<< JPCERT/CC REPORT 2002-07-31 >>> これは JPCERT/CC が 7/22(月) から 7/26(金) の間に得たセキュリティ関連 情報のうち、重要と思われるものを抜粋してまとめたレポートです。 [1] CERT Advisory CA-2002-21 Vulnerability in PHP http://www.cert.org/advisories/CA-2002-21.html PHP バージョン 4.2.0 および 4.2.1 には、POST リクエストの処理に脆弱性 があります。結果として、遠隔から第三者が Web サーバプログラムを停止し たり、Web サーバの実行ユーザ権限を取得する可能性があります。この問題は、 ベンダや配布元の提供するパッチを適用するか、PHP をバージョン 4.2.2 に 更新することで解決します。 関連文書 (英語) PHP Security Advisory Vulnerability in PHP versions 4.2.0 and 4.2.1 http://www.php.net/release_4_2_2.php [2] CIAC Bulletin M-102 Microsoft SQL Server 2000 Resolution Service Buffer Overflow Vulnerabilities http://www.ciac.org/ciac/bulletins/m-102.shtml Microsoft SQL Server 2000 には、「解決サービス」にバッファオーバーフロー の脆弱性があります。結果として、遠隔から第三者がサーバプログラムのユー ザ権限を取得する可能性があります。この問題は、Microsoft が提供する修正 プログラムを適用することで解決します。 関連文書 (日本語) マイクロソフト セキュリティ情報 SQL Server 2000 解決サービスのバッファのオーバーランにより、コードが実行される (Q323875) (MS02-039) http://www.microsoft.com/japan/technet/security/bulletin/MS02-039.asp [3] DNS resolver の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-07-03号でも紹介した、DNS resolver の脆弱性に関す る追加情報です。 Red Hat Linux セキュリティアドバイス RHSA-2002:139-10 glibcパッケージのアップデート http://www.jp.redhat.com/support/errata/RHSA/RHSA-2002-139J.html HP社セキュリティ報告: #053 glibcにおけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBTL0207-053.html 関連文書 (日本語) JPCERT/CC REPORT 2002-07-03号 http://www.jpcert.or.jp/wr/2002/wr022501.txt JPCERT/CC Alert 2002-06-28 DNS resolver の脆弱性に関する注意喚起 http://www.jpcert.or.jp/at/2002/at020005.txt 関連文書 (英語) CERT Advisory CA-2002-19 Buffer Overflow in Multiple DNS Resolver Libraries http://www.cert.org/advisories/CA-2002-19.html [4] BIND 9.x の脆弱性に関する追加情報 JPCERT/CC REPORT 2002-06-12号でも紹介した、BIND 9.x の脆弱性に関する追 加情報です。 HP社セキュリティ報告: #0202 BIND 9におけるセキュリティ脆弱性 http://www.jpn.hp.com/upassist/assist2/secbltn/HPSBUX0207-202.html 関連文書 (日本語) JPCERT/CC REPORT 2002-06-12号 http://www.jpcert.or.jp/wr/2002/wr022201.txt 関連文書 (英語) CERT Advisory CA-2002-15 Denial-of-Service Vulnerability in ISC BIND 9 http://www.cert.org/advisories/CA-2002-15.html [5] @IT 連載: 管理者のためのセキュリティ推進室〜インシデントレスポンス入門〜 第2回「インシデントを発見する方法 (1)」 http://www.atmarkit.co.jp/fsecurity/ JPCERT/CC の連載記事 (第2回) が公開されました。 [JPCERT/CC からのお願い] 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用ください。 http://www.jpcert.or.jp/wr/ JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL で示されるページをご覧ください。 http://www.jpcert.or.jp/form/ 以上。 ====================================================================== コンピュータ緊急対応センター (JPCERT/CC) http://www.jpcert.or.jp/ -----BEGIN PGP SIGNATURE----- Version: 2.6.3ia Charset: noconv iQCVAwUBPvbLPYx1ay4slNTtAQE35QP/ZwvB9KDYJfvtZAJ+zidyXuyWrc9n3+w3 nHlq2ol4wGBm46anzUa1rc3kGDB6xrVB6fXauuaabGzEnuuTURZnE1nxqY+iL3xI Y1Xi8Yq2wXjryqj4nF1oFJY3bd9CRE5sEEaeuCjYF/akTemdg07Np3qzQDdhFtqy fGvdtrONvO8= =y2h+ -----END PGP SIGNATURE-----