php4-dbaおよびphp5-dbaのdba_replace()関数に、データベースキーが見つけられない場合にINIファイルを空にする危険のあるバグがあり、アップデートが公開されています。対象バージョンは5.2.6、4.4.9。portsよりアップデートできます。 VuXML: php -- ini d…

Pangoにおける整数オーバーフローの脆弱性ですが、FreeBSDにおいてもpango、 linux-pango、linux-f8-pangoのそれぞれのportsがアップデートされています。 VuXML: pango -- integer overflow

libwmfに不正なメモリ使用を行う脆弱性が報告されており、対策のためlibwmf0.2-7がアップデートされています。この脆弱性により、加工したWMFファイルを用いてサービス拒否や任意コードの実行が可能になるとのことです。対象はUbuntu 6.06 LTS、8.04 LTS、8.…

clamav-milterの初期化スクリプトに、カレントディレクトリのオーナーを自動的に'clamav'に変更してしまうバグが報告されており、修正版がリリースされています。 USN-770-1: ClamAV vulnerability | Ubuntu このアップデートによってすでにオーナーが変更さ…

libmodplugに2つの脆弱性が報告されており、対策のためにlibmodplug0c2がアップデートされています。ひとつはMEDメディアファイルのパース中にパラメータを正しく処理しないことにより、任意のコードを実行できてしまうというもの。もうひとつはPATサンプル…

任意精度の浮動小数点演算ライブラリであるMPRFに脆弱性が報告されており、対策のためにlib64mpfr1およびlibmpfr1ldblがアップデートされています。この脆弱性によりMPRFを利用するプログラムにおいてサービス拒否が引き起こされたり、任意のコードの実行が…

Pango 1.0においてGlyph Stringsのレンダリング中に整数オーバーフローを引き起こす危険がある脆弱性が報告されており、対策のためにlibpango1.0-0がアップデートされています。対象はUbuntu 6.06 LTS、8.04 LTS、8.10です。 USN-773-1: Pango vulnerability…

Pythonで書かれたWikiクローンであるMoinMoinにクロスサイトスクリプティングを許容する脆弱性が報告されており、これに伴ってpython-moinmoinがアップデートされています。ターゲットはUbuntu 8.10と9.04です。 USN-774-1: MoinMoin vulnerability | Ubuntu]

バグレポート作成ツールであるApportに、レポート作成用ディレクトリから安全にファイルを削除できない問題が報告されており、修正版がリリースされました。対象はUbuntu 8.04 LTS、8.10、9.04です。 USN-768-1: Apport vulnerability | Ubuntu

Firefox 3.0.10がリリースされたことにともなって、Ubuntuのfirefox-3.0およびxulrunner-1.9もアップデートされています。念のため。 USN-765-1: Firefox and Xulrunner vulnerabilities | Ubuntu

SolarisのDTrace ioctl(2)ハンドラに複数の脆弱性が報告されています。この脆弱性により、ローカルの非特権ユーザがシステムのパニックを引き起こすことができるとのことです。対象はSolaris 10およびOpenSolaris svn_01からsnv_113。OpenSolarisについてはs…

FreeTypeにリモートから任意のコードを実行できる脆弱性が報告されており、libfreetype6がアップデートされました。 フォントファイル中の大きな値を適切に処理しないことから、ユーザが加工したフォントファイルを用いた場合にリモートからユーザ権限で任意…

acpidにDoSを許容する脆弱性が報告されており、修正版が公開されています。acpidが大量の接続を適切に処理しないことから、ローカルのユーザがDoSによってCPUリソースを占有できてしまうとのことです。対象はUbuntu 6.06 LTS、8.04 LTS、8.10、9.04。 USN-76…

Ubuntu 8.10他で先日修正されたPHP5に関する脆弱性ですが、そのうち2件が9.04も対象となっており、修正版が公開されました。修正されたのはdisplay_errorsのバグとjson_decode関数のバグです。 USN-761-2: PHP vulnerabilities | Ubuntu

マルウェアを駆除するのに便利なツールとして、Lifehacker.comに「Five Best Malware Removal Tools」という記事が掲載されています。全てWindows版のみですが、参考になるかと。 http://lifehacker.com/5227896/five-best-malware-removal-tools Spybot Sea…

libcに含まれるdb(3)に、情報漏洩の危険がある脆弱性が報告されています。対象となるバージョンについては以下を参照。 http://security.freebsd.org/advisories/FreeBSD-SA-09:07.libc.asc これはdb(3)によてBerkeleyデータベースファイルが作成される際に…

OpenSSLにリモートからの攻撃によってアプリケーションをクラッシュさせられる危険性のある脆弱性が報告されています。対象のバージョンについては以下を参照。 http://security.freebsd.org/advisories/FreeBSD-SA-09:08.openssl.asc この脆弱性はASN1_STRI…

OpenSolarisのSCTPソケットに、非特権ユーザによりシステムパニックを引き起こす危険性のある脆弱性が報告されています。対象となるのはsnv_106およびsnv_107で、snv_108 以降のバージョンにアップデートすることで解消されるとのことです。 http://sunsolve…

xine-libに複数の脆弱性が報告されており、libxine-main1およびlibxine1に修正版がリリースされています。対象はUbuntu 6.06 LTS、8.04 LTS、8.10。 USN-763-1: xine-lib vulnerabilities | Ubuntu QT demuxerがSTTSにおいて大きいカウント値を適切に処理し…

PHP5に3件の脆弱性が報告されており、libapache2-mod-php5、php5-cgiおよびphp5-cliに修正版がリリースされています。対象はUbuntu 6.06 LTS、8.04 LTS、8.10。 USN-761-1: PHP vulnerabilities | Ubuntu 1件はdisplay_errorsのエラーメッセージを正しく確認…

APTに2件の脆弱性が報告されており、Ubuntuにおいて修正版がリリースされています。対象はUbuntu 6.06 LTS、8.04 LTS、8.10。 USN-762-1: APT vulnerabilities | Ubuntu1件はcronスクリプトで実行されるaptがdateコマンドの戻り値をチェックしないというもの…

Jabberサーバのひとつであるejabberdにクロスサイトスクリプティングを許容する脆弱性が報告されており、これに対処したejabberd 2.0.3がリリースされています。この脆弱性で、悪意あるコードによりCookieベースの認証証明書を奪取される危険性があるとのこ…

phpMyAdminに不正なPHPコードを設定ファイルに埋め込めるという脆弱性が報告されており、それに対処したphpMyAdmin 3.1.3.2がリリースされています。この脆弱性は、POSTリクエストを加工することによってphpMyAdminによって生成される設定ファイルに任意のPH…

Ziproxyにリレー接続に利用される危険性がある脆弱性が報告されており、これに対処したziproxy 2.7.0がリリースされています。この脆弱性は、プロキシが転送の可否をHTTPヘッダのHostプロパティの値を参照して判断しているとき、ヘッダを加工することでイン…

1週間ほど前のニュース。CCK for Drupal 6.xにクロスサイトスクリプティングを許容する脆弱性が報告されており、それに対処したdrupal6-cck 6.x.2.2がリリースされました。portsよりアップデートできます。 VuXML: drupal6-cck -- cross-site scripting

CUPSのTIFFイメージ処理に脆弱性が報告されており、Ubuntuのlibcupsimage2がアップデートされました。対象はUbuntu 6.06 LTS、7.10、8.04 LTS、8.10です。 USN-760-1: CUPS vulnerability | Ubuntu 元になっているのはこの脆弱性で、TIFFイメージのheightプ…

フリーのPDFライブラリであるPopplerに複数の脆弱性が報告されており、Ubuntuのlibpopplerおよびlibpoppler-glibがアップデートされました。対象はUbuntu 6.06 LTS、8.04 LTS、8.10。 USN-759-1: poppler vulnerabilities | Ubuntu 元になっているのはこの脆…

Ubuntu 6.06 LTS、7.10、8.04 LTS、8.10それぞれのudevに下記の脆弱性が報告されています。1つはnetlinkメッセージの送信元が正しく検証されないことによってルート権限を奪取される危険性があること。もう1つはパスのエンコーディング中にバッファオーバー…

Ubuntu 6.06 LTS、8.04 LTS、8.10に搭載されているGhostscriptに下記の脆弱性が報告されています。ICCカラーマネージメントライブラリで整数オーバーフローが発生する危険があるとのことです。 USN-757-1: Ghostscript vulnerabilities | Ubuntu

Sun Java System Directory Server 5.2および同Enterprise Edition 5のオンラインヘルプ機能に以下の脆弱性が報告されています。リモートから、システム内に特定のファイルまたはディレクトリが存在するかどうかを読み取られる危険性があるとのことです。 ht…