Security
AppleによるQuickTime for Windowsのサポート終了という報道を受けて、アドビシステムズがQuickTimeに依存するツールへの対応方針を発表しました。
Java SEについて、セキュリティ勧告「CVE-2010-4476」がリリースされています。 http://blogs.oracle.com/security/2011/02/security_alert_for_cve-2010-44.html"2.2250738585072012e-308"という文字列をDouble.parseDouble()などでdouble型に変換しようと…
SANS Internet Storm Centerに掲載された投稿で、不正アクセスなどによるコンピュータセキュリティ・インシデントが発生した場合の対策について、こんなインシデントレスポンスはしてはいけないという内容の紹介です。 Internet Storm Center - Internet Sec…
phpMyAdminにクロスサイトスクリプティングを許容する脆弱性が報告されています。攻撃者は加工されたSQLブックマークを用いて攻撃を行うことが可能とのことです。SQLブックマークをサポートした3.x系が対象であり、対策を施したバージョン3.2.0.1がリリース…
サーバ・ネットワーク監視ツールのNagiosにコマンドインジェクションを許容する脆弱性が報告されています。statuswml.cgiにおいてpingパラメータに渡された値を適切にチェックしないため、ここに任意のコマンドを入力して実行できてしまう危険性があるとのこ…
fork(2)においてデッドロックが発生する問題が報告されています。子プロセス作成時に、他のスレッドでmalloc(3)が行われていると、作成した子プロセスでデッドロックが発生するとのことです。対象はFreeBSD 7.2で、回避するためにはシステムをアップデートす…
fxp(4)ネットワークデバイスドライバにおいて、TSOオプションが有効になっている場合にパケットロスが多発して通信性能の劣化が発生する可能性があると報告されています。対象はFreeBSD 7.2で、回避するためにはTSOオプションを無効にするか、システムのアッ…
bce(4)ネットワークデバイスドライバに、lagg(4)と組み合わせた場合に動作が停止してしまう危険性のある問題が報告されています。対象はFreeBSD 7.2で、回避するためにはシステムをアップデートするかパッチを適用してカーネルを再構築する必要があります。 …
GStreamer Good Pluginsにおいて、壊れたPNGイメージファイルを正しく扱わないという問題が報告されています。この問題によってアプリケーションのクラッシュや任意コードの実行が行われる危険性があるとのことです。対象となるのはUbuntu 6.06 LTS、 8.04 L…
cscopeにバッファオーバーフローを引き起こす複数の脆弱性が報告されており、修正版がリリースされています。15.6で1件の、15.7aで2件の問題が修正されているので、15.7a以降のバージョンへアップデートするのが望ましいかと思います。 VuXML: cscope -- mul…
joomlaに複数の脆弱性が報告されており、修正版がリリースされています。対象はjoomla5 1.5.10以前のバージョン。詳細は以下を参照してください。 VuXML: joomla -- multiple vulnerabilities
Pidginに複数の脆弱性が報告されており、修正版がリリースされています。対象はバージョン2.5.5以前のpidgin、finch、libpurple。詳細は以下を参照してください。 VuXML: pidgin -- multiple vulnerabilities
gitにサービス拒否攻撃を許容する脆弱性があるとのことで、バージョン1.6.3.2_1へのアップデートが必要になっています。 VuXML: git -- denial of service vulnerability
ntpd(8)において「autokey」の設定を利用した場合、スタックベースのバッファオーバーフローを引き起こす危険性があるという問題が報告されています。この問題によって任意コードの実行やデーモンのクラッシュ、サービス拒否などが行われる危険があるとのこ…
ipv6のSIOCSIFINFO_IN6 ioctlにおいて、本来必要であるはずのパーミッションチェックが行われていないという問題が報告されています。この問題によって、rootでないユーザやjails内のユーザでもIPv6インタフェースのプロパティを設定できてしまうとのことで…
FreeBSDのpipeに整数オーバーフローの脆弱性が報告されています。この問題によってメモリ上の残された情報を他のプロセスから不正に読み取られる危険性があるとのことです。全てのバージョンが対象で、システムをアップデートするか対策パッチを適用する必要…
FreeBSDを使う上で抑えておくべきセキュリティ上のチェック項目一覧だそうです。関連するドキュメントへのリンクも記載されています。 The FreeBSD Forums • View topic - Unofficial FreeBSD Security Checklist / Links / Resources
先日リリースされたMac OS X向けJavaの最新版に、Sunが数ヵ月前に修正済みであるアプレット関連の脆弱性が残ったままになっているとのことです。 不正アプレットで悪用の恐れ:Mac OS Xの最新版に残るJavaの脆弱性 - ITmedia エンタープライズ US-CERTとInte…
ntpに複数の脆弱性が報告されており、パッケージがアップデートされています。ひとつはntpqでバッファオーバーフローが発生する危険性があるというもので、これによってサービス拒否攻撃や任意コードの実行が可能になるとのこと。もうひとつはautokeyにおい…
OpenSolarisおよびSolaris 10においてThinderbird 2.0.0.19がアップデートされ、以下の問題が修正されました。 鼓動時に任意のコードが実行される危険のある脆弱性 権限の無いデータへのアクセスを許容する脆弱性 クロスサイトスクリプティングによりアクセ…
SolarisのPostgreSQLにおいて、エンコーディングの変換が適切に行われないためDoS攻撃を許容する危険があるという問題が報告されています。Ubuntuにおけるこの問題と同様のものです。対象となるのはSolaris 10に搭載されるPostgreSQL 8.1から8.3、OpenSolari…
SolarisのSimple Authentication and Security Layer (SASL)ライブラリにおいて、 文字列をbase64にエンコードする際にバッファオーバーフローが発生する危険のあるバグが報告されています。この問題と同様のものです。対象となるのはSolaris 10とOpenSolari…
Sun GlassFish Enterprise Server v2.1およびSun Java System Application Server Platform Edition 9.1においてクロスサイトスクリプティングを許容する脆弱性が報告されており、これによって任意のJavaScriptコードが実行される危険性があるとのことです。…
libxineに複数の脆弱性が報告されており、対策を施したバージョンがリリースされています。最新版はlibxine 1.1.16.3です。 まず、libxine 1.1.16.2で修正されたのは、FFmpeg(およびFFmpeg library)において4Xムービーファイルをパースする際に任意のコー…
ghostscriptにバッファオーバーフローの危険がある脆弱性が報告されており、portsがアップデートされています。この問題はユーザによる入力をチェックしないままバッファにコピーしようとすることで引き起こされ、リモートから不正にメモリ領域を上書きされ…
drupalにクロスサイトスクリプティングを許容する脆弱性が報告されており、 drupal5およびdrupal6がアップデートされています。この脆弱性は常々指摘されてきたUTF-7の不完全さに起因するもので、UTF-8仕様に準拠したバイト列がUTF-7として解釈された場合に…
cyrus-saslのsasl_encode64()に、文字列をbase64にエンコードする際にバッファオーバーフローが発生する危険のあるバグが報告されています。対象はバージョン2.1.22で、対策を施したバージョン2.1.23がリリースされています。 VuXML: cyrus-sasl -- buffer o…
libwmfに2件の脆弱性が報告されており、portsがアップデートされています。 ひとつはこのエントリのものと同じでGDライブラリによるメモリ使用に関するもの。もうひとつはWMFファイル内の値チェックを行わないために引き起こされる整数オーバーフローによる…
mod_perlのApache::StatusおよびApache2::Statusの処理にクロスサイトスクリプティング脆弱性が報告されており、portsがアップデートされています。対象となるのはmod_perl 1.30以前およびmod_perl2 2.04以前のバージョンです。 VuXML: mod_perl -- cross-si…
moinmoinにクロスサイトスクリプティングを許容する複数の脆弱性が報告されており、portsがアップデートされています。対策が施された最新版はバージョン1.8.3。1.8.2でaction/AttachFile.pyとsecurity/antispam.pyのパラメータチェックに関する部分が修正さ…