バグ・セキュリティ情報

このページでは過去の Linux に関わるバグ・セキュリティ情報を掲示しています. ここに掲載してあるのは相当に深刻なものだけであり, 全てのディストリビューションに発見された 全てのセキュリティホールを掲載しているわけではありません.

[ 最近のニュース & アナウンス | 2003 年 | 2002 年 | 2001 年 | インデックスへ ]

情報の掲載に関しては, このページの末尾をご覧ください.

2002/11

2002/11/24

Samba
Samba 2.2.2 から 2.2.6 のハッシュ化パスワードの複合処理に, root 権限の奪取が可能となる不具合が発見されました. The Samba Team から修正版の 2.2.7 が公開されていますので, 該当するバージョンを利用している方は早急にアップグレードしましょう. また, Samba 日本語版では日本語対応時にこの不具合は修正されています.
Samba
[ Debian, RedHat ]

2002/11/19

BIND 4.x / BIND 8.x
BIND4 の 4.9.10 までのバージョンと, BIND8 の 8.3.3 までのバージョンに, リモートから任意のコマンドを実行することが可能な不具合が見つかりました. BIND4 および BIND8 を利用している方は, 早急に最新版の 4.9.11 または 8.3.4 にアップグレードしておきましょう. また, 各ディストリビュータからアップデートパッケージも配布されています. なお, 今回の不具合に関して BIND9 は問題ないようです.
BIND, CIAC, CAN-2002-1219, CAN-2002-1220, CAN-2002-1221, VU#844360, VU#852283, VU#229595, VU#542971
[ Debian, Vine, Turbolinux ]

2002/11/13

Apache
複数の弱点が発見されました. リモートからの攻撃に対する弱点も発見されています. Apache ウェブサーバを利用している方は, 早急に最新版や各ディストリビュータの配布しているアップデートパッケージにアップグレードしておきましょう.
BugTraq 5847, BugTraq 5884, CAN-2002-0839, CAN-2002-0840, CAN-2002-0843, CAN-2001-0131, CAN-2002-1233
[ Debian (apache), Debian (apache-ssl), Debian (apache-perl), Vine, Turbolinux ]

2002/11/05

mod_ssl
Apache に SSL 機能追加するために利用される mod_ssl に, クロスサイトスクリプティングに関する弱点が発見されました.
CAN-2002-0840
[ Debian, Vine ]

2002/10

2002/10/24

NIS
リモートからの攻撃にたいしてメモリーリークを起こしてしまう弱点が発見されました. 利用している方は, 早急に 3.9 以降のバージョンにアップグレードしましょう.
CAN-2002-1232
[Debian, Red Hat]

2002/09

2002/09/18

PHP
mail() 関数および fopen() 関数に, 本来行われるべきではない処理が行われてしまう不具合が発見されました. 最新版や各ディストリビュータの配布しているアップデートパッケージにアップグレードしておきましょう.
BugTraq 5681, CAN-2002-0985, CAN-2002-0986
[Debian, Red Hat]

2002/09/14

PostgreSQL
オブジェクト指向リレーショナルデータベース PostgreSQL に複数の問題が発見されました. 最新の PostgreSQL 7.2.2 においてほとんどの問題が修正されていますので, アップグレードしましょう.
PostgreSQL, CAN-2002-0972
[ Debian ]

2002/08

2002/08/10

OpenSSL
Secure Socket Layer (SSL) のフリーな実装である OpenSSL に, リモートから任意のコードを実行できる弱点が発見されました. さらに, 修正版であった OpenSSL 0.9.6e にも依然として問題があることが判明したため 2002/08/09 に OpenSSL 0.9.6g が公開されました.
CAN-2002-0659,
[ Red Hat, Turbolinux Vine ]

2002/08/02

OpenSSH
一部の OpenSSH のソースコードのパッケージに, 侵入者によって書き換えられた不正なものが見付かっています. 不正な書き換えの行われたパッケージが見付かったのは, ftp.openssh.com 及び ftp.openbsd.org の二つのサイトで, 2002/07/30 から 31 にかけて送り込まれ, 8/1 の 13:00 に, 管理者によって正当なバージョンに戻されました. 但し, ミラーサイトではそれ以後も不正なバージョンが残っている可能性があります.
このパッケージはトロイの木馬タイプの裏口コードを含んでおり, 書き換えられたコードをコンパイルすると (つまりコンパイルしただけで, できたバイナリを実行しなくとも), そのホストをリモートから乗っ取るコードが実行されます.
以上のかいざんが確認されているソースコードパッケージと、 その正当なバージョンの MD5 チェックサムは以下の通りです。
459c1d0262e939d6432f193c7a4ba8a8 openssh-3.4p1.tar.gz
d5a956263287e7fd261528bb1962f24c openssh-3.4p1.tar.gz.sig
39659226ff5b0d16d0290b21f67c46f2 openssh-3.4.tgz
9d3e1e31e8d6cdbfa3036cb183aa4a01 openssh-3.2.2p1.tar.gz
be4f9ed8da1735efd770dc8fa2bb808a openssh-3.2.2p1.tar.gz.sig
インストールしたバージョンの MD5 チェックサムを点検しましょう. 書き換えられたバージョンを使っていた場合は, 不正アクセスが成功してしまった可能性は極めて高いと考えられます. 再インストール等の対策が必要かもしれません.
この件に関する CERT 勧告

2002/07

2002/07/31

OpenSSL
Secure Socket Layer (SSL) のフリーな実装である OpenSSL に, リモートから任意のコードを実行できる弱点が発見されました. 各ディストリビュータから更新パッケージが公開されていますので、早急にアップグレードしましょう。
OpenSSL, CERT
[ Debian, Red Hat ]

2002/07/23

PHP
PHP のバージョン 4.2.0 および 4.2.1 にリモートから任意のコードを実行, あるいはウェブサーバを停止することができる弱点が発見されました. PHP 4.2.x を利用されている方は, 最新の PHP 4.2.2 にアップグレードしましょう.
PHP
CERT 勧告

2002/07/04

mod_ssl
Apache に SSL 機能追加するために利用される mod_ssl に, リモートから任意のコードを実行できる弱点が発見されました.
SecurityForcus
[ Debian, Red Hat, Vine, Turbolinux ]
BIND (resolver)
BIND の resolver にセキュリティホールが発見されました. 特定のデータを送信することによって, named を実行しているユーザの権限を奪うことができます。
CERT 勧告
[ Turbolinux ]

2002/06

2002/06/27

OpenSSH
バージョン 2.9.9 から 3.3 の OpenSSH に, リモートから root 権限を奪うことができる弱点が発見されました. この問題に対応した最新バージョン 3.4p1 が公開されています. 各ディストリビュータからも, 修正パッケージが公開されています. また, バージョン 2.0 から 3.0 にはすでに別の弱点があることが発見されているため, それ以前のバージョンを利用している場合も, 早急にアップグレードしておきましょう.
OpenSSH Team による勧告
Internet Security Systems による勧告
CERT 勧告
[Debian, Vine, Red Hat, Kondara]

2002/06/19

Apache
現在利用されている殆んどのバージョンの Apache ウェブサーバに, DoS 攻撃を行われてしまう弱点が発見されました. また, (32-bit 環境, 64-bit 環境どちらでも) リモートから悪質なプログラムを実行することが可能となる問題も発見されています. この問題に対応した最新バージョンである 1.3.26 および 2.0.39 が Apache HTTPD Project から公開されています. 各ディストリビュータからも修正パッケージが公開されています. Apache ウェブサーバを利用している方は, 早急にアップグレードしておきましょう.
本件に関する CERT 勧告 CA-2002-17
[Debian, Red Hat, Vine, Kondara, Turbolinux]

2002/05

2002/05/09

dhcpd
ISC (Internet Software Consortium) のリリースする dhcpd に致命的な不具合があり, NSUPDATE オプションが有効な場合, (デフォルトで有効になっている) リモートから dhcpd が動作しているホストにおいて dhcpd 起動ユーザ権限 (大抵は root) で任意のコードを実行される 危険があります. 直ちに NSUPDATE オプションを無効にして dhcpd を再起動するか, dhcpd を停止し、バージョン 3.0p1 以降にアップグレードしましょう.
本件に関する CERT 勧告 CA-2002-12, DHCP@ISC

2002/04

2002/04/26

sudo
別のユーザとしてコマンドを実行するためのプログラムである sudo の 1.6.6 未満のバージョンに, ローカルユーザが root 権限を乗っ取ることができる不具合が見つかりました. 各ディストリビュータから修正版のパッケージが公開されていますので, 更新しておきましょう.
CVE, Global InterSec LLC
[Debian, Red Hat, Vine]

2002/03

2002/03/13

zlib
データ圧縮ライブラリ zlib に不具合があり, これをリンクしたプログラム (ネットワーク関連では cvs, ssh, rlogin, rsh 等) で任意のコードを実行される 危険があります. 直ちに zlib を最新版にアップグレードし, このライブラリをリンクしたサーバは全て再起動してください. サーバを特定できない場合は安全のため, システムごと再起動するのが良いでしょう.
CERT 勧告
[Debian, Red Hat, Vine, Turbolinux, Plamo Linux]

2002/03/12

Apahce-SSL, mod_ssl
多くのウェブサイトで利用されている Apache-SSL および mod_ssl にバッファオーバーフロー問題が発見されました. この問題を修正した Apache_SSL 1.3.22+1.46 および mod_ssl 2.8.7 が公開されていますので, アップグレードしましょう. また各ディストリビュータから修正パッケージも公開されています.
Apahce-SSL, CIAC
[Debian, RedHat, Vine, Turbolinux]

2002/03/09

OpenSSH
ほとんどのディストリビューションにおいて, 標準の暗号化リモートログインシェルとして採用されている OpenSSH の 2.0 から 3.0.2 までのバージョンに, ローカルユーザが不正にルート権限を取得することができるバグが発見されました. この問題を修正した OpenSSH 3.1 が公開されていますので, アップグレードしましょう. また各ディストリビュータから修正パッケージも公開されています.
OpenSSH, PINE-CERT, SecurityFocus, CIAC
[Debian, RedHat, Vine, Turbolinux, Plamo Linux ]

2002/03/02

PHP
多くのウェブサイトで利用されている HTML 組み込みスクリプト言語である PHP (PHP3 および PHP4) に, リモートから任意のプログラムを実行することができるバグが発見されました. この不具合を利用することによって, 攻撃者が root 権限を乗っ取ることも可能になってしまいます. 早急に 4.1.2 以上のバージョン, もしくは各ディストリビュータが公開している修正パッケージにアップグレードしましょう.
CERT, CIAC, SecurityForcus
[Debian, RedHat, Turbolinux]
Squid
ウェブプロキシキャッシュ Squid に, いくつかのセキュリティ上深刻な不具合がみつかっています. 最新のバージョンまたは各ディストリビュータが公開している修正パッケージにアップグレードしましょう.
Squid
[RedHat, Turbolinux]

2002/02

2002/02/20

ncurse
ライブラリ ncurse にロ-カルユ-ザに悪用されるかもしれない不具合が 見つかっています.ncurse-5.0 系ユ-ザはアップグレ-ドした方が良いでしょう.
[Debian, RedHat]

2002/02/13

snmp
多くの snmp プロトコルの実装にかなり深刻なセキュリティ上の不具合が 発見されています. サービスを継続運用する場合は, 直ちに不具合の修正されたバージョンに アップグレードしてください.
本件に関する CERT 勧告, JPCERT/CC の注意喚起
[RedHat, Debian, Turbolinux]

2002/01

2002/01/31

rsync
rsync にリモートから任意のコマンドを実行することができる不具合が見つかっています. 至急, 最新のものにアップデートをしてください.
[SecurityFocus Debian, RedHat, Vine, Turbolinux]

2002/01/17

sudo
sudo にローカルユーザが容易に root 権限を乗っ取ることができる不具合が見つかっています. 各ディストリビュータから修正版パッケージが公開されていますので, アップグレードしてください. [Debian, Vine, RedHat, Turbolinux]

2002/01/15

glibc
glibc (GNU C Library) の一部のヴァージョンに, 任意のコードを実行されてしまう可能性のあるセキュリティホールが見つかっています. 各ディストリビュータから修正版パッケージが公開されていますので, アップグレードしてください. [Debian, RedHat, Vine, Turbolinux]

「バグ・セキュリティ情報」の募集

Linux で動くプログラムが増えるにしたがって, セキュリティ ホールも増えて行きます. Webmasters は, 日々これらの情報を収集していますが, 現状では十分とは言えません. ですから, 皆様からの情報は大歓迎です. ぜひ webmaster@linux.or.jp までご一報下さい.

[ ホーム | マップ | ニュース | 検索 | ドキュメント | リンク | プロジェクト ]
このサイトに関するご意見・ご要望は Webmasters までお願い致します.
Copyright (C) 1998-2008 Webmasters of www.linux.or.jp. All Rights Reserved.
ご利用の際は免責・著作権情報をご覧ください.
$Id: 2002.html,v 1.9 2008/01/02 17:23:49 takei Exp $