バグ・セキュリティ情報

このページでは過去の Linux に関わるバグ・セキュリティ情報を掲示しています. ここに掲載してあるのは相当に深刻なものだけであり, 全てのディストリビューションに発見された 全てのセキュリティホールを掲載しているわけではありません.

[ 最近のニュース & アナウンス | 2004 年 | 2003 年 | 2002 年 | インデックスへ ]

情報の掲載に関しては, このページの末尾をご覧ください.

2003/12

2003/12/05

rsync
2.5.6 以前のバージョンに, リモートから任意のコードを実行することが可能となる不具合が発見されました. 本不具合と先日発見された Linux Kernel の不具合を併用することにより, リモートから不正に root 権限を奪取することができる可能性があります. この問題に対応した 2.5.7 が公開されています. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0962
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/12/02

Linux Kernel
Linux Kernel 2.4.22 以前のバージョンに, ローカルユーザが root 権限を不正に取得可能な不具合が発見されました.
カーネルバージョン 2.4.23 以降あるいはバージョン 2.6.0-test6 以降に アップグレードするか, 各ディストリビューションで提供されるこの問題に関する対策済のカーネルに アップグレードしましょう.
CAN-2003-0961
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/10

2003/10/01

OpenSSL
0.9.6 系の 0.9.6j までのバージョン、および 0.9.7 系の 0.9.7b までのバージョンに, リモートからの DoS 攻撃を可能にしてしまう脆弱性が発見されました. 0.9.7 系ではリモートから第三者に任意のコードを実行されてしまう可能性がある脆弱性も発見されました. この問題に対応した 0.9.6k および 0.9.7c が公開されています. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
OpenSSL, CAN-2003-0543, CAN-2003-0544, CAN-2003-0545
[ Debian, RedHat, Vine, Turbolinux ]

2003/09

2003/09/23

OpenSSH
3.7 以前のバージョンに, リモートからの任意のコードの実行を可能にしてしまう脆弱性が発見されました. 一度対応版の 3.7p1 およびその修正版の 3.7.1p1 がリリースされましたが対応が不足であるとして, 新たに対応した 3.7.1p2 が公開されました. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0693, CAN-2003-0695, CAN-2003-0682, VU#333628, CA-2003-24,
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/09/19

sendmail
8.12.9 にリモートから sendmail の実行者権限での任意のコードの実行を可能にしてしまう脆弱性が発見されました. 対応した 8.12.10 が公開されています. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0681, CAN-2003-0694
[ Debian, RedHat, Turbolinux, Miracle ]

2003/09/18

OpenSSH
3.7 以前のバージョンに, リモートからの任意のコードの実行を可能にしてしまう脆弱性が発見されました. 一度対応版として 3.7p1 がリリースされましたが対応が不足であるとして, 新たに対応した 3.7.1p1 が公開されました. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0693, CAN-2003-0695, VU#333628, CA-2003-24,
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/08

2003/08/14

gnuftp.gnu.org
GNU プロジェクトのプライマリ FTP サーバである gnuftp.gnu.org が, 2003/03 から 2003/07 の最後の週までの間, 第三者により root 権限を奪取され, トロイの木馬が仕込まれていたことが分かりました. 当該期間中に FTP サーバ上で公開されていたアーカイブについても, 攻撃者によって不正なコードを含むものに置き換えられていた可能性があります. GNU プロジェクトでは公開している全アーカイブについて checksum を再生成し, 安全性の確認を行っています. 2003/03 から 2003/07 までの間に gnuftp.gnu.org およびそのミラーサイトからソースコード等を入手された方は, 早急に checksum を確認することをお勧めします.
GNU Project による説明
( 安全性の確認結果, まだ安全性が確認されていないファイルの一覧 )
CA-2003-21

2003/08/05

Postfix
1.1.12 以前のバージョンに, リモートから他のホストへの DDoS 攻撃のためのツールとして用いること, あるいは当該ホストに対する DoS 攻撃を行うことを可能にしてしまう脆弱性が発見されました. 対応した 1.1.13 が公開されています. また, 各ディストリビュータからも対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0468, CAN-2003-0540
[ Debian, RedHat, Vine ]

2003/08/01

wu-ftpd
2.5.0 から 2.6.2 までのバージョンに, ローカルおよびリモートからの root 権限の奪取を可能とする脆弱性が発見されました. 各ディストリビュータから対応したパッケージが公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0466
[ Debian, RedHat Turbolinux ]

2003/07

2003/07/18

PHP
4.3.1 以前のバージョンに, クロスサイトスクリプティングを可能にしてしまう脆弱性が発見されました. 対応した 4.3.2 以上のバージョン, または各ディストリビュータから公開されている対応したパッケージに アップグレードしておきましょう.
CAN-2003-0442
[ Debian, RedHat, Miracle ]

2003/07/16

nfs-utils
1.0.3 以前のバージョンに, 攻撃者による任意のコードの実行や DoS 攻撃を可能にする脆弱性が発見されました. 対応した 1.0.4 以上のバージョンまたは, 各ディストリビュータから公開されている対応したパッケージに, 早急にアップグレードしておきましょう.
CAN-2003-0252
[ Debian, RedHat, Vine, Turbolinux, Miracle ]
ypserv
2.7 より前のバージョンに悪意のあるクライアントからの DoS 攻撃を可能にしてしまう脆弱性が発見されました. 対応した 2.7 以上のバージョンまたは, 各ディストリビュータから公開されている対応したパッケージに, アップグレードしておきましょう.
CAN-2003-0251
[ RedHat, Turbolinux, Miracle ]

2003/07/10

unzip
5.50 にパス名に特定の文字列が含まれるようにアーカイブしたファイルを展開することによって, 任意のファイルを上書きしてしまう可能性がある脆弱性が発見されました. 各ディストリビュータから対応したパッケージが公開されていますので, アップグレードしておきましょう.
CAN-2003-0282
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/07/04

XFree86
4.2.99.4 以前のバージョンに攻撃者による任意のコマンドの実行や, ローカルユーザによる root 権限の奪取, DoS 攻撃などを可能にしてしまう複数の脆弱性が発見されました. 各ディストリビュータから対応したパッケージが公開されていますので, アップグレードしておきましょう.
XFree86, CAN-2001-1409, CAN-2002-0164, CAN-2002-1472, CAN-2003-0063, CAN-2003-0071
[ RedHat, Miracle ]

2003/06

2003/06/20

Adobe Reader / Xpdf
Adobe Reader (旧 Adobe Acrobat Reader) および Xpdf に, 不正なプログラムを含められた PDF ファイルを開くことにより, 任意のコードを実行してしまう脆弱性が発見されました. 対応した Adobe Reader 5.07 および Xpdf 2.02p11 が公開されていますので, アップグレードしておきましょう.
CERT/CC VU#200132 ( Acrobat, Xpdf ) CAN-2003-0434
[ RedHat, Turbolinux, Miracle ]

2003/06/15

Linux Kernel
2.4.20 までのバージョンに, リモートからの DoS 攻撃やローカルユーザによる root 権限の奪取が可能になるなどの, 複数の脆弱性が発見されました. 対応した 2.4.21 が公開されていますので, 早急にアップグレードしておきましょう. また, 各ディストリビュータから対応したパッケージも公開されています. なお, 2.2 系安定版カーネルでは 2.2.25 において, 対応が行われています.
CVE-2002-0429, CAN-2003-0001, CAN-2003-0127, CAN-2003-0244, CAN-2003-0246, CAN-2003-0247, CAN-2003-0248, CAN-2003-0364
[ Debian ( 1 2 3 ), RedHat ( 1 2 3 ), Vine ( 1 2 ), Turbolinux ( 1 2 ), Miracle ( 1 2 ) ]

2003/05

2003/05/29

Apache
2.0 から 2.0.45 までのバージョンに, リモートから DoS 攻撃や任意のコードの実行が可能になる脆弱性が発見されました. 対応した 2.0.46 が公開されていますので, Apache 2.x を利用している方は早急にアップグレードしておきましょう.
CAN-2003-0189 , CAN-2003-0245
[ RedHat ]

2003/05/15

lv
設定ファイルの読み込みに関する不具合を利用して, ローカルユーザが任意のディレクトリにファイルの書き込みを行うことができる脆弱性が発見されました.
CAN-2003-0188
[ Debian, RedHat ]
MySQL
3.23.55 以前のバージョンに, DoS 攻撃の可能性・不正なユーザ権限および root 権限の利用といった, 複数の脆弱性が発見されました. 該当するバージョンを利用している方は, 早急にアップグレードしておきましょう.
CAN-2003-0073, CAN-2003-0150
[ Debian, RedHat, Turbolinux, Miracle

2003/05/13

xinetd
バージョン 2.3.10 にメモリーリークを引き起こし DoS 攻撃を可能とする脆弱性が発見されました.
CAN-2003-0211
[ RedHat, Miracle, Turbolinux ]

2003/04

2003/04/14

LPRng
不正にシステムユーザ権限を利用することができる脆弱性が発見されました.
CAN-2003-0136
[ Debian, RedHat, Miracle ]

2003/04/10

Apache
2.0 から 2.0.44 までのバージョンに DoS 攻撃に関する深刻な脆弱性が発見されました. 対応した 2.0.45 が公開されていますので, Apache 2.x を利用している方は早急にアップグレードしておきましょう.
CAN-2003-0132
[ RedHat ]

2003/04/09

Samba
2.2.8 までのすべてのバージョンに, 匿名ユーザが root 権限を奪取することができる脆弱性が発見されました. 対応したバージョンの 2.2.8a が公開されていますので, 早急にアップブレードしておきましょう. また, 日本 Samba ユーザ会から提供されている Samba 日本語版については, 対応した Samba 2.2.7b 日本語版リリース1.0 が公開されています.
CAN-2003-0201, CAN-2003-0196
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/04/01

sendmail
不正なへッダーを含むメールを利用して, リモートから root 権限を奪取される可能性がある脆弱性が発見されました. 対応したバージョンの 8.12.9 が公開されていますので, 早急にアップグレードしておきましょう.
CAN-2003-0161, CA-2003-12, JPCERT-AT-2003-0004, ISEC
[ Debian, RedHat, Turbolinux Miracle ]

2003/03

2003/03/27

glibc
リモートから root 権限で任意のコマンドを実行することができる脆弱性が発見されました.
CAN-2003-0028, VU#516825, CA-2003-10
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/03/27

lpr
コマンド lprm にローカルユーザが root 権限を奪取することができる不具合が発見されました.
CAN-2003-0144
[ Debian, Turblinux ]

2003/03/23

Samba
2.0 から 2.2.7a までのバージョンに, 以下の 2 つの脆弱性が発見されました. 該当するバージョンを利用している方は早急にアップグレードしましょう.
1. リモートから root 権限を奪取される可能性
2. ローカルユーザがシステムファイルを上書きする可能性
Samba, CAN-2003-0085, CAN-2003-0086
[ Debian, RedHat, Turbolinux, Miracle ]

2003/03/20

Linux Kernel
ローカルユーザが root 権限を奪取することができる不具合が発見されました. 2.2 系では修正版の 2.2.25 がリリースされています. なお, この問題は 2.5 系 Kernel には関連しないようです.
CAN-2003-0127
[ RedHat, Vine, Turbolinux, Miracle ]

2003/03/19

Qpopper
バージョン 4.0.4 までの 4.0.x に, Qpopper を不正に利用することができる不具合が発見されました. 該当するバージョンを利用している方は, 早急にアップグレードしましょう.
CAN-2003-0143
[ Debian, Vine ]

2003/03/15

file
悪意を持って作成された ELF バイナリを file コマンドに入力することにより, file コマンドの実行者権限で任意のコマンドが実行できる不具合が発見されました. プリンタフィルタなどで内部的に file コマンドを利用している場合もあるため, 早急にアップグレードしておきましょう.
CAN-2003-0102
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/03/06

Macromedia Flash Player
悪意のある第三者に任意のコードを実行されてしまう可能性がある不具合が発見されました. 修正版の 6,0,79,0 が公開されているので, 早急にアップグレードしておきましょう.
Macromedia
Sendmail
5.79 から 8.12.7 までのバージョンに, リモートからルート権限を奪取される可能性がある不具合が発見されました. 修正版の 8.12.8 が公開されていますので, 早急にアップグレードしましょう. 各ディストリビュータから修正版のパッケージも公開されています.
CA-2003-07, CAN-2002-1337
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/02

2003/02/24

OpenSSL
OpenSSL 0.9.6 系の 0.9.6i 未満のバージョンと, 0.9.7 系の 0.9.7a 未満のバージョンに, 第三者に暗号を解読されてしまう可能性がある不具合が発見されました. この問題は 0.9.6i および 0.9.7a において修正されています.
CAN-2003-0078
[ Debian, RedHat, Vine, Turbolinux, Miracle ]

2003/02/20

Webmin
ウェブベースの管理ツールとして人気のある Webmin の 1.070 未満のバージョンに, 第三者が認証なしでログインすることを許可する可能性がある不具合が発見されました. 該当するバージョンを利用している方は早急にアップグレードしておきましょう. また, Usermin の 1.000 未満のバージョンにも同様の不具合が存在するようです.
CAN-2003-0101
[ Debian, Vine, Turbolinux ]

2003/02/10

PHP
PHP の 4.1.2 から 4.3.0 未満のバージョンに, リモートからの DoS 攻撃や任意のコマンドの実行を許可する可能性がある不具合が発見されました. 該当するバージョンを利用している方は, 修正版にアップグレードしておきましょう.
CAN-2002-1396
[ RedHat, Turbolinux, Miracle ]

2003/01

2003/01/22

CVS
CVS の 1.11.4 までのバージョンに, リモートから任意のコマンドを実行することが可能となる不具合が発見されました. 該当するバージョンを利用している方は修正版にアップグレードしましょう.
CAN-2003-0015, VU#650937
[ Debian, RedHat, Miracle, Turbolinux, Vine ]

2003/01/17

ISC DHCPD
ISC DHCPD のバージョン 3.0 から 3.0.1RC10 に, dhcpd の実行者の権限で任意のコマンドを実行することが可能となる不具合が発見されました. 該当するバージョンを利用している方は修正版にアップグレードしましょう.
CAN-2003-0026, VU#284857, CA-2003-01
[ Debian, RedHat, Turbolinux ]

「バグ・セキュリティ情報」の募集

Linux で動くプログラムが増えるにしたがって, セキュリティ ホールも増えて行きます. Webmasters は, 日々これらの情報を収集していますが, 現状では十分とは言えません. ですから, 皆様からの情報は大歓迎です. ぜひ webmaster@linux.or.jp までご一報下さい.

[ ホーム | マップ | ニュース | 検索 | ドキュメント | リンク | プロジェクト ]
このサイトに関するご意見・ご要望は Webmasters までお願い致します.
Copyright (C) 1998-2008 Webmasters of www.linux.or.jp. All Rights Reserved.
ご利用の際は免責・著作権情報をご覧ください.
$Id: 2003.html,v 1.8 2008/01/02 17:23:49 takei Exp $