緊急が1件と重要が1件出ています。 MS04-027 : WordPerfect コンバータの脆弱性により、コードが実行される MS04-028 : JPEG 処理 (GDI+) のバッファ オーバーランにより、コードが実行される 特にMS04-028は緊急の修正で影響を受けるソフトウェア、コンポー…

窓の杜より。POPFile 0.21.0 と 0.21.1 で、ステルスモードを無効にしていた場合に任意の GIF/PNG/ICO/CSS/HTMLが読み取られる脆弱性があるそうで、0.21.2がリリースされています。 任意の GIF/PNG/ICO/CSS/HTML が読み取られる脆弱性が発見されました (sour…

ssh ML経由Slashdotより。PuTTY 0.54以前に深刻なセキュリティホールがあり、version 0.55がリリースされています。 [ssh:00212] PuTTYに任意のコードを実行するセキュリティホールによると「SSHの部分にPuTTYを利用している FileZillaやWinSCPにも影響があ…

Check Point VPN-1製品にASN.1の脆弱性があるとのこと。VPNネゴシエーションの間にバッファオーバーランを起こす可能性があり、 Aggressive Mode IKEを使っているときには単一のパケットで攻撃が可能とのこと。最新のHFAをあてるか、ASN.1 Hotfixを当てるこ…

OperaにまたURLをスプーフィングできる脆弱性が見つかったそうです。version 7.53でも発生するとのことなので、Opera 7.5日本語版の発売がまた延期になっちゃうんじゃないかと心配…。 Operaに1カ月で4度目となるURLを詐称できる脆弱性が発見される (Internet…

はやくもUtility Managerの脆弱性をつくExploitコードが出ています。ローカルからの権限昇格なので直接ワームになることはないと思いますが、ほかのExploitコードもすぐに出てきそうなので要注意ですねぇ。

今回はたくさん出てます。緊急(MS04-022, MS04-023)が2件なのですが不具合情報もあがってきているようなので何台か当てて様子を見てみるか。 MS04-018 - Outlook Express 用の累積的なセキュリティ更新プログラム MS04-019 - ユーティリティ マネージャの脆…

Secuniaより。IEやらMozillaやらでいろいろバグが報告されていますが、全然追い切れていないのでOperaくらいは抑えておかないと…。 手元でもやってみましたが、Opera 7.52でもURL詐称できちゃいますね。Java Scriptを無効にしないとダメか。 tessyの日記をみ…

マイクロソフトより。IEとIISの脆弱性をつくもののようですね。あとで調べるためポインタを(^^; Download.Ject に関する情報 (セキュリティホール memo) Download.Ject (tessyの日記)

4つの潜在的なセキュリティ問題を修正してリリースされています。 CAN-2003-0987 In mod_digest, verify whether the nonce returned in the client response is one we issued ourselves. This problem does not affect mod_auth_digest. CAN-2003-0020 Esc…

Symantec Norton Internet Security 2003/2004やNorton Personal Firewall 2003/2004などに脆弱性があり、LiveUpdateにてパッチが提供されるそうです。 eEyeのUpcoming Advisories EEYEB-20040309にあるやつかな。もう消えてAdvisoryがでててもおかしくない…

CISCO IOS 12.X シリーズに、SNMP メッセージの処理に関する脆弱性が発見されたようです。 CISCO IOS における SNMP メッセージ処理の脆弱性 (JPCERT/CC) Cisco IOS における SNMP メッセージ処理の脆弱性について (IPAセキュリティセンター)

NISCCより。TCPに「長時間接続を維持し続け，ソースアドレス，デスティネーションアドレス，ポートが既知かあるいは推測可能なアプリケーションに対し，容易にサービス不能攻撃を可能とする脆弱性」があるとのこと。長時間に及ぶ TCP セッションとしてBGPが…

新しくリリースされたパッチは緊急が3つに重要が1つの計4つですが、MS04-011が強烈で14個の脆弱性を直す累積パッチになってます。手元では以下の4つとIEのパッチの計5つが重要な更新の対象でした。 MS04-011 - Microsoft Windows のセキュリティ修正プログラ…

明日パッチが出るかもしれないからメモ。 Internet Explorer showHelp() Restriction Bypass Vulnerability (セキュリティホールmemo) IEに脆弱性、完全な解決策は存在せず (ITmedia) IE脆弱性を狙ったウイルスが登場、MSは「対策を進めている」 (ITmedia) …

Check Point Smartview Trackerがバッファオーバーフローしますよ。という話。危険度はかなり低そうですね。

Ethereal 0.8.14から0.10.2に13個のリモートからスタックオーバーフローを引き起こす脆弱性が見つかったそうです。脆弱性のあるディセレクターはBGP, EIGRP, IGAP, IRDA, ISUP, NetFlow, PGM, TCAP, UCPで、今週中にリリースされるversion 0.10.3で修正予定…

NGSSoftwareより。Norton Internet Securityに外部からのマシンの乗っ取りを可能とする脆弱性が発見されたようです。ついこないだインストールしたばっかりなのに。 てっきりeEyeのEEYEB-20040309だと思ってたんですが、違ったようですね。ってことはまたす…

このバージョンは主にバグフィックスのためのリリースで、3つの脆弱性を修正しているとのこと。 (3/22: 追記) Apache 2.0.49リリース (Slashdot)

Ciscoの複数の製品に対しOpenSSLの脆弱性の影響を受けるようです。影響範囲広いなぁ。

2つの脆弱性が見つかっており、OpenSSL 0.9.7dと0.9.6mがリリースされています。 1. Null-pointer assignment during SSL handshake do_change_cipher_spec() 関数にnull-pointer 割り当てをしてしまう欠陥が あるため、リモートの攻撃者はOpenSSLライブラリ…

また、ISS社のIDSとSymantec社のPersonal Firewallに脆弱性が見つかっているんですね。 ・EEYEB-20040308 Software Affected: RealSecure (all versions) BlackICE (all versions) ・EEYEB-20040309 Software Affected: Norton Internet Security 2004 Norto…

PantherでのAFP接続において、SSHを使用する設定にしていても実際は使用されずに平文で流れてしまう、という問題があるようです。 Multiple issues with Mac OS X AFP client (harden-mac ML)

VulnWatchより。Mac OS X 10.3.2以下のPPPデーモンに脆弱性が発見されました。 対策するには Security Update 2004-02-23 を適用します。

ZoneAlarm 4.0以上を使っている方はアップグレードしましょう。 パーソナル・ファイアウオール「ZoneAlarm」にセキュリティ・ホール (ITPro)

bugtraqより。Linux kernelのメモリ管理コードに深刻なバグが見つかっていて、local exploit可能のようです。影響を受けるのは次のバージョンです。 Version: 2.2 up to 2.2.25, 2.4 up to 2.4.24, 2.6 up to 2.6.2 2.4.25＆2.6.3リリース、root権限取得な脆…

ASN.1関係の脆弱性と聞いてOpenSSLの脆弱性のことが頭に浮かんだのですが、tessyの日記に書かれているように関係あるんでしょうね。 WindowsのASN.1ライブラリに致命的な欠陥、影響は特大 (Slashdot) Windowsにとても危険なセキュリティ・ホール，仕事前にま…

Microsoft ASN.1 Library の未チェックのバッファが原因となり、バッファ オーバーフローの脆弱性が起こる可能性があります。 絵でみるセキュリティ情報 MS04-007 (Microsoft) Microsoft ASN.1 Library Length Overflow Heap Corruption (eEye Digital Secur…

Windows インターネット ネーム サービス (WINS) にセキュリティ上の脆弱性が存在し、特別な細工がされたパケットの長さを WINS が検証する方法に問題があるためにバッファオーバフローが起こります。 絵でみるセキュリティ情報 MS04-006 (Microsoft)

Virtual PC for Mac が実行されている時、Virtual PC for Mac が一時ファイルを作成する方法に脆弱性が存在します。 絵でみるセキュリティ情報 MS04-005 (Microsoft)