いくつかbugtraqに流れていますね。@stakeから出ている3つの脆弱性はPantherで直っているみたいですが、Jaguarの修正パッチはでるんだろうか？ Apple Security UpdatesをチェックするとSecurity Update 2003-10-28がでていてQuickTime Javaまわりの修正が入…

けんのぼやき経由、Operashより。Opera 7.21日本語版を早速ダウンロードしました。

IPA/ISECより。この脆弱性のスキャナをメモってなかったので、いまごろメモ。 Retina Messenger Service Vulnerability Scanner eEye MS03-043 Messenger Service Scanning Utility, Version 2 ISS MessengerScan Foundstone

でました（笑 いつものようにOverViewだけリンク。デスクトップユーザが対象なのはMS03-041からMS03-045までの５つで、あとはExchange Serverのセキュリティホールです。 MS03-041: Authenticode の検証の脆弱性により、リモートでコードが実行される (82318…

MS03-039をあてても解決しない問題があるようですね。ISSが推奨するのは「Virtual Patchを適用してね。」とのこと。

ZDNetより。Webブラウザ用プラグイン「SVG Viewer」に脆弱性があった模様。多分使ったことないので入っていないと思うんですが、確認してみよう。 GM#002-MC:Adobe SVG Viewer Active Scripting Bypass GM#003-MC:Adobe SVG Viewer Local and Remote File Re…

土曜日にでるのはめずらしいですね。詳しくは下記URLや各所まとめにおまかせ (^^; マイクロソフト、IE 5.01以後が対象の緊急の脆弱性「MS03-040」 (InternetWatch)

OpenSSL 0.9.6jと0.9.7bを含むOpenSSL及びSSLeayの全てのバージョンにおいて脆弱性が発見されました。こりゃまた影響が大きいですね。ワームが出そうな予感。 発見元が公表しているNISCC Vulnerability Advisory 006489/OpenSSL: Vulnerability Issues in Im…

installer MLより。この脆弱性に伴って、proftpd-1.2.7p, 1.2.8p, 1.2.9rc1p, 1.2.9rc2p が出ていますね。 関連URL: http://www.proftpd.org/

sendmailのprescan()にバッファオーバーフローの脆弱性があるとのこと。Sendmail 8.12.10にアップグレードすればよいのですが、脆弱性があるバージョンはどこからなんでしょう。「8.9.x から変わっていないコード部分」であるとの指摘もありますし。 (関連) …

Solaris sadmind に脆弱性が見つかったとのこと。 使っていなければサービス止めておけばよいのですが、前回IIS sadmind Wormが流行ったときもインストールしたままの放置のSolarisがいっぱいあったし。変なパケット投げてくるソースIPをたたくと、案の定 60…

上記のOpenSSHに関するものです。exploit可能かどうかはまだ不明らしいです。関連するOpenSSH Security Advisoryはここ privilege separation を有効にしておけば、脆弱性の影響を低減できるとも書いてありますね。

stunnel-3.24以前でdaemonをハイジャックされるセキュリティホールが公表されています。 3.x系を使っている場合はstunnel-3.26にバージョンアップしましょう。4.00を使っている場合も4.04を使うようにしましょう。

今回はMS Office系のセキュリティーホールが多いですね。Office Updateしている人って周りで見たことなかったりするんですけど、世間的にもOfficeUpdate自体をしらない人っていっぱいいるんだろうなあ。各所でまとまっているので、とりあえず要約情報にだけ…

各所で早くもまとめられています。とりあえずメモ。 「MS03-032: Internet Explorer 用の累積的な修正プログラム (822925) 」に関する要約情報 「MS03-033: Microsoft Data Access Components のセキュリティ アップデート(823718)」に関する要約情報

「fb_realpath()」の機能の潜在的な弱点（ローカルやリモートのユーザがシステム に対するroot権限を未認証で得るおそれがありました）が解決します。

各所で話題になったIISSheildですが、DoS攻撃を受ける問題がみつかったようです。

Sun Solarisのld.so.1 が環境変数 LD_PRELOAD を適切にチェックしないためバッファオーバーフローによりローカルから権限昇格できるようです。

今週も出ているみたいですね。各所でまとめられているのでここではリンクだけにしておきます。 MS03-029: Windows の機能の問題により、サービス拒否が起こる (823803) MS03-030: DirectX の未チェックのバッファにより、コンピュータが侵害される (819696) …

セキュリティ問題を修正した「Apache 2.0.46」リリース などを読むと、mod_davとベーシック認証モジュールに問題があるようです。IISにも大きな穴が見つかったようで、Webサーバ管理者は大変な一日だったわけですね。

(R)日記より。セキュリティ関係のNEWSをまめにチェックしている人はご存知だと思いますが、Buffer overflows in multiple IMAP clientsの対応のようです。MozillaやEudora、OEなどもことごとくだめそうなので、入れ替えを早急に検討しましょう

Becky!独自のmailtoプロトコルの拡張によるセキュリティホールが修正されたようです。早速入れ替えました。

またかという感じですが、僕は特別な理由がなければもうsendmailを使いません。

Internet WatchなどによるとFlash Playerにあったbuffer overflowとsandbox integrityに関するバグを直したようです。前回もこんな感じのバグがあってパッチを当てましたが、一般のパソコンユーザはFlashパッチまで当てないですよねぇ？！。

OpenSSLのセキュリティFixがあったみたいです。同時にopenssl-0.9.6iもリリースされています。

BUGTRAQ-JPから。Norton AntiVirus 2002の脆弱性が指摘されています。Live Updateしておけばいいみたい。ここ そういえば、去年買ったNorton Internet Security 2003まだインストールしていなかったなあ。あーだめだめ。

こことかbugtraqとかbugtraq-jpとかに載ってますが、Opera 6.xで修正されないかもしれないので困ったなあと。Opera 7.01にするのはちょっと待ちたい気分だし。

AbsoluteTelnet, SecureCRT, Entunnel, SecureFx, and PuTTYが対象らしいです。また入れ替えしなっきゃ。iDEFENSE Security Advisory 01.28.03

いやー、すごいことが起きましたね。あちこちのメーリングリストで情報が飛び交っていて、土日はこの辺の情報収集したりで大変でした。SQL Serverのパッチって当てていないところ多いんじゃないですかね。