Software Labo.
Copyright © 2003 Yasuhiro ARAKAWA

コンピュータ・ネットワークのセキュリティに関する覚え書
2003年版

セキュリティ関連ニュース | ウイルス対策 | 技術ドキュメント リンク集 | セキュリティ関連ツール

[特集1] 無線LAN | [特集2] Microsoft TechNet Security より | [特集3] SQL Slammer

セキュリティ関連ニュース

マイクロソフトの公式情報については別章を参照してください。

2003/10/21 : Cross Site Java applets (BUGTRAQ)
2003/10/21 : Windows のメッセンジャサービスの脆弱性について (IPA/ISEC) → MS03-043 で FIX
2003/10/20 : Opera HREF escaped server name overflow (BUGTRAQ) → Opera 7.21 で FIX
2003/10/06 : ウイルス・不正アクセス届出状況(9月分及び第3 四半期) (IPA/ISEC)
2003/09/10 : RPCSS Vulnerabilities in Microsoft Windows (CERT/CC: CERT Advisory CA-2003-23), Windows RPCSS サービスの脆弱性について (IPA/ISEC) → MS03-039 で FIX
2003/08/21 : Internet Explorer Object Type Buffer Overflow in Double-Byte Character Set Environment (SNS Advisory No.68)MS03-032 で FIX
2003/08/21 : The Return of the Content-Disposition Vulnerability in IE (SNS Advisory No.67)MS03-032 で FIX
2003/08/13 : GNU Project FTP Server Compromise (CERT/CC: CERT Advisory CA-2003-21)
2003/08/06 : 不正アクセス届出状況(第2四半期分) (IPA/ISEC)
2003/07/17 : Cisco IOS に対するサービス妨害攻撃の可能性について (IPA/ISEC) → JVNCA-2003-17: 「Cisco IOS サービス運用妨害に関する脆弱性の攻略」参照
2003/07/17 : Windows RPC インターフェースの脆弱性について (IPA/ISEC) → MS03-026 参照
2003/07/16 : EdMaxの添付ファイル処理の欠陥により、ファイルが削除される (セキュリティホール memo ML) → EdMax 3.05,EdMaxフリー版 2.85.5F,プラグイン alist 1.02 で FIX。
2003/07/14 : Microsoft JET Database Engine 4.0 buffer overflow. (NTBugtraq) → JET 4.0 SP7 で FIX。
2003/07/09 : Apache HTTP Server v2 Causes a DoS When Parsing a Type-Map File (SNS Advisory No.66)Apache 2.0.47 で FIX
2003/07/07 : Internet Explorer 6 DoS Bug (Full-Disclosure ML)
2003/07/03 : Windows 2000 ShellExecute() API Let Applications to Cause Buffer Overflow (SNS Advisory No.65)Windows 2000 Service Pack 4 で FIX
2003/07/01 : 複数のメールソフトに不適切なセキュリティゾーンが適用される欠陥 (セキュリティホール memo ML): Datula,EdMaxフリー版,WeMail32,Winbiff,ドラえもんメールに弱点 → 対応状況については「セキュリティホール memo」の記事を参照のこと
2003/06/30 : [Opera 7] 単純なHTMLコードで起こるDoSの脆弱性 (:: Operash ::)
2003/06/02 : Yahoo! Audio Conferencing ActiveX control vulnerable to buffer overflow (CERT/CC: Vulnerability Note VU#272644), Yahoo!ボイスコントロールのセキュリティ脆弱性に対するアップデートについて (Yahoo) → Yahoo! メッセンジャーのバージョンが 1094a 以降であれば問題なし
2003/05/14 : Buffer overflows in multiple IMAP clients (BUGTRAQ): 該当する MUA 多数あり。 アップデート情報に注意。
2003/05/13 : IP Messenger for Win Buffer Overflow Vulnerability (SNS Advisory No.64)IP Messenger for Win ver 2.03 で FIX
2003/05/10 : Denial-Of-Service holes in JDK 1.4.1_01 (VulnDiscuss) → 1.4.1_02 で FIX
2003/05/07 : Problem: Multiple Web Browsers do not do not validate CN on certificates. (BUGTRAQ)
2003/05/05 : CORE-2003-0303: Multiple Vulnerabilities in Mirabilis ICQ client (BUGTRAQ) → POP3 クライアント機能と "ICQ Features on Demand" 機能を使わないことで回避可能。 ICQ Lite には影響がない
2003/05/04 : Key validity bug in GnuPG 1.2.1 and earlier (GnuPG) → 1.2.2 で FIX
2003/05/03 : Becky!の独自拡張機能に重大なセキュリティ欠陥 (スラッシュドット ジャパン) → Becky! 2.05.11 で FIX
2003/05/02 : 「Adobe Acrobat 5.0.5」に任意のコードを実行できる脆弱性 (INTERNET Watch) → パッチあり。 Acrobat 6 や Acrobat Reader には脆弱性はない
2003/05/01 : 2003年第1四半期[1月~3月]不正アクセス届出状況 (IPA/ISEC)
2003/04/28 : [Opera 7] JavaScriptコンソールにおける任意のスクリプト挿入による脆弱性 (:: Operash ::) → 7.11 で FIX
2003/04/28 : [Opera 7/6] ダウンロード時の長い拡張子で起こるヒープバッファオーバーランによる脆弱性 (:: Operash ::) → 7.11 で FIX
2003/04/24 : IEなどにDoS攻撃を受けるセキュリティホールが発覚 (スラッシュドット ジャパン)
2003/04/16 : Exploit/DoS in MS Internet Explorer 6.0 (BUGTRAQ)
2003/04/13 : Misuse of Macromedia Flash Ads clickTAG Option May Lead to Privacy Breach (SecuriTeam), Flash AD に CSS 脆弱性 (Net Scurity) → 利用者側は Javascript を無効にすることにより回避可能
2003/03/31 : iDEFENSE Security Advisory 03.31.03: Buffer Overflow in Windows QuickTime Player (VulnWatch) → QuickTime 6.1 for Windows で FIX
2003/03/31 : Sendmail にバッファオーバーフローの脆弱性 (JVN: JVNCA-2003-12) → Sendmail 8.12.9 でFIX。 ベンダ情報に注意
2003/03/28 : RealPlayer PNG deflate heap corruption vulnerability (VulnWatch) → 「RealNetworks、2003 年 3 月に RealOne Player および RealPlayer のセキュリティ脆弱性に対応するアップデートをリリース」 を見てアップデートすること。
2003/03/24 : 「iOffice」および「desknet's」にパスワードなしにログイン可能なセキュリティ欠陥 (セキュリティホール memo ML) → desknet's V2.1J R1.2 で FIX。 iOfficeV3 はサポートされないため desknet's に移行する必要がある
2003/03/21 : 米国を中心としたWebサイトの改ざんについて (ISSKK)
2003/03/19 : Klima-Pokorny-Rosa attack on RSA in SSL/TLS (OpenSSL.org): OpenSSL v0.9.7a と 0.9.6i に弱点 → OpenSSL 0.9.7b / 0.9.6j で FIX
2003/07/17 : Windows コンポーネントのバッファオーバーフロー脆弱性について (IPA/ISEC) → MS03-007 参照
2003/03/17 : Timing-based attacks on RSA keys (OpenSSL.org): OpenSSL v0.9.7a と 0.9.6i に弱点 → OpenSSL 0.9.7b / 0.9.6j で FIX
2003/03/10 : DeleGate Pointer Array Overflow May Let Remote Users Execute Arbitrary Code (SNS Advisory No.63)DeleGate 8.5.0 で FIX
2003/03/10 : [Opera 7/6] ダウンロード時の長いファイル名で起こるバッファオーバーフローによる脆弱性 (:: Operash ::) → Opera 7.03 で FIX。
2003/03/09 : .MHT Buffer Overflow in Internet Explorer (VulnWatch)
2003/03/04 : Sendmail に遠隔から攻略可能な脆弱性 (JVN: JVNCA-2003-07) → Sendmail 8.12.8 でFIX。 また各バージョンのパッチもある模様。 ベンダ情報に注意
2003/03/03 : 「PaSoRi (パソリ)」ドライバソフトウェアに関する重要なお知らせ (ソニー株式会社), ソニーのICカード「Felica」、カードリーダー用ソフトに脆弱性 (INTERNET Watch) → FeliCa Offline Viewer を含まない新しい FeliCa Secure Client にアップデートすること (「[memo:5560] 「FeliCa Offline Viewer」にクロスサイトスクリプティング脆弱性」 も参照のこと)
2003/03/03 : Security Patch for Macromedia Flash Player (Macromedia) → Macromedia Flash Player (6,0,79,0) で FIX
2003/02/26 : Secunia Research: Opera browser Cross Site Scripting (VulnWatch), → Opera 7.02 で FIX。 または 「Automatic redirection」 を有効にすることでも回避できる。
2003/02/24 : Webmin/Usermin Session ID Spoofing Vulnerability "Episode 2" (SNS Advisory No.62) → Webmin 1.070 および Usermin 1.000 で FIX
2003/02/21 : Multiple vulnerabilities in implementations of the Session Initiation Protocol (SIP) (CERT/CC: Advisory CA-2003-06), Session Initiation Protocol (SIP) の実装に複数の脆弱性 (JVN: JVNCA-2003-06) → ルータ等のベンダ情報に注意
2003/02/20 : Bypassing Personal Firewalls (vuln-dev ML: セキュリティホール mome の記事も参考になる): 複数のパーソナルファイアウォールで問題が確認されている模様 → Sygate Personal Firewall については最新版で FIX
2003/02/20 : Oracle Server に複数の脆弱性 (JVN: JVNCA-2003-05) → パッチまたは回避方法あり
2003/02/18 : Timing-based attacks on SSL/TLS with CBC encryption (OpenSSL.org) → 0.9.7a および 0.9.6i でFIX
2003/02/09 : Operaにおける長いユーザー名で起こるバッファオーバーフローによる脆弱性 (:: Operash ::) → Opera 7 以降でFIX。 6.05 については回避方法あり。
2003/02/04 : Opera's Security Model is Highly VulnerablePhantom of the OperaOpera ImagesOpera: What's NextSniffing Opera's Tracks (VulnWatch), Opera 7に多数のセキュリティホール (スラッシュドット ジャパン) → Javascript を無効にすることで回避可能。 日本語版はリリースされていません。 また上記不具合を修正した英語版 7.01 (GreyMagic 2/4 のニュース参照) がリリースされています。
2003/01/18 : IEのXSSバグで任意サイトのCookieが漏洩 (スラッシュドット ジャパン) → 回避方法 (MS02-068 を適用しても解消しないので注意)
2003/01/06 : Microsoft Windows Fontview Denial of Service Vulnerability (SecurityFocus HOME Vulns Info), OpenTypeフォントファイルがWindows 2000とXPをクラッシュ (Net Scurity)
2002/12/27 : 悪質な電話関係の「利用した覚えのない請求」が横行しています - 有料情報料、ツーショットダイヤル情報料など- (国民生活センター)

← 2002年

ウイルス対策

SQL Slammer に関する記事は特集 3 を参照してください。

← 2002年

[特集1] 無線LAN (昨年から引き続き)

← 2002年

[特集2] Microsoft TechNet Security より (昨年から昇格)

パッチ情報については 「MS Windows NT 4.0 / 2000 / XP セキュリティ対応状況」「MSIE 5.01 SP2 / 5.5 SP2 / 6 セキュリティ対応状況」 がお薦めです。 (英語ですが 「Unpatched IE security holes」 もお薦め)

リリース情報

MS Office のアップデートは「Microsoft Office ダウンロード」から可能。

セキュリティ情報

Microsoft 製品の技術情報 (上記以外)

← 2002年

[特集3] SQL Slammer

ベンダ情報については JVNCA-2003-04 が参考になります。 検出ツールなどを使って該当するバージョンの SQL Server や MSDE がインストールされていないか, この機会に確認されることをお薦めします。

Microsoft による公式発表

検出ツール

その他関連記事

技術ドキュメント リンク集

セキュリティ一般

暗号関連

その他補助情報

← 2002年

セキュリティ関連ツール

← 2002年