http://www.mozilla.org/products/mozilla1.x/
日本語版も公開されています。ところで1.7.10日本語版を公開見合わせってありますけど、またFirefoxのときと同じことやったんですかね?
http://www.mozilla-japan.org/products/mozilla1.x/
http://www.mozilla.org/products/mozilla1.x/
日本語版も公開されています。ところで1.7.10日本語版を公開見合わせってありますけど、またFirefoxのときと同じことやったんですかね?
http://www.mozilla-japan.org/products/mozilla1.x/
http://www.webappsec.org/projects/threat/
slashdot.jp経由。米国のWASCが公開している、ウェブサイトのセキュリティに対する脅威の分類/体系化を行ったドキュメントの、日本語訳が公開されました。翻訳そのものは有り難い限りなんですが、/.jpでもしてきされているように英語版はTXTとPDFなのに日本語版はDOCとPDFになってしまっているのが解せないですね。
zlibに固定長バッファのサイズが小さ過ぎることによるバッファオーバーフローの脆弱性があるとのこと。対象は5.3, 5.4, 6.0beta。
IPSecにおいてAES-XCBC-MACアルゴリズムの実装にバグがあって、不正なキーでも認証が成功してしまう可能性があるとのこと。対象は5.3, 5.4, 6.0beta。
##さっきからAdvisoryのファイルが見えたり見えなくなったりしてるのは何だろう?
TNEF、CHM、FSGの各フォーマットのファイルの検証においてバッファオーバフローを起こす可能性があるとのこと。0.86.2で修正されており、すでにPortsもアップデートされています。
http://fetchmail.berlios.de/fetchmail-SA-2005-01.txt
fetchmail 6.2.5のPOP3機能にバッファオーバフローの脆弱性が発見されました。6.2.5.2で修正されています(6.2.5.1の修正は不完全)。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:17.devfs.asc
devfs(5)の欠陥で、jail(2)プロセスから隠蔽されているデバイスにアクセスできてしまうというものです。対象は5.x。
http://www.mozilla.org/products/firefox/all
http://www.mozilla.org/products/thunderbird/all.html
さすがに今回ばかりは各国語対応も早い…と思ったらThunderbirdの方はまだですね。兎にも角にもアップデートを。
追記: portsの日本語版も更新されましたね。それはそうとThunderbird日本語版はまだでしょうか。
http://www.mozilla.org/products/thunderbird/
1.0.2の次バージョンですが、番号をFireFoxに合わせて1.0.5です。Critical3件を含む9件の脆弱性が修正されています。日本語版はまだですが、そのうち↓からダウンロードできるようになるでしょう。
http://www.mozilla.org/products/thunderbird/all.html
なお、Mozillaにも前回FireFoxで修正された脆弱性が含まれるため、近々バージョン1.7.9がsリリースされる予定とのことです。
Open Soralisと同様の流れで、OpenSSOプロジェクトを通して2006年春までに順番にソースを公開していくそうです。
追記: 日本語記事
米Sun、認証/シングルサインオン(SSO)技術をオープンソース化 | エンタープライズ | マイコミジャーナル
「緊急」レベルの3件。要アップデート。
結構以前から言われていましたが、JCE 1.2.1の証明書期限切れに対する勧告です。デッドラインは日本標準時で7月28日6時43分。古いアプリケーションを使用している場合は念のためもう一度確認を。
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:16.zlib.asc
zlibのバグにより、細工された圧縮ファイルを読み込むことでバッファオーバフローを起こす可能性があるとのこと。対象は5.3および5.4。修正パッチが公開されています。
ipfw(8)を使用している際に、ルックアップテーブルの定義に不当なパケットがマッチする可能性がある。
bzip2に関する2件。特定のアーカイブがbzip2を無限ループに陥らせるというものと、ローカルファイルのパーミッションを変更できるというもの。
TCPに関する2件。いずれもDoS攻撃を許容する可能性があるというもの。
Telnetでアクセスすること自体が危険だってのはひとまず置いといて…。サーバからの要求で勝手に環境変数を送ってしまうそうです。
アプレット関連とJava Web Start関連で1件ずつあって、双方ともセキュリティポリシーをかいくぐってローカルファイルにアクセスさせる可能性があるというもの。J2SE 5.0 Update2/J2SE 1.4.2_08以降へ、要アップデート。
結局「緊急」3件を含む10件のようです。また、4月の月例パッチであるMS05-019についても不具合が見つかったため、修正版がリリースされたようです。
今月は10件だそうです。リリースは米国時間で14日。
同時に3つ。
BIND9のDNSSEC関連のコードにDoSを許容するバグが含まれ、named(8)が停止される恐れがあるとのこと。対象は5.3。BIND9.3.1で修正されている。
tcpdumpにDoSを許容する脆弱性があるとのこと。対象は5.3-RELEASEと5.4-RELEASE。
gzipにdirectory traversalに関する脆弱性があるとのこと。2つの問題があって、1つは任意のローカルファイルを上書きされる可能性があること、もう1つは任意のローカルファイルのパーミッションを変更される可能性があること。すべてのリリースが対象。