security
2005/06/08
2005/05/28
2005/05/25
ITmedia エンタープライズ:DNSプロトコル実装に脆弱性――DoS攻撃の可能性も
この脆弱性によりDoS攻撃によってDNSサーバが異常終了する可能性があるとのこと。詳細はhttp://www.niscc.gov.uk/niscc/docs/al-20050524-00433.htmlを参照。
2005/05/21
Mozilla 1.7.8日本語版リリース
http://www.mozilla-japan.org/releases/mozilla1.7.8/
いくつかの重要な脆弱性の修正版。くわしくはMozilla Foundation セキュリティアドバイザリを参照してください。
2005/05/19
Wiki クローンにおけるXSSの脆弱性
http://jvn.jp/jp/JVN%23465742E4/index.html
複数のWikiのクローン実装において、クロスサイトスクリプティングの脆弱性が存在することが発表されました。問題となるのはファイル添付機能で、任意のスクリプトを実行される可能性があるそうです。
2005/05/15
FreeBSD セキュリティ勧告
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:09.htt.asc
Hyper-Threadingが有効なシステムにおいて、実行中のスレッドのローカル情報が悪意のある他のスレッドから読み取られる危険性がある、とのことです。Hyper-Threadingを無効にすることでこの問題は回避できます。
2005/05/12
Firefox 1.0.4英語版リリース
http://www.mozilla.org/products/firefox/
先日発表された「極めて重大」な2件の脆弱性が修正された他、DHTMLのバグに対処した。詳しくはリリースノートを参照。なお現時点では英語版とフランス語版のみダウンロード可能となっており、日本語版は公開されていない。
追記:日本語版はhttp://www.mozilla.org/products/firefox/allからどうぞ。
2005/05/10
2005/04/28
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
高木先生によるクロスサイトリクエストフォージェリを防止するための正しい解決策の解説。要するに、セッション追跡情報はクッキー経由のものとフォーム経由のものを両方確認しなさいということ。ところで、最近になってCSRFが突然話題になり出したのはmixiの「はまちちゃん」トラップの影響ですかね。
ITmedia エンタープライズ:Googleのスペルミス悪用サイト、アクセスするとPC乗っ取り
google.comをタイプミスして「googkle.com」にアクセスしてしまうと、PCの悪意のあるプログラムが埋め込まれるので注意するように、という話。たしかにありがちなミスすね。昔、goo.co.jpに何度となくアクセスしてしまったことを思い出します。
FireFoxに悪質サイトにアクセスしないようにするような拡張があると便利かも。
2005/04/26
2005/04/25
セキュリティ勧告
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:05.cvs.asc
CVSに複数の脆弱性。対象は4.xと5.4以前の5.x。
In one case, variable length strings are copied into a fixed length buffer without adequate checks being made; other errors include NULL pointer dereferences, possible use of uninitialized variables, and memory leaks.
ITmediaニュース:原因は「二重の人為的ミス」 ウイルスバスター不具合で謝罪
うちはウィルスバスターではないので問題なかったのですが、どうも大騒ぎになっていたようですね。
2005/04/21
電子申請 行政ソフトに不具合
http://www.nhk.or.jp/news/2005/04/20/d20050420000025.html
法務省と岡山、山梨、大分の各県が去年から今年にかけて提供した電子申請用のソフトに欠陥があることがわかりました。
今年2月にIPAより注意喚起が行われた、Javaセキュリティポリシーの独自設定に関連した話のようです。セキュリティホール memoに少し詳しい情報が掲載されています。
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2005/04.html#20050420_shinsei
2005/04/19
オープンソースのバージョン管理システム「CVS」に脆弱性、最新版で修正 - ITmedia エンタープライズ
修正された最新版が公開されています。要アップデート。
2005/04/16
FireFox 1.0.3 および Mozilla 1.7.7リリース
FireFoxは緊急レベル3つを含む計9個の脆弱性が、Mozillaは緊急レベル2つを含む計8個の脆弱性が修正されています。
日本語版は、FireFoxはソフトウェアアップデートか、ftpサイトから直接ダウンロード。
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.3/
MozillaはMozilla Firefox / Mozilla Suite 検索エンジンから。
2005/04/15
セキュリティ勧告
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:04.ifconf.asc
ifconf()システムコールによって最大12バイトのカーネルメモリの断片が読み取られる可能性があるとのこと。対象は4.x系と5.4-RELEASE以前の5.x系。要アップデート。
2005/04/13
ITmedia エンタープライズ:OpenOfficeに脆弱性、該当ライブラリを差し替えるパッチはまもなく正式公開
1.1.4以前と2.0βにヒープオーバーフローの脆弱性。パッチの正式リリースはまだだが、1.1.4向けの差し替えライブラリが公開されている。Windowsの場合はsot645mi.dllを、Linuxの場合はlibsot645li.soをDLし、OpenOffice.org1.1.4/program/にある同名のファイルを差し替える。
http://core.ring.gr.jp/archives/misc/openoffice/contrib/rc/1.1.4secpatch/
WindowsやIEなどに危険なセキュリティ・ホール,すぐにパッチの適用を - ニュース:ITpro
4月の月例パッチは、予告どおり「緊急」5件に「重要」3件の計8件。
加えてSP2の導入猶予が12日で期限切れなので、まだ導入していないPCはこれもアップデートする必要があります。
ITmedia エンタープライズ:Windows XP SP2の導入猶予が期限切れに
追記:Windows2000 SP3にMS05-019を適用すると、ネットワークのスループットが著しく低下する可能性があるそうです。
http://www.itmedia.co.jp/enterprise/articles/0504/13/news097.html
