今年も残すところ、あと数日になってしまいました。
それにしても、最近、スラッシュドット・ジャパンを見ていると、役所(公務員)関係の投稿が多いような気がします。
役所のネット受け付けは9:00から17:00までとか、住基ネットで遂にデータ盗難などの投稿を見ていると、公務員に対して文句のひとつも言いたくなるは分かります。
さすがに、住基ネットのデータ盗難というのは、非常に気になるところです。バックアップテープの盗難ということのようですが、どのくらいの個人情報が入っているのかを考えるだけでも恐ろしいです。結局、総務省が言っているのは、建前だけで、個人情報の扱いはあまり重要視されていないことが分かるような気がします。
また、お役所の無線ネットワークはホットスポットという投稿がありましたが、これを見ても、役所で取り扱っている個人情報に対する意識は非常に低そうです。しかも、不正コピーが見つかったということで、呆れるしかありませんが。
さすがに、国の省庁で無線LAN設置が「原則禁止」へとなったのは、当然ですが、どこまで徹底されるかが問題というところでしょうか。公務員には最低限、扱っている情報の重要性について知っていてもらいたいものです。
PHP 4.3.0 がリリースされました。PHP 4.3.0 Release Announcement を見てみると、PHP 4.2.3 からいろいろと変更されているようです。さらに詳しくは、ChangeLog にあります。
PHP のメーリングリストの [PHP-users 12373] PHP 4.3.0 Release Announcement の投稿にこれらの日本語情報について載っています。
とりあえず、コマンドライン版の PHP を使用する場合は、PHP マニュアルの、第 23 章 PHPをコマンドラインから使用する は読んでおいた方が良さそうです。
セキュリティホールmemo でも紹介されていた、高木浩光氏の安全なWebアプリ開発 31箇条の鉄則(PDF) を読んでみましたが、かなり参考になりました。Web アプリケーション開発は気をつけるべきことが多すぎるような気がしますが。
また、セキュリティホールmemo のメーリングリストで、本人から訂正の投稿([memo:5151] HTTPSにおけるBasic認証)ががありました。大きな間違いと言うわけではないのですが、参考程度に見ておくといいかもしれません。
LAC が SNS Advisory No.60 Windows XP Disclosure of Registered AP Information ということで、Windows XP の無線 LAN 機能の問題について報告しています。概要は以下の通りです。
Windows XP の無線 LAN 機能には、登録してあるアクセスポイントに関する情報を外部に漏洩する可能性があります。
また、本来の対象アクセスポイントの電波が届かない場合であっても登録されている WEP で暗号化したパケットを送出する可能性があります。
これらの問題により、Windows XP に登録されているアクセスポイントの SSID のリスト、及び登録されている WEP で暗号化されたパケットを入手され、解読される危険性があります。
マイクロソフト社のコメントを見ると、あまり対応する気はなさそうです。
先週に紹介した VIM ModeLines Arbitrary Command Execution Vulnerability の問題ですが、2ちゃんねるの Vim6 Part4 の 505 番の情報によると、Vim の 6.1.265 のパッチ で修正されたようです。
セキュリティホールmemo の 情報 や、Vim のメーリングリストにも修正されたと言う情報があります。
Known Vulnerabilities in Mozilla(和訳版:Mozilla における既知の脆弱性) という情報が更新されていたようです。
これを見ると、Mozilla 1.2 以前、または、1.0.1 以前の問題が追加されたようです。現時点で安全な Mozilla を使うとしたら、Mozilla 1.3α か、Netscape 7.01 しかないような気がしますが。
ほとんどは Javascript の問題なので、Javascript を無効にしておけば大半は大丈夫のようです。9 番の問題と対処方法を見ると、何とも言えませんが・・・。
〜初級セキュリティ管理者必見〜 連載:不正侵入の手口と対策 第4回 攻撃者が侵入後に行うバックドアの設置例
@ITから。バックドアの仕掛け方。意外と簡単にできるようです。
KDE で使用できるオフィス環境。ワープロ、表計算、プレゼンテーション、図式作成まで、多くの機能が付いています。公開されたのは、12月12日と少し前ですが。
GTK を使用したメールクライアント、ニュースリーダ。バグ修正のようです。
Linux や、FreeBSD でよく使われているメールクライアント、ニュースリーダの Sylpheed の Windows 版。Sylpheed 0.8.7 へ追従したようです。
Vim 3.0 を日本語化。Unix 用のソース差分が公開されたようです。最近は、Vim 6.0 があるのであまり必要性は少なくなりましたが、日本語に特化した機能がいろいろとあるので便利です。Windows 版では、Syntax Highlighting をサポートしています。
Windows で使用できるダウンロードマネージャ。オープンソースにして、sourceforge.jp で開発が続いているようです。
オープンソースのリレーショナルデータベースサーバ。気づかないうちに公開されていました。バグ修正のようです。まだ公式の Web ページには公開されていませんが、postgresql.org のサイトではすでに公開されているようです。
オープンソースのスクリプト言語。正式リリースのようです。変更が多いのでPHP 4.3.0 のリリースノートを読むことをお薦めします。
風邪気味です。無理をしているとすぐに体にきますね。最近、弱り気味です・・・。
セキュリティ関係の話題は相変わらず多いのですが、IPA セキュリティセンター や、JPCERT/CC が年末ということで、年末警報 とか、長期休暇を控えて という形で注意を呼びかけています。
Tripwire についてのメモを少し書き直しました。あまり変わった訳ではないのですが。docbook 化するついでに、気になった点とかを修正しました。
詳細はセキュリティ関係の方に書きましたが、Vim 5.0 から 6.1 のバージョンで modelines に関わる問題が報告されていますので、気をつけてください。
2ちゃんねるを見るときは、いつも Linux の Vim で 香り屋さんの Chalice を使用していたのですが、12月21日あたりから急に掲示板のリスト一覧が取れなくなりました。
Chalice サポート板の Chalice for Vim Vol.2 を見ると、すでにパッチが出ているようですので、パッチを適用してから読み込むと大丈夫でした。
ダウンロードとパッチの適用は少々面倒ですが、以下の手順でインストールでパッチを当ててインストールしました。
Chalice を使っている人は curl はインストールしているはずなので、以下のようにパッチを取得します(一応、パッチの最終番号は確認してください)。
$ cd <chalice のソースディレクトリ> $ mkdir patches $ cd patches $ curl -O 'http://www.kaoriya.net/testdir/patches-chalice/1.6.[001-052]'
パッチの適用を行います。シェルが bash だと、こんな方法しか思いつきません。csh とか、zsh では、もっと簡単にできると思います。
$ cd .. $ patches=`ls patches/1.6.* | sort`; for patch in $patches; do patch -p0 < $patch; done $ unset patches patch
後は、手動でインストールするなり、chalice 付属の install.sh を使うなどしてインストールしてください。
Internet Explorer 用の累積的な修正プログラム (Q328970) (MS02-066) の情報が 12月16日に更新されたようです。
深刻度を重要から緊急へ変更し、「PNG イメージ ファイル」の脆弱性に関する新しい情報を追加したということです。
また、この問題の修正プログラムは、Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068) で提供されている累積的な修正プログラムに含まれているそうです。
Windows Shell の未チェックのバッファによりシステムが侵害される (329390) (MS02-072) という情報が掲載されています。
影響を受けるのは Windows XP だけのようですが、深刻度は「緊急」になっています。Windows XP を使っている人は修正プログラムを適用してください。
Security Forcus に、VIM ModeLines Arbitrary Command Execution Vulnerability という情報がありました。
Vim 5.0 から Vim 6.1 のバージョンで問題が確認されているそうです。ModeLines の問題により、任意のコマンドが実行されてしまうようです。
対処方法としては、~/.vimrc に、以下の設定をします。
set modelines=0
この設定を行うと、文章中に埋め込まれた Vim のコマンドを自動的に実行することができなくなりますので、Vim を使い込んでいる人は不便かもしれません。
たとえば、文章に以下のような指定を埋め込んでも動作しなくなります。
/* vim:set ts=4 sts=4 sw=4: */
vim-jp のメーリングリストにも投稿がありました(アーカイブが見つかりません・・・)が、Some vim problems, yet still vim much better than windows に exploit コードが書かれています。
試してみたところ、簡単に外部コマンドが実行されてしまいました。~/.vimrc で、set modelines=0 をしない場合は、ネットワークからダウンロードしてきた文書にも気を付けないといけません。
Fetchmail のセキュリティホールの修正パッケージが公開されています。また、「ext3 ファイルシステムを使用している際に、保存したはずのファイルが消失する可能性がある」という問題に対するカーネルのバグ修正がありました。
Updated Fetchmail packages fix security vulnerability(6.2, 7.0, 7.1, 7.2, 7.3, 8.0) New kernel fixes ext3 data-journaling data loss and tg3 hang(7.1, 7.2, 7.3, 8.0)
RedHat Linux では、修正パッケージが公開されていますが、メールサーバからメールを検索・取得・転送できるツールの Fetchmail で 6.1.3 以下のバージョンにリモートから攻撃される問題があったようです。
修正されたバージョンの 6.2.0 が公開されていますので、各ベンダーが公開している修正パッケージをインストールするか、現在の最新版である、6.2.0 にバージョンアップしてください。
以下のページにも情報があります。
Fetchmail : Release Notes e-matters: Advisory 05/2002 Fetchmail remote vulnerability SecuriTeam.com : Fetchmail Remote Vulnerability (Localhost @)
CERT/CC の CERT Advisory CA-2002-36 Multiple Vulnerabilities in SSH Implementations によると、いくつかの SSH2 で任意のコードを実行されてしまう問題があったようです。
セキュリティホール memo の 12月17日の情報 のも載っていますが、Putty (Putty日本語パッチ)に関しては、0.53b には、問題ないということですので、Putty に関してはバージョンアップした方が良さそうです。また、OpenSSH 3.5以前では、特に問題なさそうです。
他にも、SecuriTeam.com の Vulnerabilities in SSH2 Implementations from Multiple Vendors や、CERT/CC の Vulnerability Note VU#389665に、問題のあるバージョンと問題のないバージョンの一覧があります。
IT Pro で、Flash Playerにバッファ・オーバーフローのセキュリティ・ホール という情報がありました。
Macromedia のページに、MPSB02-15 - Macromedia Flash Malformed Header Vulnerability Issueという情報があり、Flash Player で任意のコマンドを実行される問題があるそうです。
最新版の Flash Player をダウンロードしてインストールすることで回避できます。現在の Flash Player の最新版は 6.0.65.0( Windows 版 ) です。
最近のほとんどのブラウザでは、Flash Player が入っていると思いますので、アップデートしておいた方が安全です。
あと、Linux に対応した Flash Player 6 が公開されています。Mozilla 1.x、Netscape 7.x、Opera 6.x、Konqueror 3.0.3+、Galeon 1.2.4 などに対応しているようで、Linux を使っている人は試してみるといいかもしれません。
KDE 3.0.5a が公開されていましたが、KDE 2.x と 3.x にいくつかの問題があったそうです。KDE 3.0.5a のリリースノートも出ています。
セキュリティホールmemo の情報「KDE Security Advisory: Multiple vulnerabilities in KDE」 に情報があります。
URL, ファイル名、電子メールアドレスなどの quoting に問題があるため、攻撃者が KDE 利用者権限で任意のコマンドを実行することが可能。
KDE 3.0.5a で修正されている他、KDE 2.2.2 用の patch が配布されている。
/procによるLinuxチューニング [後編] 〜 /proc/sysの主要パラメータ群総解説 〜
@ITから。/proc 以下の解説。
Security&Trust ウォッチ(8)あらゆる情報を、うのみにするな?!
@ITから。当然と言えば当然の話ですが。
【連載:モデリング修行 入門編】 第1回 モデリングなしで開発はできない
@ITから。概念的な説明。
オープンソースのブラウザ。1.2.1 が少し前に公開されましたが、次期バージョンの 1.3 のα版が公開されたようです。最近の Mozilla としては、もじらニュース の記事に、Onestat.com のブラウザシェア 発表 - Mozilla が 1.1% に というのがありました。少しはシェアが増えているようです。
GTK+ を使用した電子メールクライアント&ニュースリーダ。細かい修正やバグフィックス。
スクリプト言語。時期バージョンのテスト版。年末までに正式リリースを目指しているそうです。
デスクトップ環境。いくつかのセキュリティ問題への対処。
docbook と xalan と php のコマンドライン版を使って、Namazu のインストールメモなどを書いてみました。最近は、kabayaki もあり、VineLinux では、普通にインストールされていることが多いので、あまり参考になりそうにはないですが。
docbook と xslt はなかなか面白いです。今後は、この方法でメモの作成をしていこうと思います。
後、あまり閲覧している人には全く関係ないですが、このページの文字コードを EUC-JP に変更しました。iso-2022-jp は扱いが面倒でしたので。
Google に、2002年の検索キーワードのランキングが出ていました。結果は、2002 Year-End Google Zeitgeist で見られるようです。
この結果は、イギリス、フランス、ドイツ、日本では、それぞれのトップランキングが出ていました。日本では、INTERNET Watch にも出ていましたが、Google、2002年の年間キーワードランキングを発表 〜日本は「2ちゃんねる」が1位 です。
フランスでは、Top Brands 2002 があったり、ドイツでは、Top Auto Manufacturers 2002 があったりして、各国の特色が出ていて面白いです。
Security Forcusに、ProFTPD STAT Command Denial Of Service Vulnerability という情報が出ています。
ProFTPD 1.2.1 から、1.2.7RC3 のバージョンで DoS 攻撃が可能になってしまう問題が確認されたそうです。12月5日に 1.2.7 が公開されましたが、ProFTPD のトップページを見た限り、(英語があまり得意ではないので、意味を取り違えているかもしれませんが、)このことについて、問題としてみなしていないというようなことが主張されています。
Secuirty Forcus に exploit コードが出ていましたので、ProFTPD 1.2.7 で少し試してみました。
結果ですが、Security Forcus に掲載されていた exploit コードそのままでは、DoS 攻撃が成立しませんでしたが、少しコマンドを変更すると DoS 攻撃が成立してしまいました。ログインされなければ使えない攻撃ですので、無差別攻撃を受けることは少ないとは思いますが、少し問題かもしれません。
Security Focus に samba のセキュリティホールについての情報が載っていました。Samba 2.2.7 で修正された件です。Samba 2.2.4-jp では、既にこの問題は修正されていました。
Samba Server Encrypted Password Buffer Overrun Vulnerability
w3m のタグエスケープのミスによる新たに見つかったことに伴う修正パッケージが公開されています。2.1.x でも、Canna のセキュリティ修正パッケージが公開されました。
2.5/2.6 用
●2002,12,10● w3mにセキュリティホール
2.1.x 用
●2002,12,11● Cannaにセキュリティホール
以下の修正パッケージが出ていました。先週に Vine Linux で修正された Canna のセキュリティホールの修正も出ているようです。
その他にも Apache と mod_ssl のセキュリティ問題修正のパッケージがアップデートされました。
Updated apache, httpd, and mod_ssl packages available(6.2, 7.0, 7.1, 7.2, 7.3, 8.0) Updated Canna packages fix vulnerabilities(7.1, 7.2, 7.3, 8.0) Updated wget packages fix directory traversal bug(6.2, 7.0, 7.1, 7.2, 7.3, 8.0) Updated Webalizer packages fix vulnerability(7.2) Updated mm packages available(7.0, 7.1, 7.2, 7.3)
フレーム内の html タグのエスケープミスによる新たな脆弱性が見つかったそうです。
w3m 0.3.2.2 のリリースノートもあります。
VineLinux では、この修正パッケージが公開されています。
Linux Kernel 2.4.20 を使用していて、ファイルシステムを ext3 にしている場合に、データ消失のバグがあったそうです。
Linux最新カーネルにデータ消失のバグ(CNET)、Linuxカーネルのデータ損失バグ修正(ZDNet)などでニュースになっています。
ZDNet の記事によると、
このバグは、まず管理者がLinuxの「ext3」ファイルシステムソフト(データをハードディスクに保存する方法を管理する)で例外的なモードを選択し、次にデータが保存されているファイルシステムの接続を遮断した場合にのみ発生する。
この場合、そのハードディスクに30秒前までに保存されていたはずの全データが損失する可能性がある。
ということのようです。ファイルシステムをアンマウントするとデータが消える可能性があるということでしょうか。例外的なモードを選択というのはあまり意味が分かりませんが・・・。
また、以下の情報があり、RedHat では、影響を受けるそうです。
Linux最大手のRed Hatによると、同社の顧客がこのバグの影響を受けるのは、Linuxカーネルのバージョン2.4.18-17以降を含むアップデートをダウンロードした場合だという。
同社はRed Hat Linuxのバージョン7.1/7.2/7.3/8.0向けにこれらのアップデートを提供していた。同社のAdvanced Server製品はこのバグの影響を受けない。
先週も修正プログラムが出ていましたが、また、いくつか修正プログラムが出ていました。
以下の3つの修正のようです。
Microsoft VM の問題により、システムが侵害される (810030) (MS02-069) SMB 署名の問題により、グループ ポリシーが変更される (309376) (MS02-070) Windows WM_TIMER メッセージ処理の問題により、権限が昇格する (328310) (MS02-071)
/procによるLinuxチューニング [前編]〜 /procで理解するOSの状態 〜
@ITから。/proc にあるファイルや、sysctl コマンドの説明。
@ITから。Java Servlet や JSP によるセッション管理の方法について。
オープンソースの Mozilla をベースにしたブラウザ。Mozilla 1.0.2(未公開) をベースにしているようです。テスト的に、Windows 版をインストールして少し使ってみましたが、特に問題もなく快適に使えました。表示が少し早くなったような気もしますが、気のせいかもしれません。
フリー Unix の BSD 系 OSの一つ。メジャーバージョンアップに向けて、RC1 がリリースされたようです。ダウンロードする場合は、RINGサーバを使用するのが良さそうです。
スクリプト言語。正式リリースが近づいているようです。
最近、忙しいので、現実逃避にメモを書いているような気がしますが・・・。
とりあえず、RedHat Linux 7.3 に、PostgreSQL 7.3 をインストールしてみました。移行手順をメモしておきます。
PostgreSQL 7.2.3 リファレンスマニュアル にも、アップグレード手順などの詳しいことが載っていますので、そちらの方を参照した方がいいかもしれませんが。
ここでは、PostgreSQL 7.2.3 からの移行ですので、postgres ユーザは既に存在していて、PostgreSQL が、/usr/local/pgsql にインストールされていて、ディレクトリのオーナーが postgres になっていることを前提にしています。
まず、postgres ユーザになって、データのバックアップを取ります。ラージオブジェクトが含まれている場合はラージオブジェクトはバックアップされませんので注意してください。
$ su - postgres $ pg_dumpall > backup.pgsql
これで、backup.pgsql に全データのダンプが行われます。
ソースファイルの postgresql-7.3.tar.gz は、PostgreSQL のサイトや、ミラーの FTP サイトなどからダウンロードしてください。
PostgreSQL 7.2.x 以下のバージョンでは、日本語などのマルチバイトを使用する場合、configure に --enable-multibyte=EUC_JP などとオプションが必要だったのですが、7.3 からは、このオプションは無くなりました。
7.3 では、デフォルトでマルチバイトに対応しているそうです。
$ tar zxvf postgresql-7.3.tar.gz $ cd postgresql-7.3 $ ./configure $ make $ make check $ make install
PostgreSQL では、make コマンドは、GNU make を使っていますので、FreeBSD や、Solaris などの、標準が GNU make でない OS や、システムでは、gmake を使う必要があるはずです。
make が終了したら、make check でテストを行って問題がないことを確認しておくといいと思います。
次に、最悪、PostgreSQL 7.3 が起動しない、または、致命的な問題があった場合などに、バージョンを戻せるように、PostgreSQL 7.2.3 で使っていたデータディレクトリを移動しておきます。
postgres ユーザのホームディレクトリなどに移動しておくといいと思います。$PGDATA に PostgreSQL のデータディレクトリがあるとして、以下のように、任意の場所にディレクトリごと移動しておきます。
$ mv $PGDATA <バックアップディレクトリ>
後は、データディレクトリを作成して、initdb を実行します。--encoding で文字コードの指定と、 --no-locale を指定する必要があります。
$ su -c 'mkdir $PGDATA' $ initdb --encoding=EUC_JP --no-locale
データベースの初期化が完了したら、psql コマンドで最初にダンプしたデータをリストアします。
$ psql -f backup.pgsql template1
最後に、PostgreSQL を起動して終了です。
$ $PG/bin/pg_ctl -w start
これで、問題なく PostgreSQL が起動して、復元したデータを読み出せれば、移行は終了です。テストを行って、問題がないことを確認できれば、先ほど、移動したディレクトリは削除しても良いと思います。
もし、何か問題があったり、PostgreSQL 7.3 が起動しないようなことがあれば、PostgreSQL のバージョンを戻し、移動したデータディレクトリも元に戻すことで対処できると思います。
Mozilla 1.2 が公開されたと思っていたら、DHTML のバグにより、一部のサイトへ行くと mozilla が落ちるという問題があるため、公開停止になったそうです。
Mozilla 1.2.1 が公開されましたので、そちらの方を使ってください。1.2 は公開停止のようです。
Mozilla 1.2.1 のリリースノート も出ています。
先日、プロジェクトが再開されて、Canna 3.6 が公開されましたが、リモートから攻撃され、ユーザ権限を取られてしまう問題と、Canna サーバの内部情報を不正に取られてしまう問題があったようです。
詳しくは、Canna セキュリティ情報が出ています。
Canna 3.6p1 が公開されていますので、ソースからインストールした場合は、アップデートしてください。
VineLinux では、修正パッケージが出ています。
修正パッケージが出ています。VineLinux 2.5/2.6 用です。Canna 、glibc のセキュリティ修正と、vutils の ATOK X for Linux が正しく選択できないという問題への対処のようです。
●2002,12,02● Cannaにセキュリティホール(2.5/2.6) ●2002,12,02● glibc のセキュリティフィックス(2.5/2.6) ●2002,12,03● vutils (/etc/X11/xinit/xinitrc.d/setime) にバグ
VineLinux 2.1.x 用の修正パッケージも出ています。
●2002,11,29● wdm のバグ修正(2.1.x) ●2002,12,04● glibc のセキュリティフィックス(2.1.x)
修正パッケージが出ていました。KDE は、以前に見つかったセキュリティホールの修正が入っているようです。
Updated xinetd packages fix denial of service vulnerability(7.0, 7.1, 7.2, 7.3, 8.0) Updated KDE packages fix security issues(7.2, 7.3, 8.0)
Internet Explorer 用の累積的な修正プログラム (324929) (MS02-068) が公開されています。
今回は、クロスドメインセキュリティモデルに存在する問題を修正し、この問題によって、攻撃者にユーザーのローカル システムのファイルを読み取られてしまう問題を回避できるようです。
Internet Explorer 5.5/6 を使っている人は、バージョンアップしてください。Internet Explorer 5.0 では、問題ないようです。
セキュリティ・スタジアム 2002 で得られた教訓のまとめのようです。読んでみた感じでは、かなり面白かったです。
安全なパスワードとは?――セキュリティ・スタジアムの種明かし
IT Proから。安全なパスワードについての説明。\ が一番最初に入っているだけで、パスワード強度が一気に上がるというのは面白いです。John the Ripper というツールをを使っている場合は・・・ということですが。パスワードを決めるときの参考にするといいかもしれません。
いろいろな OS で利用可能なオープンソースのブラウザ。1.2 に大きなバグがあったため、急遽 1.2.1 が公開されました。1.2 を使っている人は、入れ換えた方が良いと思います。
wu-ftpd と並ぶ、有名な FTP デーモン。いろいろとバグ修正があったようです。
Free Unix の間でよく使用されている日本語入力システムかんなの辞書。これをいれると日本語変換がかなり改善されます。
早いもので、もう12月になってしまいました。後、今年も1ヶ月ですね。
PostgreSQL のメーリングリストに流れた情報ですが、石井氏の投稿によると、PostgreSQL 7.3 が公開されたようです。
SRA のページに、PostgreSQL 7.2.3 から 7.3 への変更点 が出ています。やはり、7.2.3 とのデータのバイナリレベルでの互換性はないようです。バージョンアップする際は、一度、データをダンプして、入れ直す必要がありそうです。
あと、気になった部分では、以下の部分がありました。
インストール時のマルチバイトサポートがデフォルトで有効になりました。
ロケールサポートも有効になったため、7.2 と同じように日本語を使えるようにデータベースクラスタを作成するには、以下のようにする必要があります。
$ initdb --encoding=EUC_JP --no-locale
PostgreSQL 7.2.x と同じように日本語を使う場合は、initdb で --no-locale を付ける必要がありそうです。initdb の時のオプションは気をつけた方がいいかもしれません。
また、PostgreSQL 7.3 のソースに入っている、doc/README.mb.jp によると、
なお,PostgreSQL 7.3以降ロケールサポートが必ず有効になっていますが,これは日本語などを使用する際には何のメッリトもないばかりでなく,障害の原因になったり,LIKE検索や正規表現検索でインデックスが有効にならないなどの問題を引き起こすので,無効にしておくことをおすすめします.ロケールサポートを無効にするためには,
--no-localeオプションを指定します.
と書かれていますので、とりあえず、initdb を行う時には、--no-locale は付けておいた方がよさそうです。
とりあえず、文字コードに EUC-JP を使用する場合は、ドキュメントにもある通り、以下のようにするといいと思います。
$ initdb --encoding=EUC_JP --no-locale
その他、いろいろと、機能追加や、性能の向上などがあるようです。また、時間があるときに試してみたいと思います。
なお、PostgreSQL 7.3 では、マルチバイトオプションは、無効にすることができない([PHP-users 11900] Re: PHP4.3.0RC2 and PostgreSQL7.3を参照)そうです。
Bugtraq-jp のメーリングリストで個人情報漏洩の可能性のある脆弱性 − 百貨店で使用されている POS 機器の例 という情報が流れていました。
クレジットカード情報や購入商品情報などが漏洩する可能性があるということです。無線 LAN を安易な設定のまま使用している百貨店があるそうです。重要な個人情報を扱う場合は、WEP などの暗号化をして、最低限のセキュリティへの対処をして欲しいものです。
前に出ていた Samba 2.2.7 で修正が入ったパッケージが公開されました。
New samba packages available to fix potential security vulnerability(7.3, 8.0) Updated kernel packages fix DB2 and IBM JDK problems.(7.1, 7.2 s390x)
今週もいくつか VineLinux 2.5/2.6 の修正パッケージが公開されています。w3m に関しては、11月 29日に、修正があったようです。
●2002,11,27● w3mにセキュリティホール ●2002,11,28● wdm のバグ修正 ●2002,11,28● mkkpkg にバグ
Security Forcus に Netscape 4.x と Internet Explorer に搭載されている Java Virtual Machine のセキュリティホールについての情報が載っていました。
Netscape Java Virtual Machine Insecure Call Vulnerability Microsoft Java Virtual Machine Bytecode Verifier Vulnerability
Security Forcus から。BIND 関係がまとめて更新されていました。
ISC BIND OPT Record Large UDP Denial of Service Vulnerability ISC BIND SIG Cached Resource Record Buffer Overflow Vulnerability ISC BIND 8 Invalid Expiry Time Denial Of Service Vulnerability
Microsoft Data Access Components のバッファ オーバーランにより、コードが実行される (Q329414) (MS02-065) ということで、非常に危険なセキュリティホールが見つかったようです。
パッチを無効にされる恐れあり,Windowsの深刻なセキュリティ・ホールを解説する(読むには登録が必要) にもある通り、Microsoft が配布しているパッチを適用しても、無効にされる恐れがあります。
セキュリティホール memo でも有名な小島先生が管理している、龍谷大学の学内向けのページである、特に重要なセキュリティ脆弱性情報 の 11月26日 にこの対処方法のまとめがあります。
MDAC 2.7 をインストールすることが最も適切な対処方法のようですが、MDAC 2.7 に含まれている msxml3.dll が、セキュリティ修正前のものであることが、問題を複雑にしているようです。
Internet Explorer 6 SP1 をインストールしていない場合、MDAC 2.7 をインストールした後、MS02-008 修正プログラムを適用する必要があるということです。
なお、Windows XP ではこの問題はありません。
w3m のほとんど全てのバージョンで frame における < や > のエスケープ処理が不十分だったため、ユーザにフォームのボタンを押させることで local cookie を読む出すことが可能になっていたようです。
w3m のメーリングリストに投稿された、[w3m-dev 03492] Re: w3m-0.3.2.1 released に詳しいことが書かれています。
この問題に関連して、w3m 0.3.2.1 が公開されています。
Vine Linux では、w3m の修正パッケージが出ました。
Japan.CNET.com に、リアル、メディアプレーヤーの修正パッチを取り下げ という記事がありました。
先週に一度修正パッチを公開したらしいのですが、十分な対策ができていなかったらしく、再度修正を行うことにしたようです。
影響するユーザの数が、最大で1億1500万人ということで、かなり多いですね。パッチの開発中ということで、気になる人は、しばらく使用を中止した方がいいかもしれません。
管理者のためのセキュリティ推進室 〜インシデントレスポンス入門〜
@ITから。JPCERT/CC が連載している、コンピュータセキュリティ・インシデントについての情報。この連載も最終回と言うことで、「事前の対応」として一般的に注意すべき点や推奨する設定などの紹介があります。
さまざまなプラットホームに対応しているブラウザ。いろいろと機能拡張や、セキュリティ修正などが入っています。
テキストベースでも動作するブラウザ。最近のバージョンでは、画像の読み込みも可能。セキュリティ関係の修正のバージョンです。これ以前のバージョンでは、セキュリティホールが見つかっていますので、バージョンアップをお薦めします。
スクリプト言語。次期バージョンがもうすぐ公開になりそうです。
リレーショナルデータベース管理システム(RDBMS)。
Linux のカーネル。