HOME | LastUpdate: 2004-07-01
32 ドットビットマップフォントの無断複製についての問題がいろいろな場所で話題になっています。影響を受けた範囲は広いようで、KNOPPIX は公開停止、問題になったフォントを一部、使用していたフォント(東風フォントなど)も公開を停止しています。その代わりに、場繋ぎのための東風フォント代替フォントの開発も行われているようです。
個人的には、東雲フォントばかり使っていますので、東風フォントは使えなくてもそれほど影響を受けることはありませんが・・・。東雲フォントはアンチエイリアスなしでかなりきれいなフォントだと思います。
PHP-QAT: Quality Assurance Team で PHP 4.3.3 RC1 が公開されています。GD ライブラリの更新や、PHP 4.3.2 で見つかった多くのバグ修正、潜在的な Integer Overflow の修正が行われているようです。
PHP 4.3.2 からの修正点、および、機能追加の情報については、CVS の NEWS を参照してください。セキュリティ関係の修正も行われていますので、PHP 4.3.3 の正式版が公開されれば、バージョンアップが推奨されることになると思いますので、PHP のスクリプトが動くかどうかのテストを行っておいた方が良いと思います。
すでに CVS 版では修正されているのですが、PHP 4.3.3 RC 1 の致命的な問題として、Bug #24253 $DOCUMENT_ROOT and $PHP_SELF not set (Apache 1.3) というバグが見つかっています。この問題は、php.ini で、register_globals を On にしている場合に起こる問題で、$_SERVER で設定されている $_SERVER['DOCUMENT_ROOT'] や $_SERVER['PHP_SELF'] が、$DOCUMENT_ROOT や $PHP_SELF などの変数に値が入らないという問題です。register_globals は、 PHP 4.2.0 以降では、デフォルトで Off になっているため、意図的に有効にしない限り、問題はありませんが、register_globals が有効になっていることが前提で動いているシステムでは、スクリプトが正常に動かない可能性が高くなりますので、テストの際にも気を付けてください。
PDF ファイルに不正な文字列を URL リンクに含めることで、ユーザによってそのリンクがクリックされると、埋め込まれた任意のコマンドが実行できてしまうという問題のようです。
Xpdf では、バージョン 2.02 以前からこの問題は存在していたようです。また、UNIX 版の Acrobat Reader 5.06 以下と、Acrobat Reader 4.x でこの問題があるようです。日本語版は出ていないようですが、Acrobat Reader 5.07 では、修正されているようです。Windows 版、Mac 版では、この問題はないそうです。
以下のサイトなどを参考にしてください。
Bugtraq や、Secunia など、いくつかの場所で報告されていましたが、Internet Explorer に存在しているセキュリティの問題についての情報が公開されています。
Internet Explorer 5.5 と 6 で、XML ファイルを読み込んだときに、XML の解析に失敗したときのエラー画面にリクエストしたURL が表示されるのですが、その時に、スクリプトタグが含まれている場合、それが実行されてしまい、クロスサイトスクリプティング問題を引き起こしてしまうようです。
Internet Explorer 6 SP1 では、この問題は起きないようですので、バージョンアップしておけば安全のようです。
Internet Explorer 5.01, 5.5, 6.0 において、Web ページにアクセスしたときに、見つからなかった時のエラー(404 HTTP error)表示で、不正なスクリプトを埋め込むことができてしまうという問題です。ユーザが埋め込まれたリンクをクリックすると、Local Zone の権限(おそらく制限なし)で不正なスクリプトが実行されてしまうという問題です。
次のサービスパックで修正されるそうです。
修正パッケージが出ています。Xpdf で発見された問題の修正パッケージや、Netscape 4.8 の修正パッケージなどが出ています。Window Maker の修正パッケージは IBM iSeries と pSeries 用の修正パッケージが追加されただけのようです。
オープンソースのブラウザ。バージョン 1.4 のリリース候補2版。多くのバグ修正が含まれているようです。詳しくは Mozilla 1.4 RC 2 Release Notes を参照してください。日本語訳の Mozilla 1.4 RC2 リリースノート もあります。
また、Linux 版の Mozilla 1.4 RC2 で Java アプレットを実行するには、J2SE 1.4.2 Beta 以降が必要のようです。
セキュリティホール memo を運営しておられる龍谷大学の小島先生の滋賀大学 セキュリティー対策第 3 回講習会資料。セキュリティポリシの作成などに参考になりそうです。
梅雨に入って、蒸し暑くなってきました・・・。暑いと、何かとやる気がなくなりますので、嫌な季節です。
FreeBSD 5.1-RELEASE が公開されています。まだ、開発版ということで、FreeBSD 4.x-RELEASE の置き換えとして使用することは推奨されていませんが、安定性は向上しているそうです。詳細は以下を参考してください。
jpman プロジェクトから FreeBSD 5.1-RELEASE 用の日本語マニュアルも公開されています。
Ethereal のページに、Several security problems in Ethereal 0.9.12 という記事が出ています。Ethereal 0.9.12 にいくつかのセキュリティ問題があったようです。セキュリティ問題が修正され、新機能も追加された Ethereal 0.9.13 が公開されていますので、バージョンアップした方が良さそうです。
Etheral をインストールする方法や、使い方などについては、Ethereal を使おうというページが非常によくまとまっていて、参考になります。
ZDNet から。kernel rootkit についての説明と実際にどのようになるかについて書かれています。また、セキュリティホール memo の 6月11日情報にいくつかの OS で LKM(Loadable Kernel Modules) を無効にする方法についての情報ががありました。
@IT から。Java に限らず、このあたりの事については知っておいた方が問題が起きたときに対処しやすいと思います。
フリーのネットワークプロトコルアナライザ。Ethereal 0.9.12 のセキュリティ問題が修正されています。また、新しいプロトコルのサポートが行われ、いくつかの新機能も追加されています。Ethereal 0.9.12 場合は、アップグレードした方が良いと思います。
高速な表示を特長にしているブラウザ。日本語版が出たそうです。
Windows 2000 の調子が悪く、BIOS や OS の設定を変更しても直らなかったので、ハードウェアが悪いのかと思い、PC の掃除をしたのですが、何か失敗したらしく、マザーボードを飛ばしてしまいました・・・。仕方なく、セカンドマシンに HDD を移してそのまま使っています。
また、近いうちに新しいマザーボードを買いにいく事にしようと思っているのですが、ここ数年、マザーボードの情報は集めていませんので何を買えばいいのかはよく分かりません・・・。古いマザーボードだけ買うか、CPU とメモリを含めて、最新のマザーボードと買うかを検討中です。
BugTraq に投稿されていたのですが、PHP 4.3.1 以下のバージョンで Tranceparent Session ID ( 透過的なセッション ID ) の機能を有効にしていた場合、クロスサイトスクリプティングの問題があったそうです。詳細は、Cross-site Scripting in PHP's Transparent Session ID Support に書かれています。
攻撃方法の例としては、以下の方法が挙げられています。
http://www.somesite.example/index.php?PHPSESSID="><script>...</script>
PHP 4.3.2 RC1 以降では修正されています。Trans-SID の機能を有効にしている場合は、確認しておいた方が良いと思います。PHPSESSID の部分は、php.ini の session.name で指定した文字列になります。
PHP 4.3.2 へのバージョンアップが不可能の場合、php.ini で以下のように設定を行い、透過的なセッション ID の機能を無効にすることでも対処できます。
session.use_trans_sid=0
また、リンク先の文書には、透過的セッション ID が必要で、PHP のバージョンアップが不可能な場合の対処方法として、ソースを一部変更して対処する方法も書かれています。
他にも、PHP XSS exploit in phpinfo() という投稿があり、phpinfo が出力するページの中にサニタイズができていない部分があり、クロスサイトスクリプティング問題を引き起こすことが可能であるという問題があるようです。
例として、info.php に、<?php phpinfo() ?> というスクリプトを書いておき、以下のように [SCRIPT] 部分に JavaScript を記述することでクロスサイトスクリプティングを引き起こすことが可能です。
http://[site]/info.php?variable=[SCRIPT]
Internet Explorer 6.0 SP1 で確認してみたところ、PHP 4.3.0 では問題があり、JavaScript が実行可能でした。Linux 版の Mozilla Firebird 0.6 でも確認してみましたが、こちらは URI の指定で変換が行われているようで、JavaScript の実行は行われませんでした。ブラウザの方で対策を行っているのかもしれません。
PHP 4.3.2 では修正されているようですが、他の対処方法として、phpinfo() 関数を使用した確認ページは残しておかないようにする、また、確実な方法としては、セーフモードのページを参考にして、php.ini の disable_functions の設定に phpinfo 追加して使用できないようにするという方法があります。
disable_functions = phpinfo
PHP 4.3.2 へのバージョンアップが強く推奨されているのは、これらのクロスサイトスクリプティングの問題があるためかもしれません。クロスサイトスクリプティングについては、セキュアプログラミング講座 クロスサイトスクリプティングが参考になります。
先週にも書きましたが、PHP 4.3.2 にはバグがいくつか報告されていますので気をつけてください。既に動いているスクリプトがある場合は、十分にテストを行い、必要に応じてパッチを当てるか、PHP Snapshots から最新の安定版(stable)を使用することにした方が良いと思います。
Kernel の修正パッケージや、漢字コンソールエミュレータの kon2 の修正パッケージなどが公開されています。
Internet Explorer 用の累積的な修正プログラム (818529) (MS03-020) が公開されています。Microsoft Internet Explorer 5.01 / 5.5 / 6 で、攻撃者がユーザのコンピュータでコードを実行できる可能性があるという問題が修正されるそうです。
深刻度も緊急になっていますのでできる限り早く修正プログラムをインストールした方が良いと思います。
この問題については、Internet Explorerの脆弱性により、Webサイトへのアクセスで攻撃者のプログラムが実行される可能性(MS03-020)( @IT )のページに詳しく説明されていますので、参考にしてください。
また、Bugtraq-jp のメーリングリストで、Microsoft Internet Explorer %USERPROFILE% Folder Disclosure Vulnerability という情報もありましたので、こちらも参考にしてください。
Microsoft のトラブル・メンテナンス速報を見てみると、Windows Update サイトより "Intel Corporation display software update release on April 11 2003" をインストール後、システムが正常に起動しなくなる現象についてという問題が増えていました。818043 Windows XP 用推奨修正プログラムの適用後にネットワークに接続できないという問題もありましたし、最近、Windows Update は問題が多いようです。新しく修正プログラムが出てもすぐに適用するのは危険かもしれません。トラブルが起きたときの対処方法を知りたくてもインターネットに接続できなかったり、起動しなくなるのでは対処できませんので、緊急に対処するべき問題以外の場合は、修正プログラムが出ても、すぐには適用せずに、問題が出ないことを確認してから適用するようにした方が良さそうです。
@IT から。SQL Injection と OS Command Injection の説明。
GTK+ を使用したメールクライアント、ニュースリーダー。バージョン 0.9.0 と 0.9.1 に重大なバグが発見されたようです。該当するバージョンを使用している人はバージョンアップした方が良さそうです。
ツール類のリリースが多い週でした。PHP 4.3.2 が公開されましたので、PDFLib を有効にしてコンパイルする方法を PHP 4.3.2 で行えるように修正しました。
オープンソースのスクリプト言語である、PHP 4.3.2 が公開されました。大量のバグ修正が含まれており、アップデートすることが強く推奨されています。変更点などは、PHP 4 ChangeLog、( 和訳: PHP 4.3.2 Changes ) が出ていますので、参考にしてください。
基本的には、バグ修正がほとんどで、大きな機能の追加などはあまりないようです。更新、追加されたものとしては、バンドルされている GD ライブラリのバージョンが 2.0.11 に更新、Windows 用の GD ライブラリで読み込み専用の GIF サポートの追加、dba 拡張モジュールの改善、新しい Apache 2.0 対応 SAPI モジュールなどがあります。詳しくは、ChangeLog を確認してください。
以前、BugTraq に投稿されていた、Integer Overflow を引き起こす問題(2003.03.30)、(2003.04.06) については修正されているようです。
公開されてすぐですが、影響の大きそうな可能性のあるバグとして、sprintf 関数のフォーマットの指定の %d や %f にマイナスの値を与えると、文字列の最後に NULL が入ってしまう( [PHP-users 15562] Re: PHP 4.3.2 Release Announcement,Bug #23894 sprinf format Problem,Bug #23921 printf/sprintf problem with %f and negative numbers ) という問題が報告されています。
この問題に関しては、CVS 上では修正されています。PHP Snapshots の Stable (4.3.x-dev) をダウンロードしてコンパイルすると良いと思います。
または、ソースを少し修正ですることで対処が可能です。コンパイルする際に ext/standard/formatted_print.c の以下の部分を修正することで対処できると思います。
+++ ext/standard/formatted_print.c Fri May 30 22:33:16 2003
@@ -184,7 +184,7 @@
if (sign && padding=='0') {
(*buffer)[(*pos)++] = '-';
add++;
- len--;
+ copy_len--;
}
while (npad-- > 0) {
(*buffer)[(*pos)++] = padding;
また、stream_set_write_buffer( set_file_buffer )が失敗する [PHP-users 14986]という問題もありますので、これらの関数を使用している場合は気を付けてください。
PHP Bugs を見ていると、他にも、細かいバグが多数登録されています。PHP のバージョンアップを行う際には、十分なテストを行った方が良さそうです。
Apache 2.0.46 が公開されています。Apache 2.0.37 から 2.0.45 までのバージョンに特定の環境下でリモートから、サーバをクラッシュさせることができた問題と、Apache 2.0.40 から 2.0.45 までのバージョンにあった Basic 認証モジュールにおいて DoS 攻撃を引き起こすことができてしまった問題が修正されたようです。
以下に情報がありましたので参考にしてください。
RedHat Linux では、既に修正パッケージが公開されています。
Internet Information Service 用の累積的な修正プログラム (811114) (MS03-018) が公開されています。IIS 4.0, 5.0, 5.1 において、任意のコードが実行される可能性があるという問題が修正されているようです。
Windows XP SP1 ベースのコンピュータに 811493 (MS03-013) をインストールした後、パフォーマンス上の問題が発生することがあるの件ですが、修正プログラムが公開されたようです。Windows カーネル メッセージ処理のバッファ オーバーランにより、権限が昇格する (811493) (MS03-013) のページで告知されています。
Windows XP では、最近、いくつか問題が報告されていますので、リンクだけ載せておきます。該当する人は気を付けてください。
修正パッケージが出ています。Apache 2.0.46 で修正された問題に対する修正パッケージも公開されています。
Linux や Unix 上で安全にプログラミングを行うための方法についての文書。言語固有の問題についても言及していますので、かなり勉強になると思います。Linux JF (Japanese FAQ) Project. には、他にも多くの文書があります。興味のある文書は目を通しておくと、勉強になります。
@IT から。LKM (Loadable Kernel Module) についての説明。LKM rootkit のサンプルプログラムも紹介されています。
GTK+ を使用したメールクライアント、ニュースリーダー。ほとんどはバグの修正のようです。
Unix 系の OS を Windows のファイルサーバ、プリントサーバにすることができるのオープンソースソフトウェア。本家の Samba 2.2.8a で行われたセキュリティ問題の修正が行われているようです。
オープンソースのリレーショナルデータベース。多くのバグが修正されているようです。
広く使用されている Web サーバ。セキュリティ問題の修正が行われています。
オープンソースのスクリプト言語。多くのバグ修正が行われています。
オープンソースのブラウザのリリース候補。Mozilla 1.4RC1 のリリースノート( 和訳:Mozilla 1.4 RC1 リリースノート )もでていますので、参考にしてください。
Java の開発環境。いつの間にかバージョンが上がっていました。おそらくバグ修正が行われているのだと思いますが、変更箇所などの詳しいことは見つけられなかったのでよく分かりません。
誤字と間違いの修正。
6月22日分を追加。
6月15日分を追加。
6月8日分を追加。
このページを作成。6月1日分を追加。
LastUpdate: 2004-07-01 | HOME