HOME | LastUpdate: 2003-10-27
寒くなってきました。風邪などを引かないように気をつけないといけない季節です。
PHP-QAT のページで、PHP 4.3.4 RC2 が公開されています。特に新機能は追加されておらず、バグ修正のみが行われています。修正されたバグなどの詳細については、CVS の NEWS にあります。
また、PEAR の日本語マニュアルの翻訳が進んでいるようで、http://pear.php.net/manual/ja/ にアクセスすると、日本語の PEAR マニュアルにアクセスすることができるようになったようです。また、PEAR マニュアルのダウンロードも可能だという情報もありました( [PHP-users 18618] Re: PEARマニュアル(日本語版)は何処? )。
Web アプリケーションの開発関係で読んでおきたいと思った英語のドキュメント類のリンクのメモです。私は英語を読むのと理解するのに時間が掛かるので、なかなか読めていません。情報元は、ほとんど Security Focus と、SecuriTeam です。
redhat JAPAN によると、新しい Linux ディストリビューションである、Red Hat Professional Workstation を10月31日より店頭販売を開始するみたいです。今までの Red Hat Linux は 開発コミュニティである「Fedora Project」に移管され、公式なサポートは終了するそうです。
いくつか問題が見つかっています。
Java SDK または、JRE のバージョン 1.4.1_03 以前と 1.3.1_08 以前、1.2.2_015 以前に 不正な Java アプレットを実行することによって、Java の SandBox による制限を回避できてしまうという問題があったそうです。Java SDK または、JRE のバージョン 1.4.1_04 以上、1.3.1_09 以上、1.2.2_016 以上にバージョンアップすることによって、この問題は回避できるようです。
# 57221, Free Sun Alert Notifications にも情報があります。
Java Plugin のバージョン 1.4.2_01 で、異なるサイトから来る、署名されていない Java アプレットが JDK のドキュメント化されていない static 変数を通してデータエリアを共有されてしまうかもしれない問題があるそうです。
メールクライアント、ニュースリーダの Sylpheed の 0.9.6 以前に SMTP 応答処理中の処理に問題があり、悪意のある SMTP サーバからユーザのシステムを攻撃することが可能ということらしいです。Sylpheed 0.9.7 でこの問題は修正されていますので、古いバージョンを使用している場合は、バージョンアップした方が良いと思います。Sylpheed-claws でも同じ問題があり、修正が行われています。
Opera 7.21 (Opera の日本語版) が公開されていますが、それより前のバージョンでセキュリティホールが見つかっています。Opera 7.21 で修正されたとされている問題として、以下の 2つがあげられています。
詳細として、バッファオーバーフローの件に関しては、Bugtraq の投稿にOpera HREF escaped server name overflow がありました。
スラッシュドット・ジャパンから。残念ながら、東風フォントの製作は中止することになったそうです。
Internet Explorer の修正されていないバグ、セキュリティホール一覧をまとめているサイト。閉鎖された Unpatched IE security holes の情報を引き継いでいるようです。
オープンソースのブラウザである Mozilla の詳しいドキュメント。Mozilla のインストールインストールから、機能、設定、使い方の説明が書かれています。日本語の Mozilla のドキュメントに関しては、もじら組のMozilla のドキュメント一覧にまとまっています。
Mozilla をベースにしたブラウザ。Wazilla 1.5 では、日本語化された Mozilla という誤解を避けるため、日本語パックは適用していないそうです。
表示が高速なブラウザ。Opera 7.21 の日本語版が公開されています。Opera 7.20 以下のバージョンではセキュリティ問題が見つかっていますので、バージョンアップが推奨されています。詳細は Opera セキュリティ情報 や、OPERA日本語サイトプレスリリース を参照してください。
DNS サーバ。バグ修正などのメンテナンスリリースだそうです。
スクリプト言語の PHP 4.3.4 のリリース候補第 2版。バグ修正のみ行われています。CVS の NEWS で変更や修正された点を確認することができます。
CD のみで起動する Linux ディストリビューション。仮想 Linux OS の User Mode Linux(UML) が起動するようになったそうです。また、教育用の KNOPPIX-Edu も公開されています。
セキュリティ監査ツール。
Java 開発環境。重要なバグが修正されているため、アップグレードが強く推奨されています。J2SE 1.4.2_02 リリースノートに詳しい情報があります。
オープンソースの Web アプリケーションに対する侵入検知、防止エンジン。現在は、Apache モジュールとして使用できるそうです。
Windows のセキュリティ情報が大量に出ています。深刻度が「緊急」になっていて、ユーザが危険にさらされる可能性のあるものが多いようですので、Windows を使用している場合は、問題について確認、対策を行った方が良いと思います。
Do You PHP? の、CVSからPHP日本語マニュアルを作成するに、PEAR 日本語マニュアルを作成する方法が追加されています。
以前は、pear.php.net に、日本語の PEAR マニュアルがあったのですが、いつの間にか消えているようですので、日本語の PEAR マニュアルが欲しい場合は、この情報を参考にして CVS から作成すると良いと思います。
PHP-users メーリングリストにも投稿されていましたが、10月の終わりくらいに PHP5 beta 2 が公開される予定のようです([PHP-users 18493] PHP5 Beta2 release coming soon?)。また、PHP5 でオブジェクトの定数を作成する方法についての投稿がありましたが、PHP SnapShot の PHP5-200310191130 で試したところ、下のようにすれば配列の定数は作成できました。
<?php
class Test
{
const arr = array( 'a', 'b', 'c' );
function printArr()
{
print_r( self::arr );
}
}
print_r( Test::arr );
print_r( Test::printArr() );
?>
ただし、関数の返り値や、オブジェクトを定数に入力することはできないようです。おそらく、PHP5 の const は、PHP4 の関数で使用できる static と同じ扱いになっているような気がします。
他にも、PHP5 から final 修飾子なども使用できるようになったのですが、PHP5 では、メソッドにしか final をつけることはできないようです。Changes in PHP 5/Zend Engine 2.0 の final の説明では、
PHP 5 introduces the "final" keyword to declare final members and methods.
と書かれていて、クラスのメンバ変数にも final が使えると書かれているように読めるのですが、以下のような PHP スクリプトを実行すると、エラーになりました。
<?php
class Test
{
final $arr = array( 'a', 'b', 'c' );
}
?>
Fatal error: Cannot declare property test::$arr final, the final modifier is allowed only for methods in test.php on line 4
何となく思いついたことがありましたので、以下のようなコンストラクタで自分自身のクラスを生成するという PHP スクリプトを作成して実行してみました。
<?php
class Test
{
function Test()
{
new Test();
}
}
new Test();
?>
結果は、Segmentation Fault を起こして終了します。詳しくは調べていませんが、他の言語でも同じような処理を書いて試してみたところ、Java では、例外が発生し、Ruby では、stack level too deep (SystemStackError) というエラーが表示されるだけのようです。詳しくは調べていませんが、PHP では Segmentation Fault を起こすため、あまり良くないような気がします。
大量のセキュリティ情報が出ています。リモートからコードが実行されるという非常に危険性の高いものが含まれていますので、できる限り早く内容の確認と対処を行うことが推奨されています。
また、Microsoft のセキュリティ情報リリースプロセスの改定というページによると、今回からセキュリティ情報のリリース方法が月1回の更新に変更されるそうです。予定では、米国日付で毎月第2火曜日(日本では毎月第2水曜日)となっていますが、初回は日本時間で10月16日となっています。セキュリティ修正プログラム適用のプロセスの管理の容易性と予測可能性を向上させるためとなっていますので、このページには、目を通しておくと良いかもしれません。
Authenticaode に問題があり、不正な HTML 形式の電子メールをユーザが表示すると、承認のダイアログボックスが表示されずに ActiveX コントロールがダウンロード、インストールされるという問題があるそうです。
対象は、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 となっています。Windows Me にはこの問題はないそうです。
深刻度は「緊急」になっています。直ちに修正プログラムをインストールすることが推奨されています。
回避方法として、ActiveX コントロールを無効にする方法が紹介されています。
ローカルトラブルシュータ ActiveX コントロールにセキュリティ上の問題があり、ユーザは攻撃者が細工した HTML を通して、不正な ActiveX コントロールを参照することにより、この問題が発生するそうです。
対象は、Windows 2000 SP2 から SP4 となっています。Windows NT 4.0、Windows Me、Windows XP、Windows Server 2003 ではこの問題はないそうです。
深刻度は「緊急」になっています。Windows 2000 を使用している場合は、直ちに修正プログラムをインストールすることが推奨されています。
Windows のメッセンジャサービスに問題があり、攻撃者が任意のコードが実行できる可能性があるそうです。
対象は Windows NT 4.0、Windows 2000、Windows XP、Windows 2003 となっています。Windows Me ではこの問題はないそうです。
深刻度は Windows Server 2003 以外では「緊急」になっています。メッセンジャサービスを無効にすることで、この問題は回避できますので、メッセンジャサービスが不要であれば、無効にすれば問題はありません。Windows Server 2003 ではメッセンジャサービスは規定では無効になっているそうです。
Windows の「ヘルプとサポート」の機能にセキュリティ上の問題があり、ユーザがリンクをクリックすると、ローカルコンピュータのセキュリティコンテキストで攻撃者の仕掛けたコードを実行してしまう可能性があるそうです。
対象は、Windows Me、Windows NT、Windows 2000、Windows XP、Windows Server 2003 です。
深刻度は Windows XP と Windows Server 2003 は「緊急」になっています。それ以外では「注意」になっています。
Windows で使用されているリストボックスやコンボボックスコントロールにバッファオーバーランの問題が含まれているそうです。このため、不正な Windows メッセージを使用されてしまうとこの問題が発生するそうです。この問題はリモートからでは影響を受けないとされています。
対象は Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003 となっています。Windows Me ではこの問題はないそうです。
深刻度は Windows 2000 は「重要」それ以外では「注意」になっています。
Exchange Server 5.5 のインターネットメールサービスにセキュリティ上の問題があり、これを攻撃者が悪用すると、インターネットメールサービスをシャットダウンさせたり、サーバが応答しなくなるようにする可能性があるそうです。
対象は Exchange Server 5.5 と Exchange 2000 Server です。
深刻度は Exchange Server 5.5 は「重要」、Exchange 2000 Server は「緊急」になっています。
Exchange Server 5.5 Outlook Web Access にグロスサイトスクリプティング問題があり、攻撃者が仕掛けたスクリプトをユーザが実行してしまう可能性があります。
対象は、Exchange Server 5.5 Outlook Web Access で、深刻度は「警告」になっています。
また、以下のサイトにも情報がありますので、参考にしてください。
(2003.10.26 追加)
@IT にこれらの問題に関する記事が出ています。
Linux で使用できるファイルシステムである、ext2、ext3、ReiserFS、XFS、JFS でパーティションのサイズ変更を行う方法などについての紹介や、デフラグについての情報などについて書かれています。
FTP サーバ。1.2.9rc2 以前にあったセキュリティホール(ProFTPD ASCII File Remote Compromise Vulnerability)の修正と、バグ修正が行われています。NEWS に詳細があります。
GTK+ を使用したメールクライアント、ニュースリーダ。SMTP 応答処理中のセキュリティホールの修正とバグ修正が行われています。
オープンソースのブラウザ、メールクライアント。ブラウザ部分の Mozilla Firebird と メールクライアントの Mozilla Thunderbird も同時に公開されたようです。詳しくは、Mozilla 1.5 Release Notes(日本語訳:Mozilla 1.5 リリースノート)を参照してください。Mozilla Firebird では、スラッシュドット・ジャパンの投稿に、ブックマークツールバー上のフォルダ内のアイテム上でコンテキストメニューを表示、メニュー外の適当な場所をクリックしてメニュー操作をキャンセルするとフォルダが操作できなくなるというものがありました。その他、FAQ をまとめているサイトを紹介されていますので、何か問題があれば確認しておくと良いと思います。
表示が高速なブラウザ。Windows、FreeBSD、Linux、Solaris などのプラットフォームで動作します。詳細は Opera press releases を参照してください。
個人的にいつも使用している Linux ディストリビューションは RedHat Linux なのですが、RedHat Linux の修正プログラムなどのサポート期間が Enterprise 製品以外の RedHat Linux 8.0 以下では今年中、RedHat Linux 9 で 2004年 4月30日となっています(Red Hat Linux:Errata Support Period を参照)ので、そろそろ別の Linux ディストリビューションへの乗り換えを考えています。そこで、試しに、興味のあった Gentoo Linux(日本語サイト:gentoo.gr.jp) をインストールしてみました。その時の備忘録として、Gentoo Linux のインストールメモなどを書いてみました。
Vine Linux 2.6r3 のβ版の公開テストが行われているようです。今までの修正パッケージを適用し、バグ修正が行われた安定したものをリリースするのが目的のようです。Linux Kernel は 2.4.22 が採用されるようです。
Vine Linux のロードマップのページに、今後の Vine Linux の予定などがありますので、次期リリースなどが気になる人は見ておくと良いと思います。
Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040) に関連して、緊急セキュリティ情報 IEで攻撃者の任意のプログラムが実行される危険性(MS03-040)(@IT) に詳しい情報が出ていました。
また、同じ @IT に、Windows HotFix Briefings Biweekly(10月10日版) ―― 修正プログラム適用に関する問題点、不具合情報の隔週レポート ――という情報も出ています。これによると、MS03-40 で適用した修正プログラムによって、いくつかの不具合が報告されているそうです。Windows Media Player の更新で、修正プログラムがの適用が不可になる、MS03-40 の修正プログラム適用で、別の修正プログラムが無効になるなどの問題が報告されていることが載せられています。他にもアップグレードしたときの不具合などの情報がまとめられていますので、何か問題があった場合は参考になるかもしれません。
SANS が集計したインターネットセキュリティ問題の上位20位についての情報。Windows 系と Unix 系の各10個ずつ上げられています。詳しい説明や、対処方法についても言及していますので、参考になると思います。
X Window System で動作する他言語対応のターミナルエミュレータ。
オープンソースのオフィス環境で、多くのプラットフォームで動作します。日本語版が公開されました。詳しくは、OpenOffice.org 最新バージョン 情報を見ると分かりますが、非常に多くの新機能の追加や不具合の修正などが行われています。
オープンソースのウェブブラウザ、メール環境。安定版の 1.4.1 が公開されたようです。
セキュリティ監視ツール。システムやネットワークの設定、権限などのチェックを行ってくれます。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。プレビューリリースが出たみたいです。多くは Samba 3.0.0 で見つかったバグの修正です。WHATS NEW IN Samba 3.0.1pre1も参考にしてください。
最近は、Unix 系のセキュリティホールが多いです。今度は、多くの Linux ディストリビューションや BSD でも使用されている OpenSSL にセキュリティホールが見つかっています。DoS 攻撃や、一部のバージョンでは root 権限を取得されてしまう可能性もありますので、バージョンアップしておいた方が安全です。OpenSSH など OpenSSL を使用しているサーバなどを使用している場合は、サーバ関係の再起動も行った方が良いと思います。
PHP-QAT で、PHP 4.3.4 RC1 が公開されています。多くのバグ修正が行われています。詳細は CVS の NEWS を参照してください。また、マルチバイト正規表現の置き換えを行う関数である、mb_ereg_replace で、'*' や '?' を使用して置き換えを行うと、後ろにNULL バイトが付くことがあるという問題が修正されたようです( [PHP-dev 884]mb_ereg_replaceについて )。
OpenSSL に 3つの問題が見つかり、そのうちの 2つは DoS 攻撃を許してしまうという問題で、残りの 1つは攻撃者が任意のコードを実行できてしまうという問題が報告されています。この問題を修正した OpenSSL 0.9.7c と OpenSSl 0.9.6k が公開されたようです。
詳細は、OpenSSL Security Advisory [30 September 2003] にありますが、影響を受けるのは OpenSSL 0.9.6j 以前と OpenSSL 0.9.7j 以前のバージョンで、また、OpenSSL 0.9.7b 以前では、任意のコードが実行できる問題が見つかっています。
多くの Unix 系の OS で、修正パッケージや Security Advisory が出ています。
参考:
Internet Explorer 用の累積的な修正プログラム (828750) (MS03-040) が公開されています。重要度は「緊急」になっています。
この修正プログラムでは、Internet Explorer がポップアップウインドウの呼び出し時に、Web サーバーから返されたオブジェクトタイプを適切に判断をしないために発生する問題や、XML データ接続を行っている間、Web サーバーから返されたオブジェクトタイプを適切に判断をしないために発生する問題などが修正されています。
MS03-032 や、MS03-020 など、過去の Internet Explorer 用の累積的な修正プログラムが含まれているようです。
この修正プログラムと同時に Windows Media Player の更新も行われています(Windows Media Player Script Command Patch)。これはセキュリティ修正プログラムでは無いとのことですが、DHTML の動作を悪用した攻撃から URL を開かれることを防御するための Windows Media Player に関する動作の更新が含まれれるそうですので、こちらも更新することが推奨されています。
(2003.10.13 追記)
@IT から詳しい情報が出ています。緊急セキュリティ情報 IEで攻撃者の任意のプログラムが実行される危険性(MS03-040)
修正パッケージが出ています。OpenSSL の修正パッケージは、タイトルは同じですが、RedHat 9 は任意のコードが実行できてしまう問題が見つかったバージョンの OpenSSL 0.9.7 の RPM を含むため、RedHat 7.1 から 8.0 と分かれているようです。
OpenSSL など、3つの Security Advisory が出ています。
企業内の各クライアントに対するホットフィックスの配布とその管理を行う SUS(Microsoft Software Update Service) というサービスを構築するための資料。
CD のみでも使用できる Linux ディストリビューション。Linux Kernel 2.4.22、glibc 2.3.2、KDE 3.1.3 が採用されています。日本語版として、OpenOffice 1.1 RC5 や、日本語入力システム、日本語フォント、日本語の解説などが含まれています。
スクリプト言語。リリース候補 1版。バグ修正が行われています。
リモートからセキュリティ検査を行うツール。Nessus 2.0.8 が公開されてすぐに 2.0.8a が公開されたようです。
オープンソースのオフィス環境。Windows、Linux、Mac OS、Solaris など、 X多くのプラットフォームで使用できます。前のバージョンの 1.0.3.1 から比べて多くの新機能が追加されています。日本語版はまだ準備中のようですが、近いうちに公開されると思います。
セキュリティ監視ツール。システムやネットワークの設定、権限などのチェックを行ってくれます。
10月26日分を追加。MS03-041 から MS03-047 の関連リンク追加。誤字、脱字の修正など。
10月19日分を追加。
10月13日分を追加。MS03-040 についてのリンクを追加
このページを作成。10月 5日分を追加。
LastUpdate: 2003-10-27 | HOME