HOME | LastUpdate: 2003-12-29
今年ももう終わりですね。PHP4 のインストールメモで書いていた PHP のバージョンが古くなっているような気がしましたので、全体的に修正しました。
あと、ある方から、PHP の Namazu モジュールのインストールの configure でエラーが出てしまうという質問をいただいたのですが、それに返信しようとしたところ、Relay operation rejected というエラーのため、返信できませんでした。数回試したのですが、Asahi-Net のメールサーバからはどうしても返信できないようですので、代わりに PHP4 のインストールメモのページを更新したついでに質問に対するコメントを追加しておきました。もし、メールを送って下さった方で、このページを見ておられましたら、PHP の Namazu モジュールがインストールできない場合についてという項目を読んでください。
PHP 5 beta 3 が公開されました。
PHP 5.0 beta2 からの新機能や修正点については、PHP5 の ChangeLog を参照してください。拡張モジュールに tidy が追加され、PCRE ライブラリのバージョンが 4.5 にアップグレードされています。また、Windows 95 のサポートが打ち切られているようです。その他、多くの関数が追加され、XSLT 関数として、任意のPHP の関数が使用できる([PHP-users 19564] Re: PHP5.0.0 Beta3 Released!!)ようになっているようです。
また、[PHP-users 19491] PHP5.0.0 Beta3 Released!! では、PHP の QA テストの結果を送信する方法が投稿されています。
Bugtraq に Hijacking Apache https by mod_php 投稿がありました。
PHP 4.2.x と PHP 4.3.x を Apache 2.0.x で mod_php(DSO) で使用している場合に、https をハイジャックすることが可能なファイルディスクリプタを漏洩させてしまうそうです。
Exploit コードが付いていましたので、Gentoo Linux 1.4 で Apache 2.0.48 と PHP 4.3.4 をインストールして少し試してみましたが、うまく再現させることができませんでした。RedHat Linux 8.0 と 9 のパッケージでインストールした場合しか再現しないのかもしれません。
カーネルのバグ修正パッケージが公開されています。RedHat からの公式な修正パッケージは、RedHat Linux 7.1 から 8.0 までは、12月31日で、RedHat Linux 9 は 2004年 4月30日で終了することになっています。詳しくは、Eratta Support Period(日本語サイト:Errata提供期間についてを参照してください。
Cisco PIX ファイアフォールの SNMPv3 のメッセージ処理の問題により、DoS 攻撃を受ける可能性があるという問題、Cisco Firewall Services Module のバージョン 1.1.2 以前にバッファオーバーフローなどの複数の問題、lftp 2.6.9 以前に存在するバッファオーバーフロー問題、Sun Solaris の lpstat コマンドと libprint ライブラリに、ローカルユーザが root 権限を取得できる可能性があるという問題、BIND 8 や、rsync、GnuPG などのツールに含まれるセキュリティ問題の追加情報などのレポートです。
ZDNet から。
セキュリティ監査ツール。監査項目が増えています。
オープンソースのデータベース管理システム。多くのバグ修正が行われています。詳しくは、NEWS (PostgreSQL 7.4.1 Released)を参照してください。
スクリプト言語。次期バージョンのベータ版。
オブジェクト指向のスクリプト言語。Ruby 1.8.1 Preview 4 が公開され、その後、すぐに Ruby 1.8.1 が公開されたようです。バグ修正が中心のようです。
最近はブラウザ関連でいろいろと問題が見つかっています。Internet Explorer では、年が明けるまでは Microsoft からの修正プログラムの公開はないと考えた方が良さそうですので、Microsoft が公開している成りすました Web サイトか見分ける手順についてを参考にして対処を行うか、Javascript を無効にするなどの対策を行っておいた方が安全です。
hoshikuzu|stardustの書斎というページで、IE の新セキュリティーホールとはてなダイアリーXSS 対策という文書が公開されています。Internet Explorer では、スタイルシート内に記述されている Javascript を実行してしまうという問題があるのですが、この問題を悪用すると、ユーザがスタイルシートを自由に記述できる日記サイトや Web メールシステムなどで、ユーザが Javascript が記述されたスタイルシートを登録し、他人の Cookie を盗んだり、他のサイトへ誘導するなど、多くのことが可能になってしまいます。
はてなダイアリーでは、この問題に対処するために多くの対策を行っているそうなのですが、Internet Explorer は、非常に曖昧な書き方でも解釈してしまうらしく、完全な対策が取れていなかったため、はてなダイアリーでは、修正を行ったとのことです。しかし、この問題を抱えているシステムが多く存在している可能性があり、気をつける必要があります。
この問題に関連して、多くの情報がありますので、以下も参照してください。
また、はてなダイアリーXSS対策というページでは、クロスサイトスクリプティング脆弱性対策として、はてなダイアリーで行っている処理一覧が書かれています。Web 開発を行っている人には非常に参考になる文書だと思いますの読んでおくと役に立つと思います。
Mozilla に CSS を使った XSS 脆弱性が発見される という記事が投稿されています。ただし、コメントに、スタイルシートからの Javascript が実行されることはなかったという報告があります。実際に、Windows 版の Mozilla 1.6b を使って以下のようなスクリプトが実行できるかどうかを試してみましたが、スタイルシートを記述する場所からは Javascript を実行することはできませんでした(Internet Explorer 6 では Javascript が実行されます)。
<style type="text/css">
@impor\0t url('javascript:alert("test1")');
@impor\0t url(javascript:alert('test2'));
</style>
外部のスタイルシートから Javascript が実行できる場合、Internet Explorer と同様に、問題のある掲示板を表示するだけで、別のサイトに移動させられたり、Cookie 情報を盗まれたりする可能性があります。
Mozilla 1.6b では、以下のようにスタイルシートを記述すれば外部のサイトのスタイルシートを取り込むことは可能ですが、外部のスタイルシートに Javascript を書いても実行されませんでした。もし、Mozilla でスタイルシートに書かれた Javascript が実行できないのであれば、スタイルシート設定が上書きされる可能性はありますが、Internet Explorer ほど危険性は高くはないということになりそうです。
<style type="text/css"> @impor\0t 'http://example.com/test.css'; </style>
Windows HotFix Briefings Biweekly(12月19日版)(@IT)が出ています。以下の不具合についてのレポートがあります。特に、Internet Explorer のアドレス表示が偽装される問題については読んでおくことをお勧めします。
また、Microsoft が公開している技術情報の成りすました Web サイトか見分ける手順についてについても読んでおくと良いと思います。
ISS から、Microsoft Internet Explorer URL Spoofing Vulnerability という記事が出て、Microsoft Internet Explorer domain URL spoofing filter という URI の偽装を回避するツールを公開したようです。自己責任で使用するように書かれていますが、Microsoft が正式な修正プログラムを公開するまで待てない場合はインストールすると良いと思います。
Bugtraq に投稿された、lftp buffer overflows によると、コマンドラインから使用できる FTP クライアントの lftp のバージョン 2.6.9 以下のおそらく全てのバージョンに HTTP または HTTPS で接続した際に、不正な index.html を読み込んでしまうと、Buffer Overflow を引き起こすという問題が指摘されています。
この問題は lftp 2.6.10 で修正されています。また、多くの Linux ディストリビューションや BSD 系の OS では、修正パッケージや Security Advisory を出しています。
Apache のアップデートでは、Apache 1.3.29 と Apache 2.0.48 で修正された設定ファイル内の正規表現の取り扱いについての問題が修正されています。
Vine Linux 2.6r3 への更新が推奨されています。緊急ではないそうですが、多くの細かいバグが修正されています。また、lftp と murasaki の修正パッケージが公開されています。
Vine Linux 2.5/2.6 を使用している場合は、Vine Linux 2.6r3 を新規に入れ直さなくても、apt コマンドを使用してアップデートすれば、2.6r3 と同等になると思います。
# apt-get dist-upgrade
Cisco ACNS の認証モジュールのバッファオーバーフロー問題、GnuPG の ElGamal 鍵の生成と使用方法に脆弱性があり、秘密鍵が漏洩する問題、IBM ベースの Cisco Unity サーバの工場出荷時設定に外部からログイン可能なユーザが登録されたままになっている問題、Sun Solaris の dtprintinfo の問題、rsync に含まれる脆弱性に関する追加情報、SSL/TLS の実装に含まれる脆弱性に関する追加情報などに関するレポートです。
@IT から。sudo の設定と安全な使い方についての説明があります。
PostgreSQL 7.3.5 と 7.4、psqlODBC 7.03.0200 などについの新機能や修正点についての情報が公開されています。
セキュリティや、技術情報、数学入門など、さまざまなレポート。
Security Focus から。Introduction to Nessus の続きです。Nessus からスキャンを行う時の方法について解説されています。
オブジェクト指向言語。1.3 系のメンテナンスリリースのようです。修正点などはリリースノートにあります。
バージョン管理システム。セキュリティ修正が含まれています。
オープンソースのネットワーク侵入検知システム(NIDS)。Snort 2.0.6 は 2.0 系の最終になるそうです。Snort 2.1.0 は Snort 2.0.6 の修正が全て含まれ、機能追加が行われています。
Linux カーネル。2.6 系の正式版が公開されました。
オープンソースのデータベースサーバ。詳しくは、MySQL Announcements を参照して下さい。
GTK+ を使用した電子メールクライアント、ニュースリーダ。Sylpheed 0.9.8 にキャッシュデータの読み込みに失敗するというバグが見つかったため、修正されています。
Java ベースのビルドツール。動作には JDK 1.2 以上が必要とされています。変更点や新機能については、Changes from Ant 1.5.4 to Ant 1.6 にあります。マニュアルとして、Apache Ant 1.6.0 Manual も公開されています。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。新機能や修正点は WHATS NEW IN Samba 3.0.1 と、ChageLog-3.0.0-3.0.1 を参照してください。また、Miracle Linux から、Samba 国際化プロジェクトのページが公開されています。動作検証の結果や、確認されている問題点などの一覧が掲載されています。
コマンドラインから使用できる FTP クライアント。セキュリティ修正が行われています。
メールでフィードバックをいただきましたので、PHP マニュアルを表示する Vim スクリプトを更新しました。
セキュリティ関係の話題ですが、多くのブラウザで URI を偽装できてしまう問題が報告されています。特に Internet Explorer では、アドレスバーに表示される URI が偽装できてしまうため、表示されているページが思っているサイトのものかどうがが判断できない可能性があります。問題の少ない他のブラウザを使用するようにするか、入力フォームに個人情報などを入力しないようにするなど、しばらくはユーザが個人で対処するしかないと思います。
Vim では、.vimrc に、
source $VIMRUNTIME/ftplugin/man.vim
を入れておくと、\K や、:Man <コマンド名> でウインドウを分割して man を表示してくれるのですが、どうも日本語のマニュアル(jman)を表示しようとすると、コントロールコードなどが表示されて、読みにくくなっていました。
それに対処するために、man.vim を変更してみました。他にもっと良い方法があるかもしれませんが、とりあえず、特に問題がないように見えましたので、メモしておきます。Gentoo Linux 1.4 の Vim 6.2.140 で確認しました。
まず、man.vim をホームディレクトリにコピーし、オリジナルを変更しないようにします。
$ cp /usr/share/vim/vim62/ftplugin/man.vim ~/.vim/ftplugin/man.vim
以下の部分を変更します。左の数字は行番号です。
1 " Vim filetype plugin file 2 " Language: man 3 " Maintainer: Nam SungHyun <namsh@kldp.org> 4 " Last Change: 2003 Mar 25 143 silent exec "norm 1GdG" 144 let $MANWIDTH = winwidth(0) 145 silent exec "r!/usr/bin/man ".s:GetCmdArg(sect, page)." | col -b" 146 " Remove blank lines from top and bottom.
145行目を以下のように変更しました。
144 let $MANWIDTH = winwidth(0) 145 silent exec "r!/usr/bin/man ".s:GetCmdArg(sect, page) 146 silent exec '%s/\(^[\[[0-9]*m\|.^H\)//g' 147 " Remove blank lines from top and bottom.
^[ は、Control-V を押してから ESC キーを押すと入力できます。^H は、Control-V を押してから Control-H を押すと入力できます。
変更したら、~/.vimrc に、以下の行を追加します。
source ~/.vim/ftplugin/man.vim
もし、既に以下の行があればコメントアウトするか、削除しておいて下さい。
source $VIMRUNTIME/ftplugin/man.vim
::Operash:: から、[Opera 7] 外部から任意のローカルファイルが削除される脆弱性 (03-12-12) についての情報が公開されています。Opera 7.22 以前のバージョンの問題で、Opera 7.23 にバージョンアップすることが推奨されています。
ただ、続・ペンギンもオペラを嘆くに、Opera 7.23 でも、「先日公開された MIME タイプに関係するセキュリティーホールが、完全には修正されていない可能性が高いことが判明している」と書かれています。Opera 7.23 にバージョンアップした後も、"application/x-opera-configuration-xxxx"のMIMEタイプは「ダウンロードダイアログを表示する」等に変更しておく事が推奨されていますので、Opera を使用しているユーザは参考にしてください。
12月10日は Windows Update の予定日だったのですが、12月分の定例パッチはなし――米MicrosoftがWebで告知(ZDNet) などによると、修正プログラムの公開はないそうです。
新たな問題がなかったというわけではありませんので注意が必要です。Internet Explorer では、11月下旬に多くのセキュリティ問題が報告されていますし、他にも、IEにURLを偽装できるパッチ未公開の脆弱性が発見される(INTERNET Watch)によると、URI を偽装できるという問題も報告されましたURI を偽装できる問題については、セキュリティホール memo の 2003.12.11 の情報に、Internet Explorer を含めた多くのブラウザで調査した結果など、詳しいまとめがあります。
スラッシュドット・ジャパンに、CVS に不正ディレクトリ作成の脆弱性発覚という記事がありました。Concurrent Versions System の CVS 1.11.9 以前と CVS 1.12.2 以前のバージョンで、サーバ機能に不正なリクエストによって CVS リポジトリの置かれているファイルシステムのルートにディレクトリを作成できてしまうという問題があったそうです。その問題が修正された、CVS 1.11.10 と、CVS 1.12.3 が公開されました。
12月 9日には、CVS 1.12.4 も公開されました。
もじら組ニュースによると、Internet Explorer など、多くのブラウザ問題になっている URI を偽装できてしまう問題ですが、Mozilla でもステータスバーの表示を偽装できてしまう問題が見つかっています(Mozilla / Netscape に、on mouse でステータスバーに表示されるURLを偽装できる脆弱性)。
アドレスバーの URI は偽装できないそうですので、アドレスバーを確認することで URI が偽装されていないかどうかは確認することができます。セキュリティホール memo の 2003.12.11 の情報に、よく使われているブラウザについてのまとめがありますので、確認しておいた方が良いと思います。
OpenSSH 情報 で知ったのですが、OpenSSH PAM Conversation Memory Scrubbing Weakness(Security Focus) の情報によると、OpenSSH の PAM モジュールに問題があり、証明書のような重要な情報のメモリが消去されない可能性があるため、異常終了した通信を扱わないことがあるそうです。
OpenSSH 情報 にもう少し詳しい説明があります。OpenSSH 3.7.1p2 からは PAM のサポートがデフォルトで無効になっているそうですが、OpenSSH を PAM を有効にして運用している場合は、注意した方が良いかもしれません。
GnuPG のセキュリティホール修正パッケージが公開されています。
CVS と GnuPG の Security Advisory が出ています。
インターネット定点観測システムサービス提供開始のお知らせと、Linux カーネル 2.4.22 以前の do_brk() 関数で起こるバッファオーバーフローの問題、rsync 2.5.6 以前で、サーバとして実行していた場合に起こるバッファオーバーフローの問題、HP-UX の shar コマンドが /tmp に予測可能な名前で一時ファイルを作成してしまう問題、Sun Solaris の Xsun に任意のファイルを上書き、作成できてしまう問題、ISC BIND 8 に含まれる問題の追加情報などのレポートです。
日本 Snort ユーザ会が発足しています。Snort や IDS についてのコンテンツ整備やセミナーの開催、調査研究、情報提供などが予定されているそうです。詳しくは、日本 Snort ユーザ会設立のお知らせ がにあります。
@IT から。HTML の入力フォームからのデータを受け取る際の攻撃方法や、その対処方法についての解説です。
@IT から。不正アクセスを受けたサーバから揮発性情報を取得する際の注意点などについての解説です。
GTK+ を使用した電子メールクライアント、ニュースリーダ。オフラインモードの追加、MH フォルダ読み込み時の処理速度向上などが行われています。
ネットワークプロトコルアナライザ。不正な SMB パケットを受けた時に Segmentation Fault を起こすセキュリティ上の問題が修正されています(Security problems in Ethereal 0.9.16)。
UNIX 系 OS で動くクライアント・サーバー型の日本語入力システム。Canna 3.6p1 で修正されたセキュリティホールの修正と、多くの変更が含まれているそうです。詳細は、CHANGES.jp を参照すると良いようです。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。Samba 3.0.1 のリリースリリース候補 2が公開されました。新機能や修正点は WHATS NEW IN Samba 3.0.1rc2 にあります。
オープンソースのブラウザ、メール環境。Mozilla 1.6 のベータ版が公開されました。詳しくは、Mozilla 1.6 Beta Release Notesを参照してください。
バージョン管理システム。セキュリティ修正とバグ修正が行われています。安定版の CVS 1.11.10 と CVS 1.12.4 が公開されています。
オブジェクト指向のスクリプト言語。1.8.1 のプレビュー版第 3版。
オブジェクト指向言語。リリースノートを見ると、現在公開されている証明書ファイルの CA 証明を出荷とあります。詳しくは、Release Notes Java[tm] 2 SDK, Standard Edition Version 1.4.2_03(日本語訳:J2SE 1.4.2_03 アップデートリリースノート)を参照してください。
急に寒くなりました。
rsync をサーバとして動作させていると、外部から侵入されるセキュリティホールが見つかっています。Linux カーネルのセキュリティホールと組み合わせることで root 権限を取得することも可能とされていますので、rsync server を運用している場合は特に気をつけた方が良いと思います。
Project Vine から Vine Linux 2.6r3 が公開されたようです。ほぼミラーサイトに行き渡ったようですので、ダウンロードする際は、ring server の、Vine Linux のディレクトリから行うと良いと思います。
Project Vine のトップページに Vine Linux 2.6r1 からの変更点が載せられています。Vine Linux 2.5r3-rc4 からの変更点は12月 5日までに公開されたセキュリティアップデートの収録、gtcd, gmc(gnome-libs) のバグ修正、ドキュメントの修正が行われているそうです。
Linux カーネルが 2.4.22 ベースに更新され、ドライバの追加やバグ修正、ドキュメントの追加などが行われていますが、glibc や gcc、XFree86、gnome などのバージョンアップなどはないようです。
スラッシュドット・ジャパンの投稿にもありましたが、Gentoo Linux の rsync サーバの一つが侵入されたそうです(GLSA: rsync.gentoo.org rotation server compromised (200312-01))。Portage Tree への侵入は確認されていないということですが、Gentoo Linux を使用していて、侵入されたサーバの Portage Tree を同期していた可能性がある場合には、別のサーバを指定して、
# emerge sync
を実行することが推奨されています。
また、[gentoojp-users 903] Re: GentooとF SFのサーバーにも侵入事件が発生によると、rsync のセキュリティホールを利用してサーバに侵入された可能性などが指摘されています。Gentoo Linux の Portage Tree でも rsync のバージョンが上がっていますので、rsync server として動作させている場合は、rsync をバージョンアップして上で、設定ファイルに以下のように設定して運用しておくと良いそうです。
use chroot = yes
また、Free Software Foundation のサーバも侵入されていたという報告(Savannah Announcement)もありました。最近、Linux などの Unix 係のツールやカーネルでセキュリティホールが見つかっていますので、バージョンの確認などを行った方が良いと思います。
rsync 2.5.6 以前に heap over flow のセキュリティホールが見つかり、rsync 2.5.7 が公開されています。
rsync のページに、rsync 2.5.6 Security Advisory として、詳細が書かれていますが、rsync server として動作させていた場合、外部から任意のコードをサーバの動作権限で実行させることが可能だったそうです。Linux カーネルの brk() のセキュリティホールと組み合わせることで、外部からサーバの root 権限の取得が可能とされています。
rsync server として動作させる場合、rsyncd.conf で以下のように設定することで被害を最小限にとどめることができそうです。
use chroot = yes
rsyncd.conf の設定については、man を参照すると良いと思います。rsyncd.conf
また、rsync server が動作しているかどうかは、netstat コマンドで、TCP の Port 837 を LISTEN しているかどうかで調べることが可能です。
修正プログラムについての追加情報が多くのサイトで掲載されていますので、リンクのメモをしておきます。
最新の修正プログラムを適用した後も残る Internet Explorer の不具合や、Excel 97 で郵便番号変換ウィザードが機能しなくなる不具合などについての情報があります。
読むには登録が必要ですが、Internet Explorer についての不具合がまとめられています。また、他のブラウザへ乗り換えるときの注意点などについても言及されています。
Linux Kernel、Net-SNMP、rsync などのセキュリティ修正パッケージが公開されています。
最近報告されたセキュリティホールに対する多くの修正パッケージが公開されています。
Gentoo Linux 本家から Security Advisory が出ています。
11月は届出件数が多かったそうです。また、年末年始に備えて、対策の総点検が呼びかけられています。
BIND のセキュリティホール、OpenSSH のセキュリティホール追加情報などについてのレポート。
オープンソースの Web アプリケーション侵入検知、防止エンジン。Apache 2 で PHP を使用している際に起こる問題の修正などが行われたそうです。
オープンソースのデータベース管理システム。バグ修正が行なわれています。修正点などの詳細は PostgreSQL 7.3.5 Update Released にあります。
ネットワーク負荷の監視、グラフ化ツール。細かくバージョンアップが繰り返されていますので、落ち着くまで待った方が良いかもしれません。11月29日に MRTG 2.10.6 が公開されてから一週間で 6回くらいバージョンアップが行われています。詳細は、MRTG の ChangeLog を参考にしてください。
オープンソース、マルチプラットフォームのメールクライアント、ニュースリーダ。詳細は、Mozilla Thunderbird 0.4 Release Notes(日本語訳)にあります。
ファイル転送ツール。rsync 2.5.6 にセキュリティ上の問題が見つかったため、その修正が行われています。rsync 2.5.7 の NEWS に詳細があります。
Java Servlet と Java Server Pages の実装。Tomcat 5 が安定版になったようです。詳細は、Apache Tomcat Version 5.0.16 Release Notes を参照してください。
ブラウザ。Windows 用の日本語版がダウンロード可能になったようです。Opera 7.22 のセキュリティホールが修正されています。
Unix 系の OS で動作するオープンソースの Windows NT / 2000 互換のファイル、プリントサーバ。Samba 3.0.1 のリリースリリース候補 1が公開されました。新機能や修正点は Samba 3.0.1rc1 Release Note にあります。
オブジェクト指向のスクリプト言語。プレビュー版。
12月28日分を追加。
12月21日分を追加。
12月14日分を追加。
このページを作成。12月 7日分を追加。
LastUpdate: 2003-12-29 | HOME