FAMLog

FAMLog

OpenSSL 0.9.8a and 0.9.7h

October 11, 2005

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8a」および「OpenSSL 0.9.7h」がリリースされています。

バージョン0.9.8aおよび0.9.7hでは、OpenSSLを利用するサーバーアプリケーションにおいてSSL_OP_MSIE_SSLV2_RSA_PADDINGオプションを有効にした場合に発生する、セキュリティ上の問題CAN-2005-2969)が修正されています。

この問題が悪用されると、セキュリティ面で多くの弱点を有するSSL 2.0に強制的に後退させることが可能であり、多くのサードパーティ製ソフトウェアが影響を受けると考えられます。

Tag: Security

Apache HTTP Server 2.1.8-beta

October 03, 2005

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.8-beta」がリリースされています。

Apache 2.1.8-betaでは新たにapachectlコマンドでgraceful-stopがサポートされています。既存のリクエストが終了するまで、もしくはGracefulShutdownTimeoutディレクティブで指定されている秒数が経過するまで、サーバーは終了処理を待機するようになります。

セキュリティ脆弱性の修正も行われており、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。

(関連)mod_ssl 2.8.24 for Apache 1.3.33

(2006/01/03追記:リンク先のURLを一部変更しました。)

Tag: Apache

APPLE-SA-2005-09-13 Java Security Update

September 16, 2005

Mac OS X v10.3.9を対象とした「Java Security Update」がAppleからリリースされています。

Java 1.3.1 and 1.4.2 Release 2がMac OS X v10.4以降向けのものであるのに対し、今回リリースされたJava Security UpdateはMac OS X v10.3.9向けのものです。

このアップデートによりセキュリティ上の問題(CAN-2005-2527CAN-2005-2530およびCAN-2005-2738)が修正されると共に、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

APPLE-SA-2005-09-13 Java 1.3.1 and 1.4.2 Release 2

September 15, 2005

Appleから「Java 1.3.1 and 1.4.2 Release 2」がリリースされています。

Java 1.3.1 and 1.4.2 Release 2は、Mac OS X v10.4以降向けのもので、セキュリティ上の問題(CAN-2005-2527CAN-2005-2528およびCAN-2005-2529)も修正されています。

このアップデートにより、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

mod_ssl 2.8.24 for Apache 1.3.33

September 05, 2005

Apache HTTP ServerにSSL機能を追加するモジュール「mod_ssl 2.8.24 for Apache 1.3.33」がリリースされています。

このバージョンにはセキュリティ脆弱性の修正が含まれていて、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。

Tag: Apache

APPLE-SA-2005-05-31 QuickTime 7.0.1

June 02, 2005

アップルから、セキュリティ脆弱性の修正を含んだ「QuickTime 7.0.1」がリリースされています。

悪意を持って作られたQuartz Composerオブジェクトを含むQuickTimeムービーによってデータが漏洩するQuickTime 7.0の問題(CAN-2005-1334)が、バージョン7.0.1で修正されています。

QuickTime 7は現在Mac版だけ配布されていることもあり、上記の問題はWindows用QuickTimeでは発生しません。

Tag: Security

APPLE-SA-2005-05-09 iTunes 4.8

May 11, 2005

アップルから、セキュリティ脆弱性の修正を含んだ「iTunes 4.8」が配布されています。

このバージョンでは、iTunesのバッファーオーバーフローにより、サービス拒否攻撃が引き起こされたり、任意のコードが実行される恐れがある問題(CAN-2005-1248)が修正されます。

iTunes 4.8は、Mac OS X v10.2.8以降、Microsoft Windows XPおよびWindows 2000向けのものが、アップルのWebサイトから無料でダウンロードできます。

Tag: Security

APPLE-SA-2005-05-03 Security Update 2005-005

May 09, 2005

AppleからSecurity Update 2005-005がリリースされています。

Security Update 2005-005は、Mac OS X v10.3.9およびMac OS X Server v10.3.9向けにリリースされたもので、下記のソフトウェアが更新されます。

・Apache、AppKit、AppleScript、Bluetooth、Directory Services、Finder、Foundation、Help Viewer、LDAP、libXpm、lukemftpd、sudo、Terminal、VPN(Mac OS X v10.3.9、Mac OS X Server v10.3.9)
・NetInfo、Server Admin(Mac OS X Server v10.3.9)

Apacheに関連する部分では、htdigestプログラムでバッファーオーバーフローが発生する問題(CAN-2005-1344)が修正されています。

Tag: Security

APPLE-SA-2005-04-19 Security Update 2005-004

April 21, 2005

AppleからSecurity Update 2005-004がリリースされています。

Security Update 2005-004では、iSync 1.5の補助ツールであるmRouterに含まれるバッファーオーバーフローによりローカルで権限昇格が発生する脆弱性(CAN-2005-0193)が修正されています。

iSync 1.5だけでなくiSync 1.4もこの脆弱性の影響を受けるため、iSync 1.5に更新した上でSecurity Update 2005-004を適用することが推奨されています。

Tag: Security

APPLE-SA-2005-02-22 Security Update 2005-002

February 23, 2005

AppleからSecurity Update 2005-002がリリースされています。

Security Update 2005-002はJava 1.4.2を利用しているMac OS X向けのアップデートで、信頼できないアプレットがより高い権限を入手して任意のコードを実行する可能性がある問題(CAN-2004-1029)を修正するために、Javaをアップデートしています。

なお、Mac OS X上でJava 1.4.2より前のリリースでは、上記の問題は発生しません。

Tag: Security

About This Blog

Information

Recent Slides

Recent Entries

Archives

Links

このページの上へ