FAMLog

FAMLog

APPLE-SA-2006-02-14 Mac OS X v10.4.5

February 17, 2006

Mac OS X v10.4.5およびMac OS X Server v10.4.5にはセキュリティ脆弱性を修正するアップデートも含まれていて、カーネルのセキュリティ脆弱性が修正されます。

悪意あるローカルユーザーが、文書化されていないシステムコールを呼び出すことで、システムクラッシュを引き起こす可能性があった問題(CVE-2006-0382)がバージョン10.4.5で修正されており、今回の更新によりカーネルから該当するシステムコールが取り除かれています。

Tag: Security

OpenSSH 4.3

February 02, 2006

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装である「OpenSSH 4.3」がリリースされています。

OpenSSH 4.3では、細工されたファイルをコピーした際に意図しないコマンドの実行を許可してしまうセキュリティ上の問題(CVE-2006-0225)が修正されています。

その他に、クライアント・サーバー間でレイヤー2もしくはレイヤー3でVPN環境を作成する実験的な機能が追加されています。

(参考)OpenSSH情報 - OpenSSH 4.3 リリース

Tag: Security

Apache HTTP Server 2.1.9-beta

November 09, 2005

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.9-beta」がリリースされています。

Apache 2.1.9-betaでは、mod_dbd、mod_filterおよびmod_charset_liteの各モジュールのステータスがExperimentalではなくなり、正式に標準で付属するモジュールとして扱われるようになっています。

また、worker MPMにおけるメモリーリークが原因で、ある特定の状況下でサービス妨害攻撃が引き起こされるセキュリティ脆弱性(CVE-2005-2970)が修正されています。

(2006/01/03追記:リンク先のURLを一部変更しました。)

Tag: Apache

Apache HTTP Server 1.3.34

October 19, 2005

Apache HTTP Server 1.3.34」がリリースされています。

Apache 1.3.34では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブが追加されています。

また、Apache 1.3.34のリリースにあわせて「mod_ssl 2.8.25 for Apache 1.3.34」もリリースされています。

Tag: Apache

Apache HTTP Server 2.0.55

October 14, 2005

Apache HTTP Server 2.0.55がリリースされています。このバージョンには5点のセキュリティ脆弱性の修正が含まれています。

Apache 2.0.55では、Transfer-EncodingヘッダーとContent-Lengthヘッダーが含まれたリクエストの処理に帰因する脆弱性(CAN-2005-2088)、PCRE正規表現ライブラリに存在する整数オーバーフローの脆弱性(CAN-2005-2491)、mod_sslの脆弱性2点(CAN-2005-2700CAN-2005-1268)、byterangeフィルタが原因でサービス拒否攻撃につながる脆弱性(CAN-2005-2728)が修正されています。

また、OpenSSL 0.9.8に対応し、Mac OS X v10.4で発生する不具合など数多くの不具合が修正され、TRACEメソッドに対する挙動を調整できるTraceEnableディレクティブも新たに追加されています。

Tag: Apache

OpenSSL 0.9.8a and 0.9.7h

October 11, 2005

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8a」および「OpenSSL 0.9.7h」がリリースされています。

バージョン0.9.8aおよび0.9.7hでは、OpenSSLを利用するサーバーアプリケーションにおいてSSL_OP_MSIE_SSLV2_RSA_PADDINGオプションを有効にした場合に発生する、セキュリティ上の問題CAN-2005-2969)が修正されています。

この問題が悪用されると、セキュリティ面で多くの弱点を有するSSL 2.0に強制的に後退させることが可能であり、多くのサードパーティ製ソフトウェアが影響を受けると考えられます。

Tag: Security

Apache HTTP Server 2.1.8-beta

October 03, 2005

Apache HTTP Serverの次期バージョンの開発途上版「Apache HTTP Server 2.1.8-beta」がリリースされています。

Apache 2.1.8-betaでは新たにapachectlコマンドでgraceful-stopがサポートされています。既存のリクエストが終了するまで、もしくはGracefulShutdownTimeoutディレクティブで指定されている秒数が経過するまで、サーバーは終了処理を待機するようになります。

セキュリティ脆弱性の修正も行われており、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。

(関連)mod_ssl 2.8.24 for Apache 1.3.33

(2006/01/03追記:リンク先のURLを一部変更しました。)

Tag: Apache

APPLE-SA-2005-09-13 Java Security Update

September 16, 2005

Mac OS X v10.3.9を対象とした「Java Security Update」がAppleからリリースされています。

Java 1.3.1 and 1.4.2 Release 2がMac OS X v10.4以降向けのものであるのに対し、今回リリースされたJava Security UpdateはMac OS X v10.3.9向けのものです。

このアップデートによりセキュリティ上の問題(CAN-2005-2527CAN-2005-2530およびCAN-2005-2738)が修正されると共に、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

APPLE-SA-2005-09-13 Java 1.3.1 and 1.4.2 Release 2

September 15, 2005

Appleから「Java 1.3.1 and 1.4.2 Release 2」がリリースされています。

Java 1.3.1 and 1.4.2 Release 2は、Mac OS X v10.4以降向けのもので、セキュリティ上の問題(CAN-2005-2527CAN-2005-2528およびCAN-2005-2529)も修正されています。

このアップデートにより、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

mod_ssl 2.8.24 for Apache 1.3.33

September 05, 2005

Apache HTTP ServerにSSL機能を追加するモジュール「mod_ssl 2.8.24 for Apache 1.3.33」がリリースされています。

このバージョンにはセキュリティ脆弱性の修正が含まれていて、バーチャルホスト構成のサーバーで「SSLVerifyClient optional」の設定をしている場合に、Locationコンテクストで「SSLVerifyClient require」の設定が正常に機能せずに、クライアント認証が行われない問題(CAN-2005-2700)が修正されています。

Tag: Apache

About This Blog

Information

Recent Slides

Recent Entries

Categories

Archives

Links

このページの上へ