FAMLog

Appleから「Security Update 2006-004 for Mac Pro」が公開されています。

Mac Proは、Mac OS X v10.4.7 Build 8K1079のバージョンで出荷されますが、Build 8K1079には2006年8月1日に公開された「Security Update 2006-004」のImageIOおよびOpenSSHに関する修正が含まれていません。これらの項目はMac Proの製造段階でテストが完全には終了していなかったため、Mac OS X v10.4.7 Build 8K1079およびMac OS X Server v10.4.7 Build 8K1079で動作しているシステムのみを対象に、このセキュリティアップデートが提供されています。

なお、2006年8月1日に公開された「Security Update 2006-004」がすでに適用されている場合には、このアップデートをインストールする必要はありません。

Appleから「Security Update 2006-004」がリリースされています。

Security Update 2006-004は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.7およびMac OS X Server v10.4.7向けのもので、下記のソフトウェアが主な更新対象となっています。

・AFP Server、AppKit、ImageIO、Bom、DHCP、dyld、fetchmail、gunzip、telnet、WebKit（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.7、Mac OS X Server v10.4.7）
・Bluetooth Setup Assistant、Image RAW、LaunchServices、OpenSSH（Mac OS X v10.4.7、Mac OS X Server v10.4.7）

なお、このセキュリティアップデートにより、Mac OS X v10.4のOpenSSHは、OpenSSH 3.8.1p1からOpenSSH 4.2p1にアップデートされます。

「DenyHosts」は、sshdサーバーデーモンへのパスワード推測攻撃の検知と阻止を支援するスクリプトです。Pythonで記述されたスクリプトであり、Linuxに限らずMac OS XやFreeBSD、Solarisでも動作します。

DenyHostsは、sshdのログをスキャンし、パスワード推測攻撃を行っていると判断されるIPアドレスを/etc/hosts.denyに追加することができます。tcp_wrappersをサポートするようにOpenSSHをコンパイルする必要がありますが、sshdの待ち受けポート番号を変更できない場合に有用です。

なお、現在よく観測されるsshdへのパスワード推測攻撃への対処には、http://jcs.org/patches/sshd-drop_brute_force.diffにあるパッチの適用も効果的です。

［参考書籍］入門OpenSSH（秀和システム）

アップルから、セキュリティ上の問題が修正された「iTunes 6.0.5」が公開されています。

このバージョンでは、iTunesでの整数オーバーフローにより、サービス拒否攻撃が引き起こされたり、任意のコードが実行される恐れがある問題（CVE-2006-1467）が修正されています。

iTunes 6.0.5は、http://www.apple.com/jp/itunes/download/から入手できます。対象OSは、Mac OS X v10.2.8またはそれ以降、Microsoft Windows XPおよびWindows 2000です。

Mac OS X v10.4.7にはセキュリティ脆弱性を修正するアップデートも含まれています。

AFPサービスでファイル名およびフォルダ名が意図せず漏洩してしまう問題や、細工されたTIFF形式の画像を閲覧すると任意のコードが実行されてしまう問題、ローカルユーザーの特権昇格を許してしまうlaunchdの問題などが、バージョン10.4.7で修正されています。

こららの問題はMac OS XおよびMac OS X Server v10.4からv10.4.6までに影響するもので、それ以前のバージョンのMac OS XおよびMac OS X Serverには影響がないとのことです。

システム管理者の立場からOpenSSHの使い方を説明した書籍「入門OpenSSH」が秀和システムから2006年6月に発売されています。

この書籍は、OpenSSHの概略とその仕組み、インストール方法、実践的な使い方からトラブルシューティング、安全に使うためのさまざまなアイデアなどについて紹介されていて、Linux、FreeBSD、SolarisおよびMac OS Xに対応した内容になっています。sshdサーバーデーモンへのパスワード総当たり攻撃を検知、阻止するためのツールとして、DenyHostsも紹介されています。

なお、この書籍の正誤表、および刊行後に更新された情報については、下記のURLで掲載される予定になっているとのことです。

http://www.unixuser.org/~euske/openssh-intro/

定価：2,415円（税込）
サイズ：B5変型
ページ数： 256
著者：新山 祐介
出版社：秀和システム
ISBN：4-7980-1348-X［Amazon.co.jpで購入...］

Appleから「Xcode Tools 2.3」が公開されています。

バージョン2.3ではWebObjects Developer Toolsに関するセキュリティ上の問題が修正されています。この問題は、WebObjects Developer Toolsをインストールしている場合に、Xcodeを起動していると発生する問題であったようです。

Xcode Tools 2.3は、http://developer.apple.com/tools/download/からダウンロードでき、Mac OS X v10.4.xで動作します。

Appleから「Security Update 2006-003」が公開されています。

Security Update 2006-003は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.6およびMac OS X Server v10.4.6向けのもので、下記のソフトウェアが主な更新対象となっています。

・AppKit、ImageIO、BOM、CoreFoundation、Finder、FTPServer、Flash Player、Keychain、Mail、QuickDraw、Ruby（Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.6、Mac OS X Server v10.4.6）
・CFNetwork、CoreGraphics、LaunchServices、libcurl、Preview、Safari（Mac OS X v10.4.6、Mac OS X Server v10.4.6）
・QuickTime Streaming Server（Mac OS X Server v10.3.9、Mac OS X Server v10.4.6）
・ClamAV、MySQL Manager（Mac OS X Server v10.4.6）

Security Update 2006-003だけでなく、セキュリティ上の問題が多数修正された「QuickTime 7.1」も同時に公開されています。

（2007/01/08追記：リンク先のページがなくなっていたので、リンク先のURLを一部変更しました。）

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8b」および「OpenSSL 0.9.7j」が公開されています。

バージョン0.9.8bと0.9.7jでは重要な不具合の修正が含まれています。その他に、OpenSSL 0.9.7jではFIPS（Federal Information Processing Standards：米国連邦情報処理規格）関連の更新も含まれていて、有効なFIPSモジュールにリンクできる最初のバージョンのOpenSSLであるとのことです。

最新バージョンはバージョン0.9.8系列ですが、バージョン0.9.7系列のOpenSSLを引き続き利用する場合には、今回公開されたOpenSSL 0.9.7jの適用が推奨されています。

Mac OS X v10.4.5以降用の「J2SE 5.0 Release 4」には、セキュリティ上の問題を修正するアップデートも含まれています。

信頼されないJavaアプリケーションやJavaアプレットに対して上位アクセス権の獲得を許可してしまうセキュリティ上の問題がありましたが、J2SE 5.0 Release 4では、内部バージョン番号が1.5.0_06であるJ2SEに更新することで、その問題を解決しています。

さらに、Javaインプットメソッドのマイナーなセキュリティ関連の修正も、このアップデータに含まれているとのことです。