FAMLog


OpenSSL 0.9.8a and 0.9.7h

October 11, 2005

通信暗号化ライブラリとして広く利用されているOpenSSLの新バージョン「OpenSSL 0.9.8a」および「OpenSSL 0.9.7h」がリリースされています。

バージョン0.9.8aおよび0.9.7hでは、OpenSSLを利用するサーバーアプリケーションにおいてSSL_OP_MSIE_SSLV2_RSA_PADDINGオプションを有効にした場合に発生する、セキュリティ上の問題CAN-2005-2969)が修正されています。

この問題が悪用されると、セキュリティ面で多くの弱点を有するSSL 2.0に強制的に後退させることが可能であり、多くのサードパーティ製ソフトウェアが影響を受けると考えられます。

Tag: Security

APPLE-SA-2005-09-22 Security Update 2005-008

September 26, 2005

Appleから「Security Update 2005-008」がリリースされています。

Security Update 2005-008は、Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.2およびMac OS X Server v10.4.2向けのもので、下記のソフトウェアが更新対象となっています。

・Mail、malloc、QuickDraw Manager、securityd(Mac OS X v10.3.9、Mac OS X Server v10.3.9、Mac OS X v10.4.2、Mac OS X Server v10.4.2)
・ImageIO、Ruby、SecurityAgent(Mac OS X v10.4.2、Mac OS X Server v10.4.2)
・QuickTime for Java、Safari、LoginWindow(Mac OS X v10.3.9、Mac OS X Server v10.3.9)

Tag: Security

APPLE-SA-2005-09-13 Java Security Update

September 16, 2005

Mac OS X v10.3.9を対象とした「Java Security Update」がAppleからリリースされています。

Java 1.3.1 and 1.4.2 Release 2がMac OS X v10.4以降向けのものであるのに対し、今回リリースされたJava Security UpdateはMac OS X v10.3.9向けのものです。

このアップデートによりセキュリティ上の問題(CAN-2005-2527CAN-2005-2530およびCAN-2005-2738)が修正されると共に、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

APPLE-SA-2005-09-13 Java 1.3.1 and 1.4.2 Release 2

September 15, 2005

Appleから「Java 1.3.1 and 1.4.2 Release 2」がリリースされています。

Java 1.3.1 and 1.4.2 Release 2は、Mac OS X v10.4以降向けのもので、セキュリティ上の問題(CAN-2005-2527CAN-2005-2528およびCAN-2005-2529)も修正されています。

このアップデートにより、Java 1.4.2はバージョン1.4.2_09に、Java 1.3.1はバージョン1.3.1_16に更新されます。

Tag: Security

OpenSSH 4.2

September 06, 2005

SSHプロトコルを使用するネットワーク接続ツールのフリーな実装である「OpenSSH 4.2」が2005年9月1日にリリースされています。

OpenSSH 4.2では、listenするアドレスを明示的に指定されない場合にダイナミック("-D")ポート転送に対してGatewayPortsが不正に有効にされてしまう、OpenSSH 4.0で導入された不具合が修正されています。

その他に、GSSAPIの証明書の転送を、GSSAPIを用いて認証されたユーザーのみが行えるように変更されており、セキュリティ上の問題点2点が修正されています。

(参考)OpenSSH情報 - OpenSSH 4.2 リリース

Tag: Security

APPLE-SA-2005-08-17 Security Update 2005-007 v1.1

August 18, 2005

Appleから「Security Update 2005-007 v1.1」がリリースされています。

Security Update 2005-007 v1.1は、Mac OS X v10.4.2およびMac OS X Server v10.4.2用のSecurity Update 2005-007 v1.0を差し替えるものです。

Security Update 2005-007 v1.1は、v1.0で配布された32bitバージョンのLibSystemを32bitバージョンと64bitバージョンの共用のものに置き換えます。これ以外の変更はv1.1では行われていないとのことです。

Tag: Security

APPLE-SA-2005-08-15 Security Update 2005-007

August 16, 2005

Appleから「Security Update 2005-007」がリリースされています。

Security Update 2005-007は、Mac OS X v10.3.9、Mac OS X v10.4.2、Mac OS X Server v10.3.9およびMac OS X Server v10.4.2向けのもので、下記のソフトウェアが更新対象となっています。

・Apache 2
・AppKit
・Bluetooth
・CoreFoundation
・CUPS
・Directory Services
・HItoolbox
・Kerberos
・loginwindow
・Mail
・MySQL
・OpenSSL
・ping
・QuartzComposerScreenSaver
・Safari
・SecurityInterface
・servermgrd
・servermgr_ipfilter
・SquirrelMail
・traceroute
・WebKit
・Weblog Server
・X11
・zlib

OpenSSLのバージョンは0.9.7gに、zlibのバージョンは1.2.3に更新され、Mac OS X Server v10.3.9にオプションでインストールされているApache 2はバージョン2.0.53にアップデートされています。

Tag: Security

Web Security Threat Classification日本語版

July 28, 2005

WASC(Web Application Security Consortium)が配布しているドキュメント「Web Security Threat Classification」の日本語版が公開されています。

このドキュメントは、Webアプリケーションのセキュリティに対する脅威について体系的に分類および具体的に解説されていて、Webアプリケーションを開発およびWebサイトを運営する上で、知っておくべき安全なプログラミング作法やセキュリティ面のガイドラインを提供する内容となっています。

Tag: Security

APPLE-SA-2005-07-12 Mac OS X v10.4.2

July 15, 2005

Mac OS X v10.4.2およびMac OS X Server v10.4.2にはセキュリティ脆弱性を修正するアップデートも含まれていて、TCP/IPおよびDashboardにおけるセキュリティ脆弱性が修正されます。

バージョン10.4.2では、特別に細工されたTCP/IPパケットによりカーネルパニックが引き起こされる問題、およびApple純正のDashboardウィジェットを上書きするウィジェットをインストールしてしまう可能性がある問題が修正されています。

こららの問題は共にMac OS X v10.4にのみ影響するもので、以前のバージョンのMac OS Xには影響ありません。

Tag: Security

APPLE-SA-2005-06-08 Security Update 2005-006

June 10, 2005

AppleからSecurity Update 2005-006がリリースされています。

Security Update 2005-006では、下記のソフトウェアが更新されます。

・AFP Server、CoreGraphics、Folder Permissions、launchd、LaunchServices、MCX Client、NFS、VPN(Mac OS X v10.4.1、Mac OS X Server v10.4.1)
・Bluetooth、PHP(Mac OS X v10.4.1、Mac OS X Server v10.4.1、Mac OS X v10.3.9、Mac OS X Server v10.3.9)

PHPのバージョンは4.3.11に更新され、遠隔からのサービス拒否攻撃や任意のコードの実行を含むPHPの複数の脆弱性が修正されています。

Tag: Security

このページの上へ