[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[harden-mac:0335] [security-announce] APPLE-SA-2003-02-25 Mac OS X 10.2.4 Server
- To: harden-mac@xxxxxxxxxx
- Subject: [harden-mac:0335] [security-announce] APPLE-SA-2003-02-25 Mac OS X 10.2.4 Server
- From: "Kogule, Ryo" <aqua_dabbler@xxxxxxx>
- Date: Wed, 26 Feb 2003 21:56:57 +0900
遅くなりました。
---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された
APPLE-SA-2003-02-25 Mac OS X 10.2.4 Server
という記事の翻訳です。
本翻訳は,米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり,本翻訳に関して Apple Computer,アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。
この投稿は翻訳者個人の発意による翻訳であり,本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------
APPLE-SA-2003-02-25 Mac OS X 10.2.4 Server
Mac OS X 10.2.4 Server ソフトウェアアップデートが入手可能になりま
した。これは以下の潜在的なセキュリティ問題に対する修正を含んでいま
す。
・QuickTime Streaming Server: CAN-2003-0050 QTSS 任意のコマンド
の実行に対する修正。Quicktime Streaming Administration Server は
利用者の認証を parse_xml.cgi アプリケーションに頼っています。この
CGI は,遠隔の攻撃者がサーバ上の任意のコードを実行し root 権限を得
られる不正な入力を渡す事が出来ます。この脆弱性の発見は @stake, Inc.
の Dave G. によるものです。
・QuickTime Streaming Server: CAN-2003-0051 QTSS 実際のパスの暴
露の修正。Quicktime Streaming Administration Server は利用者の認
証を parse_xml.cgi アプリケーションに頼っています。この CGI は,
Darwin/QuickTime Administration Server がインストールされている
実際のパスを明らかにする為に使用する事が出来ます。この脆弱性の発見
は @stake, Inc. の Dave G. によるものです。
・QuickTime Streaming Server: CAN-2003-0052 QTSS ディレクトリの
一覧表示の修正。Quicktime Streaming Administration Server は利用
者の認証を parse_xml.cgi アプリケーションに頼っています。この CGI
は,アプリケーション内の利用者の入力の確認を行っていなかった為に,任
意のディレクトリを一覧を曝す事が利用出来ます。この脆弱性の発見は
@stake, Inc. の Dave G. によるものです。
・QuickTime Streaming Server: CAN-2003-0053 ログイン信任状の修正。
Quicktime Streaming Administration Server は利用者の認証を
parse_xml.cgi アプリケーションに頼っています。この CGI からのエラー
メッセージの取り扱いに脆弱性があり,正しいログイン信任状が得られるク
ロスサイトスクリプティング攻撃に利用出来ます。この脆弱性の発見は
@stake, Inc. の Ollie Whitehouse によるものです。
・QuickTime Streaming Server: CAN-2003-0054 QTSS ログ表示の際の
任意のコマンドの実行の修正。認証されていない QuickTime Streaming
Server の利用者がストリーミングのポートに対して要求を出した場合,そ
の要求はログファイルに書き込まれます。システム管理者がブラウザを使っ
てログを見る時に任意のコードを実行する様な要求を作り上げる事が可能で
す。この脆弱性の発見は @stake, Inc. の Ollie Whitehouse によるも
のです。
・QuickTime Streaming Server: CAN-2003-0055 MP3 ブロードキャスト
アプリケーションのバッファオーバフローの修正。単独の MP3 ブロード
キャストアプリケーションにバッファオーバフローがあります。ファイル名
が 256 バイトを越える MP3 ファイルはバッファオーバフローを引き起こ
していました。これを利用してすれば,ローカルあるいは ftp 利用者が格
上げされた権限を得る事が出来ました。この脆弱性の発見は @stake, Inc.
の Ollie Whitehouse によるものです。
・Sendmail: 8.12.5 以前の Sendmail に含まれる CAN-2002-0906 バッ
ファオーヴァフローの修正。TXT レコードの検索時に独自の DNS マップを
使用するよう設定した場合,サーヴィス拒否攻撃を許したり任意のコードの
実行を見逃したりする可能性があります。Mac OS X 10.2.4 は CAN-2002-
1165 で公表された SMRSH 修正をした Sendmail 8.12.6 を含んでいます。
・AFP: CAN-2003-0049「システム管理者に対する AFP ログイン権限」の
修正。システム管理者パスワードによる認証でシステム管理者が利用者とし
てログイン出来るかどうかを設定するオプションの提供。以前は管理者は,
彼等の管理者パスワードで認証を行い,常に利用者としてログイン出来てい
ました。
・クラシック: CAN-2003-0088 の修正。攻撃者は,昇格された特権を得ら
れる任意のファイルの作成や存在するファイルの上書きを行うために環境変
数を変更する事が可能でした。この問題の発見は @stake, Inc. の Dave G.
によるものです。
・Samba: Mac OS X の以前のリリースでも,暗号化されたパスワードの変
更に対する Samba のパスワード長確認の問題である CAN-2002-1318 の脆
弱性はありません。Mac OS X は現在認証にはディレクトリサービスを使用
しており,脆弱な Samba の関数は呼び出していません。しかしこの関数を
利用した潜在的な将来の不正利用を防ぐために,このアップデートでは
Samba のヴァージョンは変っていませんが,Samba 2.2.7 へのパッチを適
用しています。詳細な情報は以下のところで入手出来ます。
<http://samba.org/samba/whatsnew/samba-2.2.7.html>
・統合された WebDAV ダイジェスト認証: 既存の WebDAV 領域のダイジェ
スト認証をより簡単に有効にする為に mod_digest_apple Apache モジュー
ルを追加しました。これにより認可された利用者やパスワード,領域の一覧
を含む個別のダイジェストファイルを保守する必要がなるなります。
mod_digest_apple は,利用者認証時に Open Directory と協調して動き
ます。詳細については,Mac OS X server ヴァージョン 10.2.4 をインス
トール後にヘルプビューアを開き,ドロワで Mac OS X Server ヘルプを選
び, "New: Enabling Integrated WebDAV Digest Authentication."
(訳註:実際にどの様な訳かは不明)を検索して下さい。
Mac OS X 10.2.4 Server ソフトウェアアップデートは以下の方法で入手出
来ます。
・システム環境設定のソフトウェア・アップデート
若しくは
・Apple のソフトウェアダウンロードウェブサイト
Mac OS X Server 10.2.3 からのアップデート:
http://www.info.apple.com/kbnum/n70171
ファイル名: "MacOSXServerUpdate10.2.4.dmg"
SHA-1 ダイジェスト: 65d6411dbe5855e894c5406ac35228f568240f26
Mac OS X Server 10.2, 10.2.1, 10.2.2からのアップデート:
http://www.info.apple.com/kbnum/n70172
ファイル名: "MacOSXSrvrUpdCombo10.2.4.dmg"
SHA-1 ダイジェスト: 41e441d737165ed0ed5166691dc39caba5e1dbce
情報は Apple サポートウェブサイトにも掲示されています。
http://docs.info.apple.com/article.html?artnum=61798
---------------------------------------------------------------
翻訳:古暮涼 <aqua_dabbler@xxxxxxx>
--[PR]------------------------------------------------------------------
――■■本当の英語力■■――
NHKのやさしいビジネス英会話でもおなじみのスーパーエルマーは日本人が
何を聞けば、英語を英語の語順で理解できるようになるのか、徹底的に研究
した、本物の教材です。今なら無料で試聴サンプルをお送りします。
http://ad.freeml.com/cgi-bin/ad.cgi?id=bDStm
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp