パスワードを忘れた? アカウント作成
Close
過去のタレコミ一覧:
保留 0件、 却下 3件、 掲載 11件、合計:14件、 78.57%の掲載率
762488 submission
アップル

WebKit のソースコードレポジトリがオープンに

タレコミ by umq
umq 曰く、

Mac OS X に標準で含まれるブラウザ Safari に使用されているフレームワーク ``WebKit'' が,このたび webkit.opendarwin.org を中心に CVS レポジトリの参照や Bugizilla による問題報告等が可能となったと, 開発者の David Hyatt が自身の blog で明らかにした

KHTML へのフィードバックについてとりざたされていたりしたが,オープンになったことで,よい方向に進むことを期待したい。

763279 submission
ニュース

OpenSSH 4.0 リリース

タレコミ by umq
umq 曰く、

OpenBSD journalの記事によると,OpenSSH 4.0がリリースされました。OpenSSH.comにリストアップされている各ミラーサーバから入手が可能になっています。

主な変更点は,以下のとおり。

  • ポートフォワーディングの接続アドレス範囲を制限できるようになった。
  • ssh(1) と ssh-keyscan(1) で known_hosts ファイルにホスト名をハッシュ化して保存できるようになった。
  • ssh-keygen(1) で know_hosts ファイルのキーを管理するオプションが追加された。ホスト名がハッシュ化されたエントリの削除等に使える
  • sshd(8) のアカウント管理が改善されて、アカウントやパスワードの期限が近付いたら警告するようになった。
  • AllowUsers, DenyUsers, AllowGrous や DenyGroups で拒否するように設定された接続は sshd(8) のログに残すようになった。
  • sshd(8) に AddressFamily オプションが追加され、待ち受けアドレスを IPv4/v6 のいずれかに制限することが可能になった。
  • sftp(1) クライアントを改善して、libedit を使ってコマンドのヒストリ機能や編集機能が使えるようになった。
  • authorized_keys ファイルの不正なデータのエラー処理を改善した。
  • ssh(1) の多重接続サポートを改善して、多重接続を制御する「コマンドモード」が追加された。
  • scp(1) や sftp(1) が、自分の作った ssh 接続が終了するまで、待つようになった。
765183 submission
ニュース

(typo corrected!!) OpenSSH 3.9 リリース

タレコミ by umq
umq 曰く、

OpenBSD journalの記事によると,OpenSSH3.9がリリースされました。OpenSSH.comにリストアップされている各ミラーサーバから入手が可能になっています。
3.9 では SSH protocol ver. 1.3, 1.5, 2.0 の各バージョンに,sftp のサーバ/クライアント実装も含めて,完全対応しました。 その他の主な変更点は,以下追記に...

  • ssh(1) に IdentitiesOnly オプションが追加された,これにより ssh-agent(1) によるキー認証ではなく ssh_config で指定されたキーを使用するように設定できる
  • sshd(8) を,接続を受け付けながら再起動させることができるこれにより実行時間をランダムにすることができる
  • ssh(1) の実行時に,~/.ssh/config 等の参照ファイルのパーミッションをより厳密にチェックするようになった
  • クライアントの環境変数をサーバ側に送る機能を追加した
  • 認証失敗時の再試行数を設定するオプションを sshd(8) に追加した
  • アクティブなポートフォワーディングセッションをキャンセルする機能を追加した
  • sftp(1) にファイルリストの取得の拡張や,転送のキャンセル等の改善を施した
  • 多重セッションを ssh(1) に実装したこれによりひとつの接続で複数のログイン/コマンド実行/ファイル転送を行なうことができる
  • sftp-server の FAT のような non-POSIX ファイルシステムの対応を増やした
  • ポータブル版では,PAM パスワード認証を再び使えるようにした

個人的には,scp(1) などのこまごまとした接続を多用するので,多重接続が実装されたのがうれしい。

765184 submission
ニュース

OpenSSH 3.9 リリース

タレコミ by umq
umq 曰く、

OpenBSD journalの記事によると,OpenSSH3.9がリリースされました。OpenSSH.comにリストアップされている各ミラーサーバから入手が可能になっています。
3.9 では SSH protocol ver. 1.3, 1.5, 2.0 の各バージョンに,sftp のサーバ/クライアント実装も含めて,完全対応しました。 その他の主な変更点は,以下追記に...

  • ssh(1) に IdentitiesOnly オプションが追加された,これにより ssh-agent(1) によるキー認証ではなく ssh_config で指定されたキーを使用するように設定できる
  • sshd(8) を,接続を受け付けながら再起動させることができるこれにより実行時間をランダムにすることができる
  • ssh(1) の実行時に,~/.ssh/config 等の参照ファイルのパーミッションをより厳密にチェックするようになった
  • クライアントの環境変数をサーバ側に送る機能を追加した
  • 認証失敗時の再試行数を設定するオプションを sshd(8) に追加した
  • アクティブなポートフォワーディングセッションをキャンセルする機能を追加した
  • sftp(1) にファイルリストの取得の拡張や,転送のキャンセル等の改善を施した
  • 多重セッションを ssh(1) に実装したこれによりひとつの接続で複数のログイン/コマンド実行/ファイル転送を行なうことができる
  • sftp-server の FAT のような non-POSIX ファイルシステムの対応を増やした
  • ポータブル版では,PAM パスワード認証を再び使えるようにした

個人的には,scp(1) とのこまごまとした接続を多用するので,ssh(1) に多重接続が実装されたのがうれしい。

765867 submission
セキュリティ

ISC-DHCP 3.0 にバッファオーバフローの問題が発覚

タレコミ by umq
umq 曰く、

ISC-DHCP にバッファオーバフローの問題が発覚した。ISC ではこの問題に対応したバージョン DHCP 3.0.1rc14 を既にリリースしている。なるべく早急にアップデートするのがよいだろう。

この問題は大きく2種類にわけられる。ひとつめは,ログの一時保持領域を 1024 バイトに固定していたために起こるもので,DHCP の待ち受けポート(67/udp)に攻撃パケットを送りつけることで,サービス停止や,DHCPd 実行権限で任意のコードを実行されてしまう等の危険があるということだ(VU#317350, CAN-2004-0460)。もうひとつは,vsnprintf() をサポートしていないプラットフォーム(US-CERT によると具体的には AIX, AlphaOS, Cygwin32, HP-UX, Irix, Linux, NextStep, SCO, SunOS 4, SunOS 5.5, Ultrix など)で,vsprintf() を使用するために,境界チェックが行なわれない可能性があるということだ(VU#654390, CAN-2004-0461)。

769564 submission
セキュリティ

Sendmail 8.12.9以前に新たなバッファ・オーバーフロー脆弱性

タレコミ by umq
umq 曰く、
Sendmailに新たなバッファ・オーバーフロー脆弱性が Michal Zalewski のメールで明らかになった。 この問題に対処したSendmail8.12.10もリリースされている
この問題は各ベンダに告知済らしく、対応パッチが適用されたバージョンがおのおの利用可能になっているようだ(e.g.: FreeBSD Security Advisory, Red Hat の告知)
sendmail を使用しているサイトは、急いで対応する必要があるだろう。
769587 submission
セキュリティ

OpenSSH 3.7 リリース

タレコミ by umq
umq 曰く、
OpenBSD journalの記事によると、OpenSSH3.7がリリースされました。http://www.openssh.com/にリストアップされている各ミラーサーバから入手が可能になる予定(タレコみ時点では未公開)。
3.7より前のバージョンでは、バッファ管理に誤りがあり、その問題を修正するパッチも前後して公開されています。
その他の主な変更点は、以下の通り
  • ライセンスの見直しが行われ ssh-1.x 以外の全てのコードについて宣伝条項なしの BSD スタイルライセンスになっている
  • rhosts認証が削除された
  • Kerberos認証に変更があった
  • 公開鍵認証の鍵を試す順番が変更された
  • SOCKS5がssh(1)のダイナミックフォワードモードに対応した
  • SCTP(Stream control transmission protocol)上でSSHを使う際の実装上の問題を解消された
  • sftp(1)クライアントが引用府を含むファイル名を持つファイルの転送に対応した
  • sshd(8)でUseDNSオプションをつけた際のVerifyReverseMappingの動作を常に逆引きが行われるように変更された
  • メモリリークを何か所か修正された
  • SSH2プロトコルでBREAKを送れるようになった
  • 他実装の鍵交換推測のバグに対処
  • ssh-keygen(1)でKEX-GEXグループ(/etc/moduli)の生成をサポートした
  • 通信量に応じて鍵の再交換を自動で行うようになった
  • クライアントにプロトコルを選択するためのアドレスファミリオプションが追加された
769642 submission
セキュリティ

WindowsのRPCSS サービスにバファオーバフロー脆弱性

タレコミ by umq
umq 曰く、
Windowsにまたしても、RPCサービスのバファオーバフロー脆弱性が見つかった。ステータスは「緊急」
対応パッチが配布されているのはWindowsNT4.0以降のNT系列だ。
Windowsのサービスには分散COMに大きく依存しているものがたくさんあるので、この手の問題は尽きないような気もする。パッチをあてるまでは分散COMをネットワーク経由で使えないようにしておくのがよい。
修正プログラムへはWindowsUpdateまたはSecurity Bulltinから
対応パッチの詳細情報等はKB824146からたどることができる
770527 submission
セキュリティ

Windows98以降の全てのHTMLコンバータに深刻な脆弱性

タレコミ by umq
umq 曰く、
Windows98以降の全てのWindowsに、HTML コンバータのバッファ オーバーラン脆弱性が発見された。アタッカーが任意のコードを実行でき、乗っ取りに成功すれば、任意のプログラムが実行されたり、攻撃者が任意のデータを閲覧することも可能という。Microsoft Security BulletinにはMS03-023として公開されています。 修正プログラムへはWindowsUpdateまたはKB823559からたどることができる
more
typodupeerror

ソースを見ろ -- ある4桁UID