番大' 小屋
security 関連の情報やリンクを集積してるのだ。まだ少ないけど。
たまには番大' もやるのだ。:)
Contents
速報
職場に流す security alert を時々書くので、それもここに載せてみようかと思い付いたのだ。ご一緒に、Sophos が無料で提供しているウイルス情報フィードによる最新ウイルス情報もどうぞ (要: JavaScript)。
- PHP $GLOBALS overwrite vulnerability
- PHP 4.4.0 までと 5.0.5 までに致命的な穴。4.4.1, 5.0.6 に今すぐ update しましょう。
- OpenSSH 4.1 released
- bugfix release だけど、それほど大変な修正はない模様。詳細。
- Mac OS X 10.4 released
- Tiger が 4/29 に出ました。5/16 には 10.4.1 update も公開。
- もうすぐ個人情報保護法施行
- …の直前に、患者情報:東京医科歯科大病院の50人分、ネット流出だそうで(原因はこれかな?)。施行直前で良かったのか悪かったのか。各種ポリシー、規約の作成に追われて、運用体制が出来てないところも多々ありそう。
- Security Update 2005-003 各種
- 2/22 に 2005-002 が出たばかりですが、2005-003 も出ました。Client 版は 3/21 公開ですが、Server 版は 3/28 に 1.1 が出てるので、見落としに注意。(2005/03/31)
- OpenSSL 0.9.7f released
- important bugfixes らしい。(2005/03/28)
- OpenSSH 4.0 released
- ついに 4.0。(2005/03/09)
- 月刊 Windows 2月号
- 修正内容は様々ですが、12 個のパッチがリリースされ、そのうち 8 個が緊急です。Windows Update しましょう。(2005/02/12)
- Apache 2.0.53 released
- 主に bug fix とのことですが、不正な HTTP ヘッダによる DoS を受ける問題と、SSL で暗号アルゴリズムを制限しているのも関わらず、指定外の物も使われ得る問題も修正された模様。詳細は Changes を参照。
- IE buffer overrun (IFRAME)
- IE 6 および IE 6 SP1 に、web page や HTML mail を開くだけで任意のプログラムが実行されてしまい得る穴が見つかった (ITmedia の記事)。修正パッチなどはまだないが、Win XP SP2 では、この問題の影響を受けない模様。この穴を利用する Mydoom 亜種も出回っている。
ちょうど Firefox 1.0 もリリースされたことだし、この際乗り換えてしまうのが超お勧め。
- FreeBSD 5.3-RELEASE
- 遅れてましたが、出ました。いよいよ 5.x も stable なのだ。(Announcement)
- Mac OS X Update 10.3.6
- 最近 Security Update が続いてましたが、今度は Mac OS X, Mac OS X Server ともに 10.3.6 への update が出てます。ソフトウェアアップデートからどうぞ。ファイル共有関係の改良の他、いくつかのアプリの update が含まれている模様。
- Apache HTTP Server 1.3.33 リリース
- というわけで、前述の問題を修正した 1.3.33 は正式リリースされました(アナウンス)。
- Apache HTTP Server 1.3.32 リリース(非正式)
- なのですが、この 1.3.32 にも SSI 使用時に buffer overflow があることが分かってます。CVS の modules/standard から mod_include.c の 1.141 以降を持ってくれば良いらしい(アナウンス)。
- 月刊 Windows 10 月号
- IE のいろーんな bug を修正する MS04-038 等、一気に 10 個出ました。うち 7 個が「緊急」だそうで。もういちいち書かないので、詳細は Microsoft Security ホームを参照して下さい。とにかく Windows Update しましょう。(^^;;
- Apache HTTP Server 2.0.51 Released
- 2.0.50 までの version に、buffer overflow 等の複数の脆弱性が見つかりました。2.0.51 で修正されています。また、1.3.x ではこの問題はありません。
- Mac OS X Security Update 2004-09-07 v.1.1
- 下記の update に対して、修正版が出ています。ソフトウェアアップデートからどうぞ。
- Mac OS X Security Update 2004-09-07
- Mac OS X, Mac OS X Server でも security update 各種が出ました。Kerberos の buffer overflow や OpenSSH の remote から local file の上書きを許してしまう問題等の修正が含まれています。詳しい内容については、document の古暮さんによる日本語訳が参考になります。
その後、2004-09-16, 2004-09-30 も出ています。
- Windows Xp SP2 公開
- 2004/09/02 に、「Windows XP Service Pack 2 セキュリティ強化機能搭載」(長い!)が出ました。確かに強化されるようですが、現時点では SP2 対応ができていないベンダもあるようです。導入する前に、各メーカー別 Windows XP SP2 関連情報から、情報を確認しておきませう。
で、9/17 からはパソコン屋や電機量販店などで、10/1 からは郵便局でも配布するんだそうで。せっかくだから、郵便局でもらってみたい。(^^;;
ついでに、Microsoft の Windows XP SP2 FAQ 集。情報てんこ盛り。(^^;;
もっと昔の「速報」。
特集
- Nimda 関連情報
- ちと古いですが。
- CodeRed 被害報告
- 学内某所が CodeRed にやられた時の記録。その他に、関連情報、生け捕り大作戦もあります。:)
単発モノ
- Apache のアクセス制限
- Apache HTTP server の .htaccess や mod_rewrite などを利用したアクセス制限の具体的なやり方についての解説。
- pc-unix を安全に使おう
- SuperTAINS ニュース(東北大のネットワーク SuperTAINS の広報誌)に掲載された記事。SuperTAINS ニュースのサイトへのリンクです。
その他
- わんてな - network
- わんてな(大' が使ってるはてなアンテナ)の network グループ。
- けいじわん
- うちの BBS だけど、まれにセキュリティねたも登場します。
security links
- Microsoft Security ホーム
- Windows のセキュリティ更新プログラムやウイルス対策情報などを、Microsoft が提供しているページ。
- ソフトウェアアップデート
- Apple の、各種アップデートを配布するページ。ここで配布しているものは、ソフトウェアアップデートを実行すれば、必要な物がダウンロード、インストールできます。
- CERT/CC の本家
- コンピュータ緊急対応センターと訳すらしい。サーバソフトのバグや cracking の手口などについての情報があります。特に CERT Advisory は時々読んでおくべきです。
- ZDNet news: ウィルス&セキュリティ
- セキュリティ関連の、一般向けニュースサイト。
- Slashdot(日本語版)
- 「アレゲなニュースと雑談サイト」だそうですが、security 関連情報も多い。
- セキュリティホール memo
- 龍谷大学の小島さんが個人的に収集しているセキュリティ情報のページ。毎日更新されているので、是非目を通しておくべきです。
- BugTraq
- security hole を中心とした bug 情報交換用 ML の archive。非常に詳細で技術的な情報が流れています。
- NTBugtraq
- NT に特化した Bugtraq のようなサイト。
- Security How-To
- ZDNet Helpdesk の1コーナー。身を守るにはどうしたらいいか、についての記事が、散発的に載ります。入門者向け。
- SPAM と第三者中継
- SPAM mail と不正な SMTP についての解説と対策。
- The Twenty Most Critical
Internet Security Vulnerabilities
- セキュリティ的に最もヤバい点 20 傑なのだ。英語で結構長いけど、目を通しておくべし。
ご意見ご感想は「けいじわん」(WebBBS)へ
satodai@dog.intcul.tohoku.ac.jp