セキュリティホール情報の古い物 (2005 年以前) です.
ここでは Plamo Linux 収録のソフトウェアに関するセキュリティホールの 情報を紹介しますが,紹介したものすべてに対策パッケージが提供されている わけではありません.対策に必要な情報へのリンクのみの場合もあります.
fetchmail 6.2.5.4 までのヴァージョンにセキュリティホールが見付かっています.詳しくは以下をどうぞ.
Plamo-4.0x 用の対策パッケージがリリースされています.
fetchmail 6.2.5.2 までのヴァージョン (に同梱の fetchmailconf) にセキュリティホールが見付かっています.詳しくは以下をどうぞ.
Plamo-4.x 用の対策パッケージがリリースされています.
sudo 1.6.8p12 までのヴァージョンにセキュリティホールが見付かっています.詳しくは以下をどうぞ.
Plamo-4.x 用の対策パッケージがリリースされています.
Plamo-2.2.x 用のパッケージの情報が Mailing List に投稿されています.
libungif にセキュリティホールが見付かっています.詳しくは以下をどう ぞ.
libungif を含んだ libgr パッケージの更新が行われています.
PHP にセキュリティホールが見付かっています.詳しくは以下をどうぞ.
Plamo 4.0x, 3.x 用の対策パッケージがリリースされています.
(2005/11/17 追記) PHP-4.4.1 のバグを修正した新パッケージ (Plamo-3.0 用) がリリースされています.
sudo (2005/11/21) を御覧下さい.
sudo 1.6.8p10 までのヴァージョンに脆弱性が見付かっています.詳しくは以下をどうぞ.
Plamo-4.0x 用のパッケージがリリースされています.Plamo-4.03 のツリーも更新されています.
Plamo-2.2.x 用のパッケージの情報が ML に投稿されています.
Plamo 4.0x 用の Apache HTTP Server 2.0.55 と関連パッケージがリリースされています.Apache 2.0.55 はセキュリティの修正を含んでいます.詳しくは以下のアナウンスをどうぞ.
パッケージの情報は以下をどうぞ.
パッケージは以下にあります.
また Apache HTTP Server 1.3.34 がセキュリティの修正を含んでリリースされています.Plamo-3.x 用のパッケージがリリースされています.
パッケージは以下にあります.
Plamo 4.03 用 firefox 1.0.7 のパッケージがリリースされています.セ キュリティアップデートです.
パッケージは以下です.
openssl にセキュリティホールが見つかっています.詳しくは以下をどう ぞ.
4.0x 用の対策パッケージがリリースされています.4.0 のツリーはこのヴァージョンの物に更新されています.また,Update ディレクトリからも取得可能です.
(2005/10/19 追加) Plamo-3.0 用のパッケージがリリースされています. 同時に openssh-4.2p1 のパッケージもリリースされています.
mozilla にセキュリティホールが見つかっています.詳しくは以下をどう ぞ.
4.0x 用の対策パッケージ (Ver.1.7.12) がリリースされています.4.0 の ツリーはこのヴァージョンの物に更新されています.また,Update ディレク トリからも取得可能です.
mod_ssl にセキュリティホールが見つかっています."SSLVerifyClient" 関係のもののようです.詳しくは以下をどうぞ.
Plamo-3.0 用の対策パッケージがリリースされています (Apache, PHP も 同時に).詳しくは以下をどうぞ.
zlib にセキュリティホールが見つかっています.4.0x 用の対策パッケー ジがリリースされています.詳しくは以下をどうぞ.
Plamo 2.2 用のパッケージの情報が Mailing List に投稿されています.
Heimdal の telnetd にセキュリティホールが見つかっています.詳しくは 以下をどうぞ.
Plamo-4.0x, Plamo-3.0 用の対策パッケージがリリースされています.
sudo にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo-4.0x 用のパッケージが更新されています.
Plamo-2.2 用のパッケージの情報が Mailing List に投稿されています.
PostgreSQL のパッケージが更新されています.セキュリティに関係する修 正も含まれているようです.
(Subject が 8.0.4 となっていますが 8.0.3 の間違いです.)
KDE に関係するセキュリティホールが見つかっています.Plamo-4.0x のパッ ケージが更新されています.
Heimdal に含まれる telnet クライアントにセキュリティホールが見つかっ ています.詳しくは以下をどうぞ.
Plamo-3.0 用,Plamo-4.0x 用のパッケージがリリースされています.詳しく は以下をどうぞ.
PHP にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0x 用,Plamo 3.0 用のパッケージがリリースされています (Plamo-4.02 は対策済).詳しくは以下をどうぞ.
telnet クライアントにセキュリティホールが見つかっています.Plamo-2.2.6 用のパッケージの情報が ML に投稿されています.
Apache 2.0.53 がリリースされており,セキュリティの修正も含んでいます.詳しくは以下をどうぞ.
Plamo 4.0x 用のパッケージがリリースされています.同時に PHP5 のパッケージも更新されています.
PostgreSQL (Ver.7.x, 8.x) にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
対策パッケージがリリースされています.(8.0.1, 7.4.7)
Plamo-3.x 用の対策パッケージもリリースされました (2005/02/07 追記).詳しくは以下をどうぞ.
ImageMagick にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0x 用の対策パッケージ (ImageMagick 6.1.8) がリリースされています.
ImageMagick にセキュリティホールが見つかっています.詳しくは以下を どうぞ.
対策パッケージ (Plamo-4.0/4.01 用) がリリースされています.
PHP 4.3.9 と 5.0.2 にセキュリティホールが見つかっています.対策済みのパッケージがリリースされています.詳しくは以下をどうぞ.
libtiff のセキュリティホールに対応した libgr パッケージがリリースされています.
Apache 1.3.32 は正式にはリリースされなかったという扱いのようで,1.3.33 がリリースされています.1.3.32にあったセキュリティホールも修正されています.詳しくは以下をどうぞ. [ Update 2004/11/8 ]
Plamo-3.0 用のパッケージがリリースされています (関連する php も同時に Update されています.
セキュリティホール対策の Apache 1.3.32 がリリースされています.詳し くは以下をどうぞ.
1.3.32 も影響を受けるセキュリティホールも見つかっています.詳しくは 以下をどうぞ.
対策済 (1.3.32 + patch) のパッケージ (Plamo 3.0 用) がリリースされています.
Apache 1.3.32 の mod_rewrite にバグがあるようです.対策済の mod_rewrite モジュールがリリースされています.併せて先日リリースの PHP 4.3.9 の MySQL インターフェースビルトインが失敗していましたので,パッケージの再リリースが行われています.詳しくは以下をどうぞ.[Update 2004/10/29]
PostgreSQL にセキュリティホールが見つかっています.詳しくは以下をど うぞ.
対策済の Ver.7.4.6 のパッケージがリリースされています.
Apache 1.3.31+mod_ssl-2.8.19 パッケージ (3.0,3.3用) がリリースされ ています.詳しくは以下をどうぞ.(PHP-4.3.9, cadaver-0.22.2 のパッケー ジも同時にリリースされています.)
Apache 2.0.51 に存在するセキュリティホールが修正された 2.0.52 がリ リースされています.詳しくは以下をどうぞ.
Plamo 4.0x 用のパッケージがリリースされています.
Apache 2.0.50 以前にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0/4.01 用の対策済みパッケージがリリースされています.詳しくは以下をどうぞ.併せていくつかのパッケージも更新されています.
mozilla 1.7.2 以前にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0/4.01 用の対策済みパッケージは以下にあります.
[ Update 2004/09/16 ]Plamo 3.x 用のパッケージは以下にあります.
LHa 1.14i 以前の Version にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0 用の対策済みパッケージは以下にあります.
ImageMagick 6.0.5 以前にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 4.0 用の対策済みパッケージは以下にあります.
qt 3.3.3 未満にセキュリティホールが見つかっています.詳しくは以下を どうぞ.
Plamo 4.0 用の対策済パッケージは以下にあります.
imlib 1.9.14 以前にセキュリティホールが見つかっています.詳しくは以 下をどうぞ.
Plamo 4.0 用の対策済パッケージは以下にあります.
zlib 1.2.1 にセキュリティホールが見つかっています.それ以外の Version でも影響を受ける可能性があるようです.詳しくは以下をどうぞ.
Plamo 4.0 用の対策済パッケージ (complibパッケージ) は以下にあります.
rsync にセキュリティホールが見つかっています.daemon モードで起動している場合に影響を受けるようです.詳しくは以下をどうぞ.
対策パッケージの情報が Mailing List に投稿されました (Plamo 4.0用).
複数の脆弱性の修正を含んだ kernel 2.4.27 がリリースされています.詳しくは以下をどうぞ.
Plamo 4.0 用のパッケージがリリースされています.合わせて alsa-driver も更新されています.
Plamo-4.0 のツリーも上記ファイルに更新されています.
mozilla にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 3.x 用,Plamo 4.0 用の mozilla 1.7.2 パッケージがリリースされています.詳しくは以下をどうぞ .
libpng にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
更新パッケージがリリースされています.
php にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 3.3 用の対策パッケージ (PHP-4.3.8) がリリースされています.以 下から取得して適用ください.
cvsにセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Mailing List に対策パッケージの情報が投稿されました.
cvsにセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Mailing List に対策パッケージの情報が投稿されました.
libpng にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Mailing List に Plamo-2.x 用のパッケージの情報が投稿されています. Plamo-3.x 用の情報はありませんので,前記情報を参照して対策を行ってくだ さい.
Heimdal の 0.6.1 と 0.5.3 より前の Version にセキュリティホールが見つ かっています.詳しくは以下をどうぞ.
Mailing List に対策パッケージ (Plamo-3.0, 3.3 用) の情報が投稿され ています.
openssl 0.9.7c 以下,0.9.6l 以下にセキュリティホールが見つかってい ます.詳しくは以下をどうぞ.
Mailing List に対策パッケージの情報が投稿されています.
Plamo-3.x (除く 3.0) 用,unstable 用のパッケージの情報が Mailing List に投稿されました.[ Update 2004/03/22 ]
Linux kernel 2.4, 2.6 系にセキュリティホールが見つかっています.詳 しくは以下をどうぞ.
Mailing List に対策パッケージの情報が投稿されました.
パッケージは以下です (Plamo 3.x 用).上記 Mailing List に投稿されたメールをお読みになった上でお使い下さい.
PC98 シリーズ用のパッチの情報が Mailing List に投稿されています.詳しくは以下をご覧ください.
[ Update 2004/01/08 ]
Linux kernel の 2.4.22 以下にセキュリティホールが見つかっています. 詳しくは以下をどうぞ
Mailing List に Plamo/98 向けの対策の話題が投稿されています. Plamo/98 をお使いの方はこれを参考に対策を行ってください.
PC/AT 互換機用のパッケージの情報が ML に投稿されました.[ Update 2003/12/9 ]
Apache 1.3.28 以前にセキュリティホールが見つかっています.詳しくは以下をどうぞ.
Plamo 3.3 用と 3.0 用のパッケージの情報が Mailing List に投稿されて います.
openssl にセキュリティホールが見つかっています.詳しくは以下をどう ぞ.
Plamo 3.x 用の openssl 0.9.7c のパッケージが以下にあります.
Plamo 2.x 用の openssl 0.9.7c のパッケージの情報が Mailing List に投稿されました.(Plamo 2.x のデフォルトは 0.9.6 なので注意!!)
Plamo 3.0 用の openssl 0.9.6k のパッケージの情報が Mailing List に投稿されました.(Plamo 3.1 以降は openssl 0.9.7 です)
proftpd にセキュリティホールが見つかっています.詳しくは以下をご覧下さい.
Plamo Linux 3.x の proftpd は 1.2.6rc1 ですので,直接対象の Version ではありませんが,すでにサポート外の Version ですので,1.2.7p 以上に Ver. Up. したほうが良いでしょう.
対策パッケージの情報が ML に投稿されました.
sendmail にセキュリティホールが見つかっています.詳しくは以下をご覧 下さい.
Plamo 3.x では postfix が使われていますので影響がありませんが, Plamo 2.2 以前や Plamo 3.x でも独自に sendmail をインストールされてい る場合は影響を受けますので,注意してください.
対策パッケージの情報が ML に投稿されています.
OpenSSH 3.7 以前のセキュリティホールが見つかっています.詳しくは以 下をご覧下さい.
対策パッケージが準備されています.Plamo 3.1 以上に適用可能です.
[注意]Plamo 3.0 は openssl 0.9.6 を使用しているの
で,このパッケージはそのままでは動作しません.[ Update 2003/10/6 ]
Plamo 2.x 用のパッケージの情報が ML に投稿されました. (2003/9/18)
その後,さらに見つかったバグを修正した openssh-3.7.1p2 がリリースさ れています.そのパッケージの情報が ML に投稿されました.[ Update 2003/9/26 ]
nfs-utils の 1.0.3 以前のセキュリティホールが見つかっています (だいぶ前ですが ^^;).詳しくは以下をご覧下さい.
対策パッケージが以下に準備されています.
だいぶ遅くなりましたが,qpopper に下記の不具合が発見されています.
Plamo-3.x 用の qpopper-4.0.5 が以下に準備されています.
詳しくは,
[plamo:20158] Re: qpopperについてをお読みください.
この qpopper.tgz では,/usr/sbin/popper -> ipop3d のリンクを作成するようにしてあり,また APOP にも対応するようにしてあります.
postfix に二種類のセキュリティホールが見つかっています.詳しくは以 下をどうぞ.
Plamo-3.x 用の対策パッケージ (postfix-2.0.13 のパッケージ) が以下に準備されています. ([plamo:20080]をお読み下さい.)
postfix-1.1.11 から postfix-2.0.13 への Update になりますので,ご注意ください.
apache 1.3.28 がリリースされています.詳しくは以下をご覧下さい.
更新パッケージの情報が以下に投稿されました.Plamo-3.1, 3.2 用のパッ ケージです.
unzip 5.50 にセキュリティホールが発見されています.詳しくは以下をご 覧下さい.
対策パッケージの情報が以下に投稿されました.(動作確認は Plamo 2.2.x で行われているパッケージです.)
XFree86 4.2.99.4以前にセキュリティホールが見つかっています.詳しく は以下をご覧下さい.
Plamo 3.0 以前の XFree86 更新パッケージが以下にあります.Plamo 3.1 以降は影響を受けません.
Ethereal 0.9.12 にいくつかセキュリティホールが存在するようです.詳 しくは以下の URI を参照してください.
対策パッケージの情報が以下に投稿されました.
openssl 0.9.6j および 0.9.7b がリリースされています.0.9.6i および 0.9.7a 以降に報告されていた 2 つの脆弱性が修正されています.詳しくは以 下をどうぞ.
修正パッケージの情報が Mailing List に投稿されています.
samba 2.0 から 2.2.7a までの全ての Version にリモートから攻撃可能な脆弱性が発見されています.詳しくは以下を参照してください.
日本Sambaユーザ会から対策済みの Samba 2.2.7b日本語版リリース1.0がリリースされています.
Plamo 用の更新パッケージはまだありませんので,上記情報をご確認の上,必要であれば対処を行ってください.
Sun RPC XDR ライブラリに脆弱性が発見されています.glibc が影響を受けます.詳しくは以下の情報を参照してください.
対策パッケージが以下にあります.
但し,まだ Plamo-test ディレクトリに置かれているパッケージですから,十分なテストは行われていません.libc の入れ替えになりますので,何かトラブルが起きたら致命的になります.ご使用になる場合は,その点を十分考慮の上でお願いいたします.なお,使用報告などを plamo-ML 宛に投稿いただけると大変助かります.
sendmail に新たな脆弱性が発見されています.詳しい情報は以下を参照してください. 3/13の情報とはまた別の問題です.
対策パッケージの情報が以下にあります.
tcpdump に DoS 攻撃が可能な脆弱性が発見されています.
対策パッケージの情報が Mailing List に流れています.
Linux 2.2 と 2.4 系 kernel に,local user が root 権限を奪取できる弱点が発見されました.CAN-2003-0127
Remote exploitation of this hole is not possible. ということですが,よくご確認ください.file コマンドに脆弱性が発見されています.更新パッケージはありません ので,必要であれば,情報を参照の上,対処をしてください.
(2003/4/21更新) Mailing List に更新パッケージの情報が投 稿されました!!
Ethereal 0.8.7〜0.9.9 に弱点が発見され、0.9.10 で修正されている模様です.Ethereal を利用されている方は以下の情報をご覧の上,必要な対処をしてください.
DeleGate 8.3.4 (UNIX)に、buffer overflow が発生する弱点.更新パッケージはありませんので,お使いの方は以下の情報をご覧の上,必要な対処をしてください.
bind にセキュリティホールが見つかっています.以下の情報をご覧の上,必要な対処をしてください.
Plamo 3.0 に関しては,上記ページの "OpenSSL buffer overflow" が該当 するようです."libbind buffer overflow" は Plamo 3.0 は無効で構築され ているので影響はないと思われます.
(2003/3/20 更新)更新パッケージの情報が Mailing List に投稿されまし た!!
sendmail にセキュリティホールが発見されています.Plamo 3.0 はpostfix ですので影響はありませんが,Plamo 2.2 は sendmail が使われているので影響を受けます.
更新パッケージの情報が Mailing List に投稿されました!! (2003/3/17)
openssl が更新されています.Securityfix も含まれているようです.詳しくは以下をどうぞ.
有志によるパッケージの情報が以下にあります.
CVS の 1.11.4 までのバージョンに, リモートから任意のコマンドを実行することが可能となる不具合が発見されました.
メーリングリストの[plamo-17589]によると、竹村さんが cvs-1.11.5 をパッケージ化してくださいました。
tar,unzip, fetchmail にセキュリティホールが見つかっています.
まぁ,tar と unzip のセキュリティホールは,アーカイブ中にある ../ 等,より上位ディレクトリに対してもファイルを抽出してしまうという問題で,外部から攻撃されるようなものではないです.下記のバイナリでは ../ というパスがあるファイルは展開されないようになっています.
下記の update によって,tar は 1.13.25,unzip は 5.50, fetchmail は 6.1.0 に更新されます.
上記パッケージはPlamo 3.0のglibc-2.2.5な環境でコンパイルしているので,Plamo 2.2 系のglibc-2.2.2 を使っている場合は適用できません.あててしまうと以下のようなエラーが出ます
kojima@typhoon[~]% tar -v tar: /lib/libc.so.6: version `GLIBC_2.2.3' not found (required by tar)
こうなってしまった場合,古いtarが/bin/tar-oldにrenameされていますので,これを元のtarに戻してください
# mv /bin/tar-old /bin/tar
Plamo-2.2 用のパッケージは近々にアップロードしますのでしばしお待ちを..
1.1.3以前のzlibにセキュリティホールが見つかったそうです.
最新版の1.1.4をパッケージ化したものをこちらに用意しました(ソースコードはこちら,Buildスクリプトはこちら)
3.1 以前のバージョンの OpenSSH にセキュリティホールが見つかったそうです.
最新のOpenSSH 3.1p1を元に作成したパッケージを用意したのでご利用ください.
このパッケージで利用したソースコードとビルド用のスクリプトもありますので,自前でコンパイルする方はご利用くださいませ.
SNMPのセキュリティホールに関するCERTのadvisary が出ました.Net-SNMPでは4.2.2以前のものが該当するそうなので,SNMPをお使いの方は4.2.2以降に更新してください.Net-SNMP 4.2.2 のPlamo-2.2用バイナリはこちらからどうぞ.
IMAP/POP3のサーバから攻撃を加えたり,特定のヘッダを処理すると buffer overrun する問題が見つかっています.詳細は以下のリンクを参照していください.
Plamo 用に山内さんが最新版の fetchmail(5.9.0) のパッケージを作成してくださいました.
POP3関連でセキュリティ問題が見つかったそうです.こちらも山内さんが最新版のパッケージ(0.5.3)を作成してくださいました.
netkit-0.17 以前の in.telnetd に buffer overflow な問題が見つかりました.
http://security.debian.org/dists/stable/updates/main/source/netkit-telnet_0.16-4potato.2.diff.gzのパッチを netkit-telnet-0.17 に当てて作成したtelnetとin.telnetdをftp://ftp.linet.gr.jp/pub/Plamo/Update/2.2/telnet.tgzに用意しました.
手元では動作未確認ですが,,m(_ _)m
上記バイナリは Plamo 2.2.1 用になっているので、他のバージョンをお使いの方はソースコードからコンパイルしてご利用ください。手元で使った netkit-combo-0.17 のソースとパッチ(上記 telnetd のパッチと time.h をインクルードしないとエラーになることがあるようなのを修正したパッチ)です。