[harden-mac:0688] [security-announce] APPLE-SA-2004-09-30 Security Update 2004-09-30

["Kogule, Ryo" <kogule@xxxxxxxxxxxxxx>]

---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された

APPLE-SA-2004-09-30 Security Update 2004-09-30

という記事の翻訳です。この記事は以下の URL で見る事が出来ます。

<http://lists.apple.com/archives/security-announce/2004/Oct/ 
msg00000.html>

本翻訳は，米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり，本翻訳に関して Apple Computer，アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。

この投稿は翻訳者個人の発意による翻訳であり，本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------

APPLE-SA-2004-09-30 Security Update 2004-09-30

Security Update 2004-09-30 が入手可能になりました。これは以下のセ
キュリティ強化を提供します。

AFP Server
適用先:         Mac OS X v10.3.5 と Mac OS X Server v10.3.5
CVE-ID:        CAN-2004-0921
問題の影響:     ゲストに AFP ボリュームの接続を切ることを許してしま
                うというサービス拒否
解説:           SessionDestroy パケットを変更することによって，ゲ
                ストがマウントした AFP ボリュームを同じサーバから認
                証された利用者がマウントしたボリュームを切断するため
                に利用することができました。この問題は Mac OS X
                v10.3 と Mac OS X Server v10.3 より前のシステムに
                は影響ありません。

AFP Server
適用先:         Mac OS X v10.3.5 と Mac OS X Server v10.3.5
CVE-ID:        CAN-2004-0922
問題の影響:     書き込みのみの AFP ドロップボックスを読み書き可能に
                設定できる可能性がある
解説:           間違ったゲストグループ ID の設定のせいで，ゲストによ
                ってマウントされた AFP ボリューム上の書き込みのみのド
                ロップボックスがときに読み書き可能になることがありま
                した。この問題は Mac OS X v10.3 と Mac OS X Server
                v10.3 より前のシステムには影響ありません。

CUPS
適用先:         Mac OS X v10.3.5, Mac OS X Server v10.3.5,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2004-0558
問題の影響:     プリントシステムのハングによるサービス拒否
解説:           CUPS の Internet Printing Protocol (IPP) の実装は，
                IPP ポートに特定の UDP パケットが送られた場合，ハング
                します。

CUPS
適用先:         Mac OS X v10.3.5, Mac OS X Server v10.3.5,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2004-0923
問題の影響:     ローカル環境における利用者パスワードの公開
解説:           特定の認証を使った遠隔プリント方法によって，プリント
                システムのログファイルに利用者のパスワードが公開される
                可能性があります。この問題の報告は，Glasgow
                Caledonian University のIT Services department の
                Gary Smith によるものです。

NetInfo マネージャ
適用先:         Mac OS X v10.3.5 と Mac OS X Server v10.3.5
CVE-ID:        CAN-2004-0924
問題の影響:     アカウント状態の間違った表示
解説:           NetInfo マネージャユーティリティで“root”アカウント
                を有効にすることができますが，一回“root”ログインを行
                うと，その後 NetInfo マネージャを使ってそのアカウント
                を無効にすることができなくなり，また無効であると間違っ
                て表示されるようになります。この問題は Mac OS X v10.3
                と Mac OS X Server v10.3 より前のシステムには影響あり
                ません。

postfix
適用先:         Mac OS X v10.3.5 と Mac OS X Server v10.3.5
CVE-ID:        CAN-2004-0925
問題の影響:     SMTPD AUTH が有効である場合のサービス拒否
解説:           postfix で SMTPD AUTH が有効になっている場合，それぞ
                れの認証間で，利用者名を保持しているバッファが正しくク
                リアされません。もっとも長い利用者名を持っている利用者
                だけが認証されます。この問題は Mac OS X v10.3 と Mac
                OS X Server v10.3 より前のシステムには影響ありません。
                この問題の報告は EyeSee360 の Michael Rondinelli に
                よるものです。

QuickTime
適用先:         Mac OS X v10.3.5, Mac OS X Server v10.3.5,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2004-0926
問題の影響:     ヒープバッファのオーバフローにより攻撃者に任意のコード
                の実行を許す
解説:           BMP 画像のデコードの欠陥によりヒープメモリが上書きさ
                れ，潜在的に画像に隠された任意のコードの実行を許す可能
                性があります。

ServerAdmin
適用先:         Mac OS X Server v10.3.5 と Mac OS X Server v10.2.8
CVE-ID:        CAN-2004-0927
問題の影響:     キャプチャされたセッションを解析することにより，
                ServerAdmin を使ったクライアント―サーバ間のやり取りを
                読むことができる
解説:           ServerAdmin を使ったクライアント―サーバ間のやり取りは
                SSL を利用しています。全てのシステムに同じ自己署名証明
                書の見本が添付されています。もしこの証明書を差し替えてい
                ない場合，ServerAdmin のやり取りは復号されるかもしれま
                せん。この修正では既に存在する自己署名証明書をローカルで
                独自に生成されたものに置き換えます。

================================================

このセキュリティアップデートのタイトルは今日の日付とあっていません。先
週末クパティーノと周辺の街の一部で停電があったため，実際の公開日に影響
が出ました。

================================================

Security Update 2004-09-30 はシステム環境設定のソフトウェアアップ
デート，もしくは Apple の Software Downloads ウェブサイトから入手で
きます。
http://www.apple.com/support/downloads/


Mac OS X v10.3.5 と Mac OS X Server v10.3.5 用
================================================
ファイル名: "SecUpd2004-09-30Pan.dmg"
SHA-1 ダイジェスト:  1660042cecdfca15866cc3a7be06c69ee52d68a3

For Mac OS X v10.2.8 と Mac OS X Server v10.2.8 用
================================================
ファイル名: "SecUpd2004-09-30Jag.dmg"
SHA-1 ダイジェスト:  6db70c5b76d386776f491dca52fabdc02c8284e1

情報は Apple Product Security ウェブサイトにもあります。
http://www.apple.com/support/security/security_updates.html

---------------------------------------------------------------
翻訳：古暮涼 <kogule@xxxxxxxxxxxxxx>



--[PR]------------------------------------------------------------------
+-+-+-+-+-+-+-+-☆★☆当選者１００万人突破！！☆★☆-+-+-+-+-+-+-+-+
　　　　ふくびき.comは、登録無料で遊べる楽しい懸賞サイトです！
　　　　　毎月誰かに１００万円や、豪華賞品が当たります！！
　　　　　　さあ、みんな一緒に大当たりを目指しちゃおう♪
⇒⇒⇒>>  http://click.freeml.com/ad.php?id=204162
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp