[harden-mac:0706] [security-announce] APPLE-SA-2005-01-25 Security Update 2005-001

["Kogule, Ryo" <kogule@xxxxxxxxxxxxxx>]

---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された

APPLE-SA-2005-01-25 Security Update 2005-001

という記事の翻訳です。この記事は以下の URL で見る事が出来ます。

<http://lists.apple.com/archives/security-announce/2005/Jan/ 
msg00001.html>

本翻訳は，米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり，本翻訳に関して Apple Computer，アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。

この投稿は翻訳者個人の発意による翻訳であり，本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------

APPLE-SA-2005-01-25 Security Update 2005-001

Security Update 2005-001 が入手可能になりました。これは以下のセ
キュリティ強化を提供します。

at コマンド
適用先:         Mac OS X v10.3.7, Mac OS X Server v10.3.7
CVE-ID:        CAN-2005-0125
問題の影響:     ローカルの特権昇格の脆弱性に対処するための“at”コ
                マンドの更新
解説:          “at”関連のコマンドは正しく特権を落としていません
                でした。このためローカルの利用者が所有していない
                ファイルを削除したり，特権を持った状態でプログラム
                を走らせたり，通常は読めないはずのファイルの内容を
                読んだりする事ができました。このアップデートでコマ
                ンド群 at，atrm，batch，atq，atrun にパッチを当
                てています。この問題の報告は
                kf_lists[at]digitalmunition[dot]com によるもの
                です。

ColorSync
適用先:         Mac OS X v10.3.7, Mac OS X Server v10.3.7,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2005-0126
問題の影響:     不正な形式の ICC カラープロファイルによりプログラ
                ムのヒープの上書きにされ任意のコードが実行される
解説:           規格外や不適切に埋め込まれた ICC カラープロファイ
                ルによりプログラムのヒープの上書きでき，これにより
                任意のコードの実行が可能でした。この問題を利用した
                不正手段は今のところ見付かっていません。このアップ
                デートにより ColorSync は間違った形式の ICC カ
                ラープロファイルを拒否するようになります。

libxml2
適用先:         Mac OS X v10.3.7, Mac OS X Server v10.3.7
CVE-ID:        CAN-2004-0989
問題の影響:     libxml2 ライブラリに，それをリンクしたアプリケー
                ションで不正利用される安全でないコードが含まれて
                いる
解説:           潜在的に不正利用可能なバッファオーバフローのため
                安全でないと確認された libxml2 の幾つかの関数をこ
                のアップデートで修正しています。

Mail
適用先:         Mac OS X v10.3.7 Client,
                Mac OS X Server v10.3.7
CVE-ID:        CAN-2005-0127
問題の影響:     一台の機械から発信されたメールメッセージは識別可能
解説:           イーサネットネットワークハードウェアに関連づけられ
                た識別子を含んでいる GUUID が，RFC-822 で規定され
                ている Message-ID ヘッダを組み立てるのに使われてい
                ました。/dev/random から得られたデータをつないだ
                GUUID の暗号技術的ハッシュを使って Message-ID を計
                算する事により，Mail はこの情報を隠すようになりまし
                た。この問題の報告は Carl Purvis によるものです。

PHP
適用先:         Mac OS X v10.3.7, Mac OS X Server v10.3.7,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2003-0860, CAN-2003-0863, CAN-2004-0594,
                CAN-2004-0595, CAN-2004-1018, CAN-2004-1019,
                CAN-2004-1020, CAN-2004-1063, CAN-2004-1064,
                CAN-2004-1065
問題の影響:     遠隔からのサービス拒否や任意のコードの実行を含む
                PHP の複数の脆弱性
解説:           幾つかの問題に対処するために PHP をバージョン
                4.3.10 に更新しました。バージョン 4.3.10 に関す
                る PHP のリリースアナウンスメントは
                http://www.php.net/release_4_3_10.php にあり
                ます。

Safari
適用先:         Mac OS X v10.3.7, Mac OS X Server v10.3.7,
                Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID:        CAN-2004-1314
問題の影響:     Safari の“ポップアップウインドウを開かない”機能
                が有効でないとき，悪意のあるポップアップウィンドウ
                が信頼できるサイトからのものであるように現れる
解説:          “ポップアップウインドウを開かない”機能が有効な場
                合はこの問題は起こりません。“ポップアップウインド
                ウを開かない”機能が有効でない場合，見てほしいサイ
                トへ導くために信頼できないリンクが使われていれば，
                利用者はポップアップウィンドウの内容を誤解させられ
                ます。“ポップアップウインドウを開かない”の設定に
                かかわらず，このアップデートで問題を修正します。こ
                の問題の報告は Secunia Research によるものです。

SquirrelMail
適用先:         Mac OS X Server 10.3.7
CVE-ID:        CAN-2004-1036
問題の影響:     クロスサイトスクリプティング脆弱性に対処するための
                SquirrelMail の更新
解説:          SquirrelMail のクロスサイトスクリプティング脆弱性
                により，利用者のウェブブラウザで表示される内容を含
                むメールメッセージを許していました。この問題に対処
                するために SquirrelMail を更新しています。より詳
                細は SquirrelMail ウェブサイトにあります。
                http://www.squirrelmail.org/

Security Update 2005-001 はシステム環境設定のソフトウェアアップ
デート，もしくは Apple の Sofware Downloads ウェブサイトから入手
できます。
http://www.apple.com/support/downloads/

Mac OS X v10.3.7 用
ファイル名: "SecUpd2005-001Pan.dmg"
SHA-1 ダイジェスト:  89aedac4c3824bf7a35c3100894b22fc0db47dd0

Mac OS X Server v10.3.7 用
ファイル名: "SecUpSrvr2005-001Pan.dmg"
SHA-1 ダイジェスト:  73d0cd53be0504c10173d7dd6bb9f5fc964e3390

Mac OS X v10.2.8 用
ファイル名: "SecUpd2005-001Jag.dmg"
SHA-1 ダイジェスト:  5c364b5f548a7fdced54de2149e79dfb3d90371d

Mac OS X Server v10.2.8 用
ファイル名: "SecupdSrvr2005-001Jag.dmg"
SHA-1 ダイジェスト:  c999c6d2e58cea324dd91188fedf870741b296d4

情報は Apple Product Security ウェブサイトにもあります。
http://docs.info.apple.com/article.html?artnum=61798

---------------------------------------------------------------
翻訳：古暮涼 <kogule@xxxxxxxxxxxxxx>




--[PR]------------------------------------------------------------------
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃  　　「 必ず上司を説得できる　ストリーミング導入ガイド 」
┃好評につき第２弾！　稟議書に便利なデータが満載の無料小冊子進呈中！
┃ http://ad.freeml.com/cgi-bin/ad.cgi?id=dcdi6
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online  www.gmo.jp