[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0706] [security-announce] APPLE-SA-2005-01-25 Security Update 2005-001



---------------------------------------------------------------
これは <security-announce@xxxxxxxxxxxxxxx> に投稿された

APPLE-SA-2005-01-25 Security Update 2005-001

という記事の翻訳です。この記事は以下の URL で見る事が出来ます。

<http://lists.apple.com/archives/security-announce/2005/Jan/ msg00001.html>

本翻訳は,米国 Apple Computer 並びに日本アップルコンピュータの許可
を得ていない翻訳であり,本翻訳に関して Apple Computer,アップルコ
ンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に
関して何ら責任を持てない事をご了解下さい。

この投稿は翻訳者個人の発意による翻訳であり,本メーリングリスト並びに
それを提供している freeml.com とは無関係です。
---------------------------------------------------------------

APPLE-SA-2005-01-25 Security Update 2005-001

Security Update 2005-001 が入手可能になりました。これは以下のセ
キュリティ強化を提供します。

at コマンド
適用先: Mac OS X v10.3.7, Mac OS X Server v10.3.7
CVE-ID: CAN-2005-0125
問題の影響: ローカルの特権昇格の脆弱性に対処するための“at”コ
マンドの更新
解説: “at”関連のコマンドは正しく特権を落としていません
でした。このためローカルの利用者が所有していない
ファイルを削除したり,特権を持った状態でプログラム
を走らせたり,通常は読めないはずのファイルの内容を
読んだりする事ができました。このアップデートでコマ
ンド群 at,atrm,batch,atq,atrun にパッチを当
てています。この問題の報告は
kf_lists[at]digitalmunition[dot]com によるもの
です。

ColorSync
適用先: Mac OS X v10.3.7, Mac OS X Server v10.3.7,
Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID: CAN-2005-0126
問題の影響: 不正な形式の ICC カラープロファイルによりプログラ
ムのヒープの上書きにされ任意のコードが実行される
解説: 規格外や不適切に埋め込まれた ICC カラープロファイ
ルによりプログラムのヒープの上書きでき,これにより
任意のコードの実行が可能でした。この問題を利用した
不正手段は今のところ見付かっていません。このアップ
デートにより ColorSync は間違った形式の ICC カ
ラープロファイルを拒否するようになります。

libxml2
適用先: Mac OS X v10.3.7, Mac OS X Server v10.3.7
CVE-ID: CAN-2004-0989
問題の影響: libxml2 ライブラリに,それをリンクしたアプリケー
ションで不正利用される安全でないコードが含まれて
いる
解説: 潜在的に不正利用可能なバッファオーバフローのため
安全でないと確認された libxml2 の幾つかの関数をこ
のアップデートで修正しています。

Mail
適用先: Mac OS X v10.3.7 Client,
Mac OS X Server v10.3.7
CVE-ID: CAN-2005-0127
問題の影響: 一台の機械から発信されたメールメッセージは識別可能
解説: イーサネットネットワークハードウェアに関連づけられ
た識別子を含んでいる GUUID が,RFC-822 で規定され
ている Message-ID ヘッダを組み立てるのに使われてい
ました。/dev/random から得られたデータをつないだ
GUUID の暗号技術的ハッシュを使って Message-ID を計
算する事により,Mail はこの情報を隠すようになりまし
た。この問題の報告は Carl Purvis によるものです。

PHP
適用先: Mac OS X v10.3.7, Mac OS X Server v10.3.7,
Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID: CAN-2003-0860, CAN-2003-0863, CAN-2004-0594,
CAN-2004-0595, CAN-2004-1018, CAN-2004-1019,
CAN-2004-1020, CAN-2004-1063, CAN-2004-1064,
CAN-2004-1065
問題の影響: 遠隔からのサービス拒否や任意のコードの実行を含む
PHP の複数の脆弱性
解説: 幾つかの問題に対処するために PHP をバージョン
4.3.10 に更新しました。バージョン 4.3.10 に関す
る PHP のリリースアナウンスメントは
http://www.php.net/release_4_3_10.php にあり
ます。

Safari
適用先: Mac OS X v10.3.7, Mac OS X Server v10.3.7,
Mac OS X v10.2.8, Mac OS X Server v10.2.8
CVE-ID: CAN-2004-1314
問題の影響: Safari の“ポップアップウインドウを開かない”機能
が有効でないとき,悪意のあるポップアップウィンドウ
が信頼できるサイトからのものであるように現れる
解説: “ポップアップウインドウを開かない”機能が有効な場
合はこの問題は起こりません。“ポップアップウインド
ウを開かない”機能が有効でない場合,見てほしいサイ
トへ導くために信頼できないリンクが使われていれば,
利用者はポップアップウィンドウの内容を誤解させられ
ます。“ポップアップウインドウを開かない”の設定に
かかわらず,このアップデートで問題を修正します。こ
の問題の報告は Secunia Research によるものです。

SquirrelMail
適用先: Mac OS X Server 10.3.7
CVE-ID: CAN-2004-1036
問題の影響: クロスサイトスクリプティング脆弱性に対処するための
SquirrelMail の更新
解説: SquirrelMail のクロスサイトスクリプティング脆弱性
により,利用者のウェブブラウザで表示される内容を含
むメールメッセージを許していました。この問題に対処
するために SquirrelMail を更新しています。より詳
細は SquirrelMail ウェブサイトにあります。
http://www.squirrelmail.org/

Security Update 2005-001 はシステム環境設定のソフトウェアアップ
デート,もしくは Apple の Sofware Downloads ウェブサイトから入手
できます。
http://www.apple.com/support/downloads/

Mac OS X v10.3.7 用
ファイル名: "SecUpd2005-001Pan.dmg"
SHA-1 ダイジェスト: 89aedac4c3824bf7a35c3100894b22fc0db47dd0

Mac OS X Server v10.3.7 用
ファイル名: "SecUpSrvr2005-001Pan.dmg"
SHA-1 ダイジェスト: 73d0cd53be0504c10173d7dd6bb9f5fc964e3390

Mac OS X v10.2.8 用
ファイル名: "SecUpd2005-001Jag.dmg"
SHA-1 ダイジェスト: 5c364b5f548a7fdced54de2149e79dfb3d90371d

Mac OS X Server v10.2.8 用
ファイル名: "SecupdSrvr2005-001Jag.dmg"
SHA-1 ダイジェスト: c999c6d2e58cea324dd91188fedf870741b296d4

情報は Apple Product Security ウェブサイトにもあります。
http://docs.info.apple.com/article.html?artnum=61798

---------------------------------------------------------------
翻訳:古暮涼 <kogule@xxxxxxxxxxxxxx>




--[PR]------------------------------------------------------------------
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
┃   「 必ず上司を説得できる ストリーミング導入ガイド 」
┃好評につき第2弾! 稟議書に便利なデータが満載の無料小冊子進呈中!
http://ad.freeml.com/cgi-bin/ad.cgi?id=dcdi6
□━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□
------------------------------------------------------------------[PR]--
■GMO GROUP■ Global Media Online www.gmo.jp