[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[harden-mac:0711] [security-announce] APPLE-SA-2005-03-21 Security Update 2005-003

To: harden-mac@xxxxxxxxxx
Subject: [harden-mac:0711] [security-announce] APPLE-SA-2005-03-21 Security Update 2005-003
From: "Kogule, Ryo" <kogule@xxxxxxxxxxxxxx>
Date: Tue, 22 Mar 2005 12:57:50 +0900

--------------------------------------------------------------- これは <security-announce@xxxxxxxxxxxxxxx> に投稿された APPLE-SA-2005-03-21 Security Update 2005-003 という記事の翻訳です。この記事は以下の URL で見る事が出来ます。 <http://lists.apple.com/archives/security-announce/2005/Mar/ msg00000.html> 本翻訳は，米国 Apple Computer 並びに日本アップルコンピュータの許可を得ていない翻訳であり，本翻訳に関して Apple Computer，アップルコンピュータに問合せないようお願い致します。また翻訳者も内容及び翻訳に関して何ら責任を持てない事をご了解下さい。この投稿は翻訳者個人の発意による翻訳であり，本メーリングリスト並びにそれを提供している freeml.com とは無関係です。 --------------------------------------------------------------- APPLE-SA-2005-03-21 Security Update 2005-003 Security Update 2005-003 が入手可能になりました。これは以下のセキュリティ強化を提供します。 AFP サーバ適用先: Mac OS X v10.3.8，Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0340 問題の影響: 特別に作られたパケットにより AFP サーバ対してサービス拒否がおこる解説: 特別に作られたパケットによって不正なメモリ参照がおこる結果，AFP サーバの稼働が終了してしまいます。この問題の報告は Braden Thomas によるものです。 AFP サーバ適用先: Mac OS X v10.3.8，Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0715 問題の影響: “ドロップボックス”の内容が暴露される解説: “ドロップボックス”へのアクセスのファイルアクセス権の確認を修正しました。この問題の報告はサンフランシスコの John M. Glenn によるものです。 Bluetooth 設定アシスタント適用先: Mac OS X v10.3.8，Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0713 問題の影響: Bluetooth の入力デバイス使用時のローカルセキュリティの迂回解説: Bluetooth 設定アシスタントはキーボードやあらかじめ設定された Bluetooth 入力デバイスがないシステムで起動されることがあります。こういった場合 Bluetooth 設定アシスタント内で，特定の権限が与えられた関数へのアクセスを無効にします。 Core Foundation 適用先: Mac OS X v10.3.8，Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0716 問題の影響: 環境変数を通したバッファオーバフロー解説: Core Foundation 内の間違った環境変数の処理によって，任意のコードの実行を引き起しかねないバッファオーバフローが起こりえます。この問題は正しい環境変数の処理によって対処しました。この問題の報告は iDEFENSE と SeedSecurity.com の Adriano Lima によるものです。 Cyrus IMAP 適用先: Mac OS X Server v10.3.8 CVE-ID: CAN-2004-1011，CAN-2004-1012，CAN-2004-1013， CAN-2004-1015，CAN-2004-1067 問題の影響: 遠隔からの攻撃に利用できるサービス拒否とバッファオーバフローを含む Cyrus IMAP の複数の脆弱性解説: Cyrus IMAP をバージョン 2.2.12 に更新しました。これは fetchnews と backend，proxyd，imapd のバッファオーバフローの修正を含みます。更なる情報は以下にあります。 http://asg.web.cmu.edu/cyrus/download/imapd/changes.html Cyrus SASL 適用先: Mac OS X v10.3.8, Mac OS X Server v10.3.8 CVE-ID: CAN-2002-1347, CAN-2004-0884 問題の影響: 遠隔からの攻撃に利用できるサービス拒否とこのライブラリを利用しているアプリケーションで遠隔からのコード実行の可能性を含む Cyrus SASL の複数の脆弱性解説: 幾つかのセキュリティホールに対処するため，Cyrus SASL を更新しました。これらセキュリティホールは，間違ったデータの妥当性確認やメモリ割当て，データ処理によって起こりえました。フォルダパーミッション適用先: Mac OS X v10.3.8, Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0712 問題の影響: 幾つかのディレクトリが誰もが書込めるパーミッションになっているため，潜在的にファイルの競合状態やローカルの特権昇格が起こりえる解説: インストーラの receipt キャッシュとシステムレベルの ColorSync プロファイルを保護するため，安全なフォルダパーミッションを適用しました。この問題の報告は， DarkArt Consulting Services の Eric Hall と Michael Haller <info@xxxxxxxxx>， <root at addcom.de>　によるものです。 Mailman 適用先: Mac OS X Server v10.3.8 CVE-ID: CAN-2005-0202 問題の影響: 任意のファイルへのアクセスを許可してしまう Mailman のディレクトリ巡回問題解説: Mailman はメーリングリスト管理をおこなうソフトウェアパッケージです。このアップデートで，システム上の任意のファイルへ遠隔からアクセスを許す Mailman の非公開アーカイブ処理の暴露に対処しています。更なる情報は以下にあります。 http://www.gnu.org/software/mailman/security.html Safari CVE-ID: CAN-2005-0234 問題の影響: 故意に登録された国際化ドメイン名（IDN）により URL が視覚的には正規のサイトのように見える解説: ドメイン名の Unicode 文字のサポート（国際化ドメイン名サポート）によって，故意に登録されたドメイン名が視覚的には正規のサイトに見えるようにできます。そのままの文字で表示してもよい言語のカスタマイズ可能な一覧表を，Safari が参照するよう変更しました。許可一覧表にない言語の文字は，それらの文字の Punycode 相当で表示されます。デフォルトの言語許可一覧表にはローマン類似言語は含まれていません。この問題の我々への報告は Eric Johanson <ericj@xxxxxxxxx> によるものです。更なる情報は以下にあります。 http://docs.info.apple.com/article.html?artnum=301116 Samba 適用先: Mac OS X v10.3.8, Mac OS X Server v10.3.8 CVE-ID: CAN-2004-0882, CAN-2004-0930, CAN-2004-1154 問題の影響: 遠隔からのサービス拒否や潜在的な遠隔からの任意のコマンドの実行を含む Samba の複数の脆弱性解説: 最近の Samba のリリースで幾つかのセキュリティ脆弱性への対処がなされました。Security Update 2005-003 は Samba バージョン 3.0.10 をインストールしてこれらの修正を提供します。更なる情報は以下にある Samba セキュリティサイトにあります。 http://www.samba.org/samba/history/security.html SquirrelMail 適用先: Mac OS X Server v10.3.8 CVE-ID: CAN-2004-1036, CAN-2005-0075, CAN-2005-0103, CAN-2005-0104 問題の影響: クロスサイトスクリプティングや HTML 注入を含む Squirrelmail の複数の脆弱性解説: SquirrelMail 1.4.4 は，様々なクロスサイトスクリプティング暴露や遠隔サーバからウェブページを含ませるための webmail.php の使用の可能性を含む，幾つかのセキュリティに関する問題に対処しています。 CAN-2005-0075 は SquirrelMail 1.4.4 で修正される問題ですが，register_globals が有効になっていないため Mac OS X Server のデフォルトの設定には影響ありません。更なる情報は以下にある SquirrelMail セキュリティサイトにあります。 http://www.squirrelmail.org/changelog.php Security Update 2005-003 はシステム環境設定のソフトウェアアップデート，もしくは Apple の Sofware Downloads ウェブサイトから入手できます。 http://www.apple.com/support/downloads/ Mac OS X v10.3.8 用ファイル名: "SecUpd2005-003Pan.dmg" SHA-1 ダイジェスト: 2f16fc9fc5b378454491ca7b5dfec54f79a283a0 Mac OS X Server v10.3.8 用ファイル名: "SecUpdSrvr2005-003Pan.dmg" SHA-1 ダイジェスト: feaccbbdc490b433304b437c01eb41d9f2b0f9b8 情報は Apple Product Security ウェブサイトにもあります。 http://docs.info.apple.com/article.html?artnum=61798 --------------------------------------------------------------- 翻訳：古暮涼 <kogule@xxxxxxxxxxxxxx> --[PR]------------------------------------------------------------------ ＷＡＯ！のＷＢＴ公務員講座なら時間を有効的に使え確かな知識をつけられるので短期での取得も可能！無料体験も実施中です！公務員試験をラクに突破するためには資格カレッジのＷＡＯ！のテクニックを参考にしてください！今ならおトクなキャンペーンも実施！ http://ad.freeml.com/cgi-bin/ad.cgi?id=di5eQ ------------------------------------------------------------------[PR]-- ■GMO GROUP■ Global Media Online www.gmo.jp

Follow-Ups:
- [harden-mac:0712] Re: [security-announce] APPLE-SA-2005-03-21 Security Update 2005-003
  - From: Tamachan

Prev by Date: [harden-mac:0710] GnuPG 1.4.1
Next by Date: [harden-mac:0712] Re: [security-announce] APPLE-SA-2005-03-21 Security Update 2005-003
Previous by thread: [harden-mac:0710] GnuPG 1.4.1
Next by thread: [harden-mac:0712] Re: [security-announce] APPLE-SA-2005-03-21 Security Update 2005-003
Index(es):
- Date
- Thread