パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Security Update 2004-12-02」記事へのコメント

  • ストーリー立てる必要あるのかな?
    世間的に大騒ぎされた穴が塞がれたときはともかくとして。
    • by Anonymous Coward on 2004年12月04日 5時18分 (#661453)
      他に話題が多い訳でもないし、良いんじゃない?
      修正内容もかいつまんで書いて欲しいとこだけど。
      親コメント
      • 修正内容もかいつまんで書いて欲しいとこだけど。

        今回は内容盛りだくさんなので、タレコミ文に入れるのはあきらめました。

        と、これだけではナンですので、とりあえずApple Security Updates [apple.com]から今回の修正内容を抄訳してみました。日本語版 [apple.com]もそのうち更新されると思うのですが。

        Apache

        • 対象: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1082
        • CVE-ID: CAN-2004-1082
        • 影響: Apacheのmod_diget_apple認証は反射攻撃 [e-words.jp]に対して脆弱です。

        Apache

        • 対象: http://e-words.jp/w/E58F8DE5B084E694BBE69283.html
        • CVE-ID: CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940
        • 影響: Apacheとmod_sslに、ローカル権限昇格、リモートサービス拒否、任意コード実行(特定の設定変更をおこなった場合)を含む複数の脆弱性

        Apache

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1083
        • 影響: Apacheの設定が、".DS_Store"ファイルや、".ht"で始まるファイルへのアクセスを完全には遮断できていませんでした。

        Apache

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1084
        • 影響: ファイルデータとリソースフォークの内容が、通常のApacheファイルハンドラをバイパスすることでHTTP経由で引き出される可能性があります。

        Apache 2

        • 対象: ac OS X Server v10.3.6, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748
        • 影響: Apache 2の設定を変更することで、ローカルユーザーの権限昇格と、リモートサービス拒否を許す可能性がありました。

        Appkit

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1081
        • 影響: セキュアテキストフィールドに入力した文字が、同じウィンドウセッションの別のアプリケーションから読み出される可能性があります。

        Appkit

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0803, CAN-2004-0804, CAN-2004-0886
        • 影響: tiffの処理中に、整数のオーバーフローと範囲チェックの不足から、任意コードの実行や、サービス拒否を許す可能性がありました。

        Cyrus IMAP

        • 対象: Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1089
        • 影響: Cyrus IMAPでKerberos認証を使用するとき、認証されたユーザーが、同じシステム上の他人のメールボックスに認証せずにアクセスすることが可能でした。

        HIToolbox

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1085
        • 影響: キオスクモードのときにアプリケーションを終了させることができます。

        Kerberos

        • 対象:Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772
        • 影響: Kerberos認証の使用時に潜在的なサービス拒否のおそれ

        Postfix

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1088
        • 影響: CRAM-MD5を使用するPostfixに、リモートユーザが適切な認証なしにメールを送るのを許すおそれがあります。

        PSNormalizer

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1086
        • 影響: PostScriptからPDFへの変換の際のバッファオーバーフローにより、任意コードの実行を許す可能性がありました。

        QuickTime Streaming Server

        • 対象: Mac OS X Server v10.3.6, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1123
        • 影響: 特別に細工した要求により、サービス拒否を起こす可能性がありました。

        Safari

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1121
        • 影響: 特別に細工したHTMLにより、誤解させるようなURIをSafariのステータスバーに表示することが
        親コメント

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

処理中...