パスワードを忘れた? アカウント作成
9295 story

Security Update 2004-12-02 15

ストーリー by Acanthopanax
年末セキュリティ 部門より

アップルが、Security Update 2004-12-02を公開している(Mac OS X 10.3.6クライアント用10.3.6サーバ用10.2.8クライアント用10.2.8サーバ用)。ソフトウェア・アップデートでも配付されている。10.3.6クライアント用では、Apache・AppKit・HIToolbox・Kerberos・Postfix・PSNormalizer・Safari・Terminalがそれぞれ更新される。詳細は、Apple Security Updatesに掲載されている。

[2004-12-07 18:30 JST Acanthopanaxによる追記] Apple Security Updates 日本語版も更新された。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by wtnabe (16084) on 2004年12月04日 12時26分 (#661554) 日記
    Mac セクションの RSS を Sage に入れているのであると助かります。Mac 系のニュースサイトはよく知らないのでチェックしてないし、スラドは元記事、関連リンクなどを用意してくれるという安心感があるし、コメントも有用なものが、自分が思う範囲では割といい頻度でついてくれるので。(マイナーセクションのよいところ :-)
  • by TamanegiSwordsman (24244) on 2004年12月04日 0時54分 (#661387)
    ストーリー立てる必要あるのかな?
    世間的に大騒ぎされた穴が塞がれたときはともかくとして。
    • Re:毎回毎回 (スコア:2, 参考になる)

      by targz (14071) on 2004年12月04日 5時27分 (#661454) 日記
      Security Update は突然出るものですし、出たときは早急に適用するべきものですから、一応「ニュースサイト」であるスラドで取り上げる必要はあると思いますよ。

      Mac 系ニュースサイトは他にも多数あるので、そちらに任せたらいいのでは、という考えも分からなくはないですが、月1回あるかないかの話題なので別にいいのでは。Nightly Build を追い掛けているのではないですし。

      でも、今回のアップデートはけっこうサイズが大きくて影響が大きかったです。ShapeShifterを使っていますが、Finder,Safari,iChat,iTunes等が「新しすぎて」テーマ変更の対象外になってしまいました:-) これらのアプリだけ、デフォルトアクアテーマになってしまってさみしい……。
      親コメント
      • by TamanegiSwordsman (24244) on 2004年12月04日 10時13分 (#661504)
        >>>Security Update は突然出るものですし
         
        ソフトウェア・アップデートを自動で毎日チェックにしとけば
        余程のことが無い限り取りこぼしは無いかと。
        自動適用ではないので入れるかどうかは取捨選択できますし
         
        別に毎回立つことに腹立っているわけじゃないけど、

        >>>一応「ニュースサイト」である

        アレゲなニュース」と「雑談」サイトのはずだから
        「アレゲ」でもなく、「雑談」さえあまり出ないような
        「ただのニュース」を載せるのって、
        スラドの役割じゃないような気がしたわけです。
         
        このスラドを覗くような人は、「アレゲなニュース」を
        期待しているハズ。一般的な、一般人向けニュースサイトで
        得られないような。もしくは「雑談」。一般サイトで書かれてるけど、
        レス書きたくてウズウズしてしまうような内容のニュース。

        #あとは、一般ニュースは載せないことで無駄にページビューを
         肥大化させないって意味もあるかと。編集者が稼ぐ為の
         商業サイトじゃないんだからね。ページビューが増えすぎると、
         そのぶんノイズ(厨)も増えると思うし。最近出てきた
         2ゲット屋なんかもそういう弊害の一つかと。
        親コメント
    • 世間的に大騒ぎされた穴が塞がれたときはともかくとして。

      今回のものでは、世間的に多少は話題になった穴もふさがれてますよ。「主要タブブラウザに共通のセキュリティホール [srad.jp]」(yourCatさんのコメント [srad.jp]が詳しい)とか。あと、/.Jの過去のストーリーで関係のあるものというと「Apache 2.0.51 リリース [srad.jp]」とか「Apache 2.0.50 未満にDoS脆弱性 [srad.jp]」、「Apache HTTP Server 1.3.31 Released [srad.jp]」あたりですかね。

      親コメント
    • Re:毎回毎回 (スコア:1, 参考になる)

      by Anonymous Coward on 2004年12月05日 2時24分 (#661860)
      Security Updateを適用した事によって何か変わったことを体感した報告や、
      適用した際に不具合が起こったりした場合には議論が起こったりもするから
      別にあっても良いとは思う。
      親コメント
      • by chiba-f (6867) on 2004年12月05日 16時44分 (#662045)
        Security Updateを適用した事によって何か変わったことを体感した報告や、 適用した際に不具合が起こったりした場合には議論が起こったりもするから 別にあっても良いとは思う。
        同感.時々Security Updateのアップデート1.1なんてのもあったりするし.
        親コメント
    • by Anonymous Coward
      Macセクションは選択しないとみられないんだから、
      ストーリーが立つ頻度については
      そう目くじらを立てるようなことでもないかと。
    • by Anonymous Coward
      他に話題が多い訳でもないし、良いんじゃない?
      修正内容もかいつまんで書いて欲しいとこだけど。
      • 修正内容もかいつまんで書いて欲しいとこだけど。

        今回は内容盛りだくさんなので、タレコミ文に入れるのはあきらめました。

        と、これだけではナンですので、とりあえずApple Security Updates [apple.com]から今回の修正内容を抄訳してみました。日本語版 [apple.com]もそのうち更新されると思うのですが。

        Apache

        • 対象: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-1082
        • CVE-ID: CAN-2004-1082
        • 影響: Apacheのmod_diget_apple認証は反射攻撃 [e-words.jp]に対して脆弱です。

        Apache

        • 対象: http://e-words.jp/w/E58F8DE5B084E694BBE69283.html
        • CVE-ID: CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940
        • 影響: Apacheとmod_sslに、ローカル権限昇格、リモートサービス拒否、任意コード実行(特定の設定変更をおこなった場合)を含む複数の脆弱性

        Apache

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1083
        • 影響: Apacheの設定が、".DS_Store"ファイルや、".ht"で始まるファイルへのアクセスを完全には遮断できていませんでした。

        Apache

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1084
        • 影響: ファイルデータとリソースフォークの内容が、通常のApacheファイルハンドラをバイパスすることでHTTP経由で引き出される可能性があります。

        Apache 2

        • 対象: ac OS X Server v10.3.6, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0747, CAN-2004-0786, CAN-2004-0751, CAN-2004-0748
        • 影響: Apache 2の設定を変更することで、ローカルユーザーの権限昇格と、リモートサービス拒否を許す可能性がありました。

        Appkit

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1081
        • 影響: セキュアテキストフィールドに入力した文字が、同じウィンドウセッションの別のアプリケーションから読み出される可能性があります。

        Appkit

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0803, CAN-2004-0804, CAN-2004-0886
        • 影響: tiffの処理中に、整数のオーバーフローと範囲チェックの不足から、任意コードの実行や、サービス拒否を許す可能性がありました。

        Cyrus IMAP

        • 対象: Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1089
        • 影響: Cyrus IMAPでKerberos認証を使用するとき、認証されたユーザーが、同じシステム上の他人のメールボックスに認証せずにアクセスすることが可能でした。

        HIToolbox

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1085
        • 影響: キオスクモードのときにアプリケーションを終了させることができます。

        Kerberos

        • 対象:Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-0642, CAN-2004-0643, CAN-2004-0644, CAN-2004-0772
        • 影響: Kerberos認証の使用時に潜在的なサービス拒否のおそれ

        Postfix

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1088
        • 影響: CRAM-MD5を使用するPostfixに、リモートユーザが適切な認証なしにメールを送るのを許すおそれがあります。

        PSNormalizer

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6
        • CVE-ID: CAN-2004-1086
        • 影響: PostScriptからPDFへの変換の際のバッファオーバーフローにより、任意コードの実行を許す可能性がありました。

        QuickTime Streaming Server

        • 対象: Mac OS X Server v10.3.6, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1123
        • 影響: 特別に細工した要求により、サービス拒否を起こす可能性がありました。

        Safari

        • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
        • CVE-ID: CAN-2004-1121
        • 影響: 特別に細工したHTMLにより、誤解させるようなURIをSafariのステータスバーに表示することが
        親コメント
        • はじめの2つ、ペーストするものを間違えてました。(^^;; 以下が正しいものです。

          Apache

          • 対象: Mac OS X Server v10.3.6, Mac OS X Server v10.2.8
          • CVE-ID: CAN-2004-1082

          Apache

          • 対象: Mac OS X v10.3.6, Mac OS X Server v10.3.6, Mac OS X v10.2.8, Mac OS X Server v10.2.8
          • CVE-ID: CAN-2003-0020, CAN-2003-0987, CAN-2004-0174, CAN-2004-0488, CAN-2004-0492, CAN-2004-0885, CAN-2004-0940
          親コメント
  • by Anonymous Coward on 2004年12月11日 8時41分 (#664692)
    Apacheの対処だけではダメらしい [itmedia.co.jp]です。
    確かにアップデートの詳細 [apple.com]を見ると、HFS+の実装に
    起因する問題をApacheにpatchすることで対処したように思えます。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...