まつりのあと
きのうと打って変わって、静かな一日だったなぁ。
マイクロソフト セキュリティ情報
週刊セキュリティホール『まいくろそふと』。もう十分情報が出てるんで、リンクだけ。*1
MS03-029: Windows の機能の問題により、サービス拒否が起こる (823803)
MS03-030: DirectX の未チェックのバッファにより、コンピュータが侵害される (819696)
MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)
しばらくは隔週だったのが、7月入ってから毎週出るようになっちゃいましたねぇ。月刊ぐらいでいいのに。。。(ずっと放置されるよりは全然マシですけどね。)
*1:手抜き御免m(__)m
Oracle セキュリティ情報
今週は、別冊セキュリティホール『おらくる』も出ました・・・。
Unauthorized Disclosure of Information in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の The AOL/J Setup Test Suite (aoljtest.jsp とか。$COMMON_TOP/html/jsp/fnd ディレクトリにインストールされる)に複数の脆弱性があり、Oracle アプリケーションの設定情報を奪取される問題がある。
修正パッチがリリースされているので、適用すればよい。
関連情報
- Oracle E-Business Suite AOL/J Setup Test Information Disclosure(Integrigy Security Alert)
Buffer Overflow Vulnerability in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の FNDWRR.exe (レポートやログを表示する CGI プログラム)に異常に長い URL を与えられることでバッファオーバーフローを引き起こす問題がある。この問題によって、リモートから任意のコードを実行される可能性がある。
修正パッチがリリースされているので、適用すればよい。
関連情報
- Oracle E-Business Suite FNDWRR Buffer Overflow(Integrigy Security Alert)
Buffer Overflows in EXTPROC of Oracle Database Server Description
Oracle Database Server の外部プロシージャ機能"EXTPROC"に異常に長いライブラリ名を与えられると、loggingプロセスでスタックバッファオーバーフローを引き起こす問題がある。
その結果、WindowsプラットフォームではLocal System 権限、UNIXプラットフォームでは Oracle 権限で任意のコードを実行される可能性がある。
NGSoftware の情報だと、この脆弱性は、ユーザID/パスワードなしでリモートから攻略できるとのこと。*1
修正パッチがリリースされているので、適用すればよい。ただし、Oracle9i 9.2.0.2(Windows NT/2000/XP)のパッチがまだリリースされていないので注意。
関連情報
- Oracle Extproc Buffer Overflow(NGSSoftware Insight Security Research Advisory)
今の横浜より悲惨な球団を挙げてハァハァ(;´Д`)
・゜・(ノД`;)・゜・(info from 極楽せきゅあ日記)
Computer Forensics
座敷わらし捕獲ツアーでのセミナー資料。
取調べのときには、カツどんが出るとゆーお話。(違
ネットワークセキュリティ学科
本筋の話より、みなさんの噛み付きっぷりが素敵。
さてさて、ネタだったのか、手練のハニーポッターだったのか、どっちなんだろか?
ハニーポッターだったら、噛み付いたみなさまが授業のネタにされてしまうのかも。
セキュリティ甲子園の延期について
某Sさんがばくはつした件。来年に延期だそうで。心中察することもできませんが、めげずに頑張っていただきたいです。
開催を反対した人たちには、孫子の兵法、「敵を知り、己を知らば、百戦危うからず」って言葉は、セキュリティを学ぶ上では当てはまらないんでしょうかね?
ハッキング方法を知らなければ、対処方法なんて分かるわけないのに。