マイクロソフト セキュリティ情報

Windows

週刊セキュリティホール『まいくろそふと』。もう十分情報が出てるんで、リンクだけ。*1
MS03-029: Windows の機能の問題により、サービス拒否が起こる (823803)

MS03-030: DirectX の未チェックのバッファにより、コンピュータが侵害される (819696)

MS03-031: Microsoft SQL Server 用の累積的な修正プログラム (815495)

しばらくは隔週だったのが、7月入ってから毎週出るようになっちゃいましたねぇ。月刊ぐらいでいいのに。。。(ずっと放置されるよりは全然マシですけどね。)

*1:手抜き御免m(__)m

Oracle セキュリティ情報

Security

今週は、別冊セキュリティホール『おらくる』も出ました・・・。

Unauthorized Disclosure of Information in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の The AOL/J Setup Test Suite (aoljtest.jsp とか。$COMMON_TOP/html/jsp/fnd ディレクトリにインストールされる)に複数の脆弱性があり、Oracle アプリケーションの設定情報を奪取される問題がある。
修正パッチがリリースされているので、適用すればよい。
関連情報

Buffer Overflow Vulnerability in Oracle E-Business Suite
Oracle E-Business Suite 11i と Oracle Applications の FNDWRR.exe (レポートやログを表示する CGI プログラム)に異常に長い URL を与えられることでバッファオーバーフローを引き起こす問題がある。この問題によって、リモートから任意のコードを実行される可能性がある。
修正パッチがリリースされているので、適用すればよい。
関連情報

Buffer Overflows in EXTPROC of Oracle Database Server Description
Oracle Database Server の外部プロシージャ機能"EXTPROC"に異常に長いライブラリ名を与えられると、loggingプロセスでスタックバッファオーバーフローを引き起こす問題がある。
その結果、WindowsプラットフォームではLocal System 権限、UNIXプラットフォームでは Oracle 権限で任意のコードを実行される可能性がある。
NGSoftware の情報だと、この脆弱性は、ユーザID/パスワードなしでリモートから攻略できるとのこと。*1
修正パッチがリリースされているので、適用すればよい。ただし、Oracle9i 9.2.0.2(Windows NT/2000/XP)のパッチがまだリリースされていないので注意。
関連情報

*1:Oracle アドバイザリでは、この問題を悪用するには、CREATE LIBRARY か the CREATE ANY LIBRARY のいずれかの権限が必要だとしている。

ネットワークセキュリティ学科

Security

本筋の話より、みなさんの噛み付きっぷりが素敵。
さてさて、ネタだったのか、手練のハニーポッターだったのか、どっちなんだろか?
ハニーポッターだったら、噛み付いたみなさまが授業のネタにされてしまうのかも。

セキュリティ甲子園の延期について

Security

某Sさんがばくはつした件。来年に延期だそうで。心中察することもできませんが、めげずに頑張っていただきたいです。
開催を反対した人たちには、孫子の兵法、「敵を知り、己を知らば、百戦危うからず」って言葉は、セキュリティを学ぶ上では当てはまらないんでしょうかね?
ハッキング方法を知らなければ、対処方法なんて分かるわけないのに。