2003年8月15日
Symantec NetRecon 3.6 Security Update 6

Symantec NetRecon 3.6 Security Update 6(SU6)は、Microsoft Windows の DCOM RPC インターフェースバッファオーバーランの脆弱性を発見することにより、すべての Windows 2000 および Windows XP システムが Blaster ワームとその変種に感染しやすいことを検出しました(以下の「新しい脆弱性およびエクスポージャの検出」を参照)。

説明

Security Update 6 リリースノートのダウンロード(PDF)

このSecurity UpdateはSymantec NetRecon 3.6のLiveUpdate機能を使ってのみダウンロードできます。

Security Update 6(SU6)は、Symantec Enterprise Security Architecture(SESA)の 3 つの状態および、Windows 2000 と Windows XP(1)、Apache Web サーバー(29)、Hypertext Preprocessor(PHP)(16)、Tomcat(18)、SSL(13)に関する 78 の脆弱性およびエクスポージャを検出し、報告する Symantec NetRecon 3.6 のコンテンツ更新です。詳細は Security Update 6 リリースノート (PDF)をダウンロードしてください。

新しい目的

SU6 の追加により、Symantec NetRecon の新しい目的は 4 つになりました。

  • HTTPS の脆弱性の検出
  • SESA マネージャを実行するネットワークリソースの検出
  • SESA エージェントを実行するネットワークリソースの検出
  • SESA エージェントを実行しないネットワークリソースの検出

既知の問題

Microsoft Internet Explorer 6.0 以降を適切に実行するには、次の目的が必要です。

  • HTTPS の脆弱性の検出
  • SESA マネージャを実行するネットワークリソースの検出

新しい状態の検出

  • SESA エージェントが検出されない
  • SESA エージェントが識別された
  • SESA マネージャが検出された

新しい脆弱性およびエクスポージャの検出

Windows 2000 および Windows XP

  • Microsoft Windows DCOM RPC インターフェースのバッファオーバーランの脆弱性

Apache Web サーバー

  • Apache における APR_PSPrintf によるメモリ破壊の脆弱性
  • Apache 基本認証モジュールにおける有効なユーザーログインに対するサービス拒否の脆弱性
  • Apache AB.C Web ベンチマーキングのバッファオーバーフローの脆弱性
  • Apache AB.C Web ベンチマーキング Read_Connection() のバッファオーバーフローの脆弱性
  • Apache Web サーバーにおけるスコアボードメモリセグメントの上書きと SIGUSR1 の送信
  • Apache における SSI(Server Side Includes)のクロスサイトスクリプティングの脆弱性
  • Apache Web サーバーにおける OS2 Filestat のサービス拒否の脆弱性
  • Apache Web サーバーにおけるファイル記述子漏洩の脆弱性
  • Apache Web サーバーにおけるラインフィードメモリ割り当てによるサービス拒否の脆弱性
  • Apache 2 における WebDAV CGI POST 要求による情報開示の脆弱性
  • Apache Web サーバーにおける MIME境界による情報開示の脆弱性
  • Apache Web サーバーにおける ETag ヘッダーによる情報開示の脆弱性
  • Apache Web サーバーにおけるデフォルトスクリプトのマップバイパスの脆弱性
  • Apache Web サーバーにおける MS-DOS デバイス名によるサービス拒否の脆弱性
  • Apache Web サーバーにおける MS-DOS デバイス名による任意のコード実行の脆弱性
  • Apache Web サーバーにおける不正な文字を使用した HTTP 要求によるファイル開示の脆弱性
  • Apache における HTPasswd によって作成される無防備な一時ファイルの脆弱性
  • Apache における /tmp ファイルの競合の脆弱性
  • Apache HTDigest による複数のバッファオーバーフローの脆弱性
  • Apache HTDigest による任意のコマンド実行の脆弱性
  • Apache HTDigest および HTPassWD コンポーネントによる複数の脆弱性
  • Apache 2 における mod_dav のサービス拒否の脆弱性
  • Apache における STDERR バッファのサイズ超過によるサービス拒否の脆弱性
  • Apache 2.0 における CGI によるパス開示の脆弱性
  • Apache 2.0 におけるパス開示の脆弱性
  • Apache 2.0 におけるエンコードされたバックスラッシュによるディレクトリトラバーサルの脆弱性
  • Apache 2.0 における CGI エラーによるパス開示の脆弱性

Hypertext Preprocessor(PHP)

  • PHP における透過的なセッションID によるクロスサイトスクリプティングの脆弱性
  • PHP における STR_Repeat 境界条件エラーの脆弱性
  • PHP における array_pad() での整数オーバーフローによるメモリ破壊の脆弱性
  • PHP における PHPInfo によるクロスサイトスクリプティングの脆弱性
  • PHP における Post を使用してアップロードされたファイルによるバッファオーバーフローの脆弱性
  • PHP におけるセーフモードによる任意のファイル実行の脆弱性
  • PHP における MySQL Safe_Mode のファイルシステム迂回の脆弱性
  • PHP における openlog() によるバッファオーバーフローの脆弱性
  • PHP における emalloc() の未指定の整数オーバーフローによるメモリ破壊の脆弱性
  • PHP における socket_recvfrom() の符号付き整数によるメモリ破壊の脆弱性
  • PHP における socket_recv() の符号付き整数によるメモリ破壊の脆弱性
  • PHP における socket_iovec_alloc() による整数オーバーフローの脆弱性
  • PHP における Mail 関数の ASCII 制御文字ヘッダーによるなりすましの脆弱性
  • PHP における wordwrap() によるヒープ破壊の脆弱性
  • PHP における CGI SAPI コード実行の脆弱性
  • PHP 4.0.3 における IMAP モジュールのバッファオーバーフローの脆弱性

Tomcat

  • Apache Tomcat における無防備なディレクトリ許可の脆弱性
  • Apache Tomcat における Invoker サーブレットのファイル開示の脆弱性
  • Apache Tomcat におけるサンプル Web アプリケーションによるクロスサイトスクリプティングの脆弱性
  • Apache Tomcat における Web.XML ファイルコンテンツ開示の脆弱性
  • Apache Tomcat におけるヌルバイトによるディレクトリまたはファイル開示の脆弱性
  • 複数ベンダーの HTTP CONNECT による TCP トンネリングの脆弱性
  • Apache Tomcat におけるデフォルトサーブレットによるファイル開示の脆弱性
  • Apache Tomcat 3.2 におけるディレクトリ開示の脆弱性
  • Apache Tomcat 4.1 における JSP 要求によるクロスサイトスクリプティングの脆弱性
  • Apache Tomcat におけるサーブレットマップによるクロスサイトスクリプティングの脆弱性
  • Apache Tomcat におけるヌル文字を使用した不正な書式の要求によるサービス拒否の脆弱性
  • Apache Tomcat における Web ルートパス開示の脆弱性
  • Apache Tomcat におけるサンプルファイルによる Web ルートパス開示の脆弱性
  • Apache Tomcat における JSP エンジンによるサービス拒否の脆弱性
  • Apache Tomcat における不正な書式を使用した Source.JSP 要求による情報開示の脆弱性
  • Apache Tomcat における不正な書式を使用した RealPath.JSP 要求による情報開示の脆弱性
  • Apache Tomcat サーブレットのパス開示の脆弱性
  • Apache Tomcat におけるシステムパス情報開示の脆弱性

SSL

  • OpenSSL における不正なバージョンの Oracle によるサイドチャネル攻撃の脆弱性
  • OpenSSL におけるタイミング攻撃による RSA 秘密鍵情報開示の脆弱性
  • OpenSSL における CBC エラーによる情報漏洩の脆弱性
  • Mod_SSL ワイルドカード DNS によるクロスサイトスクリプティングの脆弱性
  • OpenSSL SSLv2 における不正な書式によるオーバーフローの脆弱性
  • OpenSSL SSLv3 におけるセッション ID バッファオーバーフローの脆弱性
  • OpenSSL ASN.1 における解析エラーによるサービス拒否の脆弱性
  • OpenSSL における Kerberos を使用した SSLv3 マスターキー交換によるバッファオーバーフローの脆弱性
  • OpenSSL における整数の ASCII 表現によるバッファオーバーフローの脆弱性
  • Mod_SSL における 1 つ違いの HTAccess によるバッファオーバーフローの脆弱性
  • Apache mod_ssl/Apache-SSL におけるバッファオーバーフローの脆弱性
  • OpenSSL PRNG の内部状態開示の脆弱性
  • OpenSSL におけるシーディングされていない乱数ジェネレータの脆弱性

詳細はSecurity Update 6リリースノート (PDF) をダウンロードしてください。


最終更新日:2003年8月15日(金) 12:04:36(米国時間)
日本サイト更新日:2007年03月27日 06:20:00
サイトマップ · 利用規約 · プライバシーポリシー · サイトに関するご意見・ご感想 · お問合わせ · 各国サイト
©1995 - 2008 Symantec Corporation