N8100-729 Express5800/MailWebServer 修正/アップデート履歴
2003/5/13 アップデートモジュールRel2.9
(1)セキュリティホールに対応 openldap-2.0.27-2 ・ バッファーオーバーフローの問題があるため、 root 権限を奪取される可能性があります。 openssl-0.9.6i-4 ・ openssl の RSA キーに対してタイミングベースの攻撃を受けてしまう 脆弱性が存在します。第三者に暗号が解析される可能性があります。 zlib-1.1.4-4 ・ gzprintf() にフォーマットストリングの脆弱性が存在します。 第三者が zlib をリンクして動作しているプロセスの権限で任意の コマンドを実行できる可能性があります。 tcpdump-3.7.2-1 ・ パケット解析部分に脆弱性が存在する為、特定パケットを受け取ると 無限ループに陥ったり、バッファオーバーフローを起こす可能性が あります。 file-3.41-1 ・ バッファーオーバーフローの問題が存在します。第三者に file コマンド を実行したユーザ権限で任意のコマンドを実行される可能性があります。 samba-2.2.7a-5.1jaJP ・ SMB/CIFS パケットのフラグメントを再構成する処理に、バッファオーバーランを 起こすコードが存在します。遠隔地の第三者に任意のコマンドを実行される 可能性があります。 man-1.5i2-7 ・ my_xsprintf 関数の戻り値に脆弱性が存在します。悪意ある man ファイルを 読み込ませることにより、特定のコマンドを実行される可能性があります。 glibc-2.1.3-37 ・ Sun RPC に用いられている XDR ライブラリ xdrmem_getbytes 関数に整数 オーバーフローの脆弱性が存在します。遠隔地の第三者に任意のコードを 実行される可能性があります。 (2)問題点対処 imapd-1.3-4MWSV.i386.rpm ・ '0x00' で始まる行が存在するメールを受信した際に、再送を 繰り返してしまう問題に対処。
2003/4/2 アップデートモジュールRel2.8
(1)セキュリティホールに対応 sendmail-8.11.6-11.1 ・ メールアドレス処理部分にバッファオーバーフローの脆弱性があります。 遠隔地の第三者に root 権限を奪取されたり、DoS攻撃を受ける可能性があります。
2003/3/5 アップデートモジュールRel2.7
(1)セキュリティホールに対応 sendmail-8.11.6-10.1 ・ ヘッダ情報処理にバッファオーバーフローの脆弱性があります。 遠隔地の第三者に root 権限を奪取される可能性があります。
2003/1/31 アップデートモジュールRel2.6
(1)セキュリティホールに対応 glibc-2.2.4-11 ・ buffer overflow の問題が存在し、悪意のあるユーザーにroot権限を奪取される 可能性があります sendmail-8.11.6-9.1 ・ sendmailのsmrshで行っているコマンド制限を回避することが出来る問題が存在します ・ /etc/mail、/var/run 配下のファイルのパーミッションに問題があり、 悪意のあるローカルユーザーにsendmailサーバーのサービスを停止させられる 可能性があります perl-5.00503-7 ・ perl の Safe モジュールの reval rdo メソッドに脆弱性を利用し、予期せぬ コードを実行される可能性があります
2003.1.15 Management Console アップデートモジュール Ver4.2-5
○問題点対処 (1)バックアップ/リストア ・テープによるリストア実行時に、テープの長さによってブラウザがタイムアウト してしまう問題に対処 (2)ログ ・システムログに fsck 実行を促すメッセージが表示される問題に対処
2003/01/21 アップデートモジュールRel2.5
(1)オンラインアップデートに対応 (2)セキュリティホールに対応 apache-1.3.27-7 ・ Apache HTTP server benchmarking tool において、バッファーオーバーフローが 発生する問題に対応 ・ shared memory scoreboard の脆弱性を利用され、DoS 攻撃をされる問題に対応 ・ クロス・サイトスクリプトの問題に対応 ・ mod_phpモジュールの脆弱性を利用され、ファイルディスクリプターを再使用 されてしまう問題に対応 bind-8.2.6-2 ・ SIG RRに関してバッファオーバーフローの問題に対応 ・ サブドメインの問い合わせに関する脆弱性を利用されDoS攻撃をされる問題に対応 ・ 不正な有効期間を持つ SIG RR 要素をキャッシュするように仕向けられDoS攻撃を される問題に対応
2003/01/21 アップデートモジュール Rel2.4
(1)オンラインアップデートに対応 (2)セキュリティホールに対応 mod_ssl-2.8.7-9 OpenSSL/Apache ワーム「Slapper」に対応
2002.11.4 Management Console アップデートモジュールVer4.2-4
○問題点対処 (1)バックアップ/リストア ・Samba を利用したスケジュールバックアップが環境によって正常に動作しない 問題に対処
2002.9.3 Management Console アップデートモジュールVer4.2-3
○問題点対処 (1)ユーザのメールスプールサイズ制限 ・ドメイン情報において MAIL(一人分)格納ディスク容量に1023[KB]以下の設定ができない問題に対処 ・ユーザ情報において ディスク上限(メールスプール用)に1023[KB]以下の設定ができない問題に対処 ・ドメイン情報において MAIL(一人分)格納ディスク容量の最大値を102400[KB](メールデーモンが処理 可能な最大値)に修正 ・ユーザ情報において ディスク上限(メールスプール用)の最大値を102400[KB](メールデーモンが処理 可能な最大値)に修正 (2)バックアップ/リストア ・ローカルディスクの空き容量以上のバックアップができない 問題に対処 ・バックアップファイルのサイズ(圧縮後)が2GBを超える場合の 問題に対処 ○機能改善 (1)パッケージ管理 ・サポートWEBからのアップデートパッケージ一覧の取得に対応
2002/08/01 アップデートモジュールRel2.3
(1)セキュリティホールに対応 bind-8.2.6-1 悪意のあるユーザーによるnamedサーバーの権限奪取 (2)ログローテート時にsnmpdが終了してしまう問題を修正 ucd-snmp-4.2.3-2 setsidを使用し起動するように修正 (3)ftpログイン時の不具合修正 wu-ftpd-2.6.1-10.3 50個以上の仮想ドメインに対応 グループ名がドメイン名より長い場合にログイン不可となる問題に対応
2002/04/25 アップデートモジュールRel2.2
(1)ストールが発生する不具合に対応 kernel-2.2.15-8NEC kernel-headers-2.2.15-8NEC kernel-utils-2.2.15-8NEC kernel-ibcs-2.2.15-8NEC kernel-pcmcia-cs-2.2.15-8NEC kernel-doc-2.2.15-8NEC kernel-source-2.2.15-8NEC タイマー割り込み処理時に実行されるタイマーボトムハーフハンドラ内で 処理がループしてしまうことが原因で、ストールが発生します。
2002/07/05 アップデートモジュールRel2.1
(1)セキュリティホールに対応 apache-1.3.23-7 悪意あるリクエストによるDoS(サービス妨害)攻撃を受ける問題
2002/04/25 アップデートモジュールRel2.0
(1)セキュリティホールに対応 zlib-1.1.4-2 buffer overflowによるroot権限奪取
2002/03/19 アップデートモジュール Rel1.4
(1)セキュリティホールに対応 at-3.1.8-9.i386.rpm ローカル・ユーザーによるroot権限奪取 rsync-2.4.6-3.i386.rpm ローカル・ユーザーによるroot権限奪取 apache-1.3.22-2.i386.rpm アクセスログの改竄 openldap-2.0.23-1.i386.rpm オブジェクトの属性を変更されてしまう問題 ucd-snmp-4.2.3-1.i386.rpm SNMPのサービス停止 openssh-2.9p2-7.1.i386.rpm ローカル・ユーザーによるroot権限奪取 php-3.0.18-9jaJP.i386.rpm buffer overflowによるroot権限奪取 PHPの設定情報取得
2001.12.28 Management Console アップデートモジュールVer4.2-2
○機能改善 (1)メモリー使用量削減 下記の処理実行時のメモリー使用量を削減した ・「システム > ログ管理 > 表示 > 表示結果」のダウンロード処理 ・「システム > バックアップ/リストア > リストア > 表示」のダウンロード処理 ・「サービス > メールサーバ(sendmail) > ドメイン選択 > メーリングリスト > ログ表示 > 表示結果」のダウンロード処理 ○問題点対処 (1)ドメイン情報 ・実ドメイン名変更後、再起動せずにWebMailを使用した場合、変更前のドメイン名 に再変更できない問題に対処 ・名前ベースの仮想ドメインでSSLを使用した場合、httpsでWebサーバに正しく接続 できない問題に対処 (2)ユーザ情報 ・ホームディレクトリのindex.htmlを削除、またはrenameした場合、ユーザ情報画面 のHP欄が消える問題に対処 (3)ルーティング ・ルーティングテーブルの設定(ホストアドレス指定)において、サブネットマスク に255.255.255.255以外を指定した場合、設定に失敗する問題に対処 ・ルーティングテーブルのルート情報が一部削除できない問題に対処 (4)DNS ・DNSのSOA編集画面において、アンダーバーを含むメールアドレスが指定できない 問題に対処 ・管理者のメールアドレスに254文字以上を指定した場合、正しく処理できない問題 に対処 (5)SNMP ・SNMPのコミュニティ一覧にて、デフォルト値が誤って表示される問題に対処 ○その他 (1)HELP改善 ・「システム > バックアップ/リストア > 編集」のWindowsマシン名の説明に注意 事項を追加 ・「ドメイン管理者 > Webサーバ」の仮想パス設定の説明に誤りがあったので訂正 ・「サービス > ネームサーバ(named) > Zoneファイル編集 > レコード追加」のPTR レコードの説明に誤りがあったので訂正
2002/02/01 インストールFDの不具合 Rel1.1
SCSIコントローラ(N8103-55)後継のSCSIコントローラ(N8103-65)に対応
2002/01/22 アップデートモジュールRel1.3
(1)セキュリティホールに対応 glibc-2.1.3-34 悪意のあるユーザーによるアプリケーションの停止 mail-httpd-1.2-1 ,webmail-1.2-1 ,imapd-1.3-1 疑似乱数発生関数の内部状態が露わになってしまう問題(openssl-0.9.6b対応) (2)機能強化/問題点対処 ○mail-httpd-1.2-1 ,webmail-1.2-1 以下の機能を強化しています。 ・MHTML 形式の添付メールに対応 以下の問題に対処しています。 ・メールに MIME 形式で rfc822 形式のメールが添付されている場合で、添付メールの サイズによっては、添付メールの表示ができない問題に対処 ○imapd-1.3-1 以下の問題に対処しています。 ・メールに MIME 形式で rfc822 形式のメールが添付されている場合で、添付メールの サイズによっては、IMAPのBODYSTRUCTURE の応答が不正になる問題に対処 ○apache設定ファイル(/etc/httpd/conf/httpd.conf) 以下の問題に対処しています。 ・CGIを使用したWeb参照時、「ページが見つからない」というエラーが発生する場合が ある問題に対処
2001/12/14 アップデートモジュール Rel1.2
(1)セキュリティホールに対応 openssh-2.9p2-6.1 ローカルユーザーによるroot権限奪取 sendmail-8.11.6-2.1 DoS(サービス妨害)攻撃を受ける問題 man-1.5i2jaJP-3 heap overflowによるman実行権限の剥奪 groff-1.17.1-2jaJP lpdを経由したgroffコマンドの利用
2001/12/04 アップデートモジュール Rel1.1
(1)セキュリティホールに対応 wu-ftpd-2.6.1-10.1 ローカルユーザーによるroot権限奪取 openssh-2.9p2-5.1 悪意なユーザーによる不正アクセス
2001/10/16 インストールFDの不具合
再インストール時にキーボードを接続しないとインストールが中断する 問題に対処
2001.09.05 Management Console アップデートモジュールVer4.2-1
○機能強化 (1) メール転送機能の使用可否指定機能 ・メール転送機能の使用可否をドメイン単位に指定できる機能を追加 (2)Loadbalancerヘルスチェック機能対応 ・ロードバランスクラスタ形態時、実ホスト名・実IP に対してhttpアクセスを 可能にした ( Loadbalancer のヘルスチェック機能に対応) (3)バックアップ/リストア ・メールサーバ(mail-httpd)の設定ファイル( /opt/nec/mail/abook.conf )を バックアップ/リストア機能の「システム全ファイル(ユーザ環境復旧)」、 「システム、各種サーバの設定ファイル」の対象ファイルに追加 ○機能改善 (1) システム管理者の vacation 機能 ・システム管理者の vacation 機能を管理者パスワード画面にて設定するように変更 また、一般ユーザ用画面へのシステム管理者のログインを不可に変更 ○問題点対処 (1) ユーザ一括登録のHELPにおいて、パラメータ名「パスワード」のパラメータ形式に 対する記述が不適切であった問題に対処 ○その他 (1) HELP改善 ・ドメイン名変更時のサービス利用に関する注意点が不足していたので追加 (メッセージおよびHELP画面の記述を追加) ・ドメイン情報において、MAIL(一人分)格納ディスク容量(KB)の最大値の記述を追加 ・ユーザ情報において、MAIL(一人分)格納ディスク容量(KB)の最大値の記述を追加 2001.08.24 Ver4.1-2 ・ユーザ単位のDISK使用量に無制限が設定できない問題に対処
2001/08/30 アップデートモジュールRel1.0
(1)セキュリティホールに対応 telnet-0.17-16.1 buffer overflowによるroot権限奪取 sendmail-8.11.6-1 Fix a possible memory access violation when specifying out-of-bounds debug parameters. procmail-3.21-1 heap の改悪/妨害等 openssl-0.9.6b-1 疑似乱数発生関数の内部状態が露わになってしまう問題 openssh-2.9p2-1 ローカルユーザーによるファイル破壊 XFree86-3.3.6-33 buffer overflowによるroot権限奪取 apache-1.3.19-4 長いパスを使用したシステムの攻撃 vixie-cron-3.0.1-48 buffer overflow及びcrontabの不正使用によるroot権限奪取 wu-ftpd-2.6.1-8.1 Format String(書式文字列)攻撃によるroot権限奪取 xntp3-5.93-10 リモート・ユーザーによるroot権限奪取 glibc-2.1.3-33 Format String(書式文字列)攻撃によるroot権限奪取 gcc-2.95.2.1-16 ローカルユーザーによるシステム破壊 tcpdump-3.6.2-1 リモートユーザーによるroot権限奪取 ypbind-3.3-23 Format String(書式文字列)攻撃によるroot権限奪取 kon2-0.3.9a-3 ローカル・ユーザーによるroot権限奪取 ncurses-5.1-1 ローカル・ユーザーによるroot権限奪取 (2)機能強化/問題点対処 ○webmail-1.1-1 以下の機能を強化しています。 ・メインエリアに[アドレス帳]ボタンを追加しました。メールの発信者のアドレスを 容易にアドレス帳に登録できるようになりました。 ・メールの検索処理で、最大検索数以上の該当メッセージが存在した場合、残りの メッセージを対象に継続して検索する事が可能になりました。 ・LDAP検索で、検索対象の属性および検索結果のコメント欄に表示する属性を設定 できるようになりました。/opt/nec/mail/abook.conf に ldap の属性と日本語表示 をTABで区切って登録します。1行目と2行目はアドレス帳の登録名とメールアドレス に使用されるため、通常は例の通り指定して下さい。3行目以降はLDAP環境に合わせ、 属性と日本語表示を指定して下さい。最大15行(自由に登録できるのが13行)で指定します。 フェイルオーバクラスタ構成の場合、稼働系、待機系それぞれについて登録が必要です。 /opt/nec/mail/abook.conf の例 -------------ここから----------------------------------- cn 氏名 mail メールアドレス o;lang-ja 会社名 ou 組織名 title;lang-ja 役職 extensionTelephoneNumber 電話番号 -------------ここまで------------------------------------ 以下の問題に対処しています。 ・LDAPサーバによる、アドレス検索結果で一部文字化け・文字欠けする問題 ・MIME形式のメールで、rfc822形式の添付ファイルが多重にネストされかつ、ネスト されたメールのboudary文字列が全く同一の場合に、無限ループし、ストールする問題 ○imapd-1.2-1 以下の問題に対処しています。 ・MIME形式のメールで、rfc822形式の添付ファイルが多重にネストされかつ、ネスト されたメールのboudary文字列が全く同一の場合に、無限ループし、ストールする問題
2001.08.01 Management Console アップデートモジュール Ver4.1-1
○機能追加 (1) テープバックアップのスケジュール機能 ・テープバックアップの機能にスケジュール機能を追加 (2) ホスト名変更機能 ・ドメイン名を変更可能とした (3) バケーションの日本語ヘッダ対応 ・バケーションの日本語ヘッダに対応 (4)ディスクのraid情報表示 ・ロードバランス形態時のディスクのraid情報を追加表示 ○機能変更 (1)ドメイン情報 ・ディスク使用量の指定単位をMBからKBに変更 (2)メールアドレス/メールエイリアス/メーリングリスト ・メーリングリスト名にアンダーバーを指定可能とした ○問題点対処 (1)ログ管理 ・ログローテートのcronが重複設定される問題に対処 ・スケジュールバックアップ失敗時のログファイルがローテート/表示されない 問題に対処 ・ログ履歴ファイル(ドメイン用でないWebサーバ用のアクセス/エラーログ)の 全削除が不正になる問題に対処 (2)バックアップ/リストア ・スケジュールバックアップを使用しない場合に、不正な時刻(70分など)が設定 可能になる問題に対処 ・/var/backup ディレクトリが存在しない場合にsambaによるリストアができない 問題に対処 ・マスタ切り替え後のシステムのバックアップ情報がミラーリングされる問題に 対処 ・Sambaのバックアップでファイル転送中断処理が不正となる問題に対処 (3)パッケージ ・パッケージ適用に成功した際も適用失敗と表示する場合がある問題に対処 ・パッケージアップデートにおいて、旧バージョンがアンインストールされない 問題に対処 (4)メールアドレス/メールエイリアス/メーリングリスト ・エイリアス名の先頭が"owner-"の場合、重複してエイリアスが登録される問題 に対処 ・実ドメインにて登録されたエイリアス名、メーリングリスト名の末尾が "_ドメイン名"の場合、仮想ドメインのエイリアス名と重複する問題に対処 ・エイリアスの先頭が空白、カンマ、改行の場合、エイリアスメンバの先頭に カンマが付加される問題に対処 ・発信者アドレスのエイリアスのスペースチェックが正しく行われない問題に対処 ・エイリアス名に"_自ドメイン名"を複数設定した場合、最初の"_自ドメイン名" 以降が正しく表示されない問題に対処 ・実ドメインにてエイリアス名に0(ゼロ)が設定できない問題に対処 ・エイリアス名、メーリングリスト名にドットが含まれた場合、重複チェックが 正しく行われない問題に対処 ・メーリングリストの登録に失敗した場合、不要なファイルが残る問題に対処 (5)Webアクセス統計情報 ・webalizerで編集したWebアクセス統計情報が一部欠落(日単位で欠落)する問題 に対処 ・httpsアクセスの統計情報が編集の対象とならない問題に対処 (6)SNMP ・snmpd のログにエラー(bad prefix match parameter "0")が出力される問題に 対処 (7)その他 ・HELP画面の日本語が一部文字化けする問題に対処 ・文字列フィールドにドットが含まれる場合、重複チェックが正しく行われない 問題に対処