N8500-727 Express5800/MailWebServer 修正/アップデート履歴
2003/4/1 アップデートモジュールRel2.8
(1)セキュリティホールに対応 sendmail-8.11.6-11.1 ・ メールアドレス処理部分にバッファオーバーフローの脆弱性があります。 遠隔地の第三者に root 権限を奪取されたり、DoS攻撃を受ける可能性があります。
2003/3/5 アップデートモジュールRel2.7
(1)セキュリティホールに対応 sendmail-8.11.6-10.1 ・ ヘッダ情報処理にバッファオーバーフローの脆弱性があります。 遠隔地の第三者に root 権限を奪取される可能性があります。
2003/1/31 アップデートモジュールRel2.6
(1)セキュリティホールに対応 glibc-2.2.4-11 ・ buffer overflow の問題が存在し、悪意のあるユーザーにroot権限を奪取される 可能性があります sendmail-8.11.6-9.1 ・ sendmailのsmrshで行っているコマンド制限を回避することが出来る問題が存在します ・ /etc/mail、/var/run 配下のファイルのパーミッションに問題があり、 悪意のあるローカルユーザーにsendmailサーバーのサービスを停止させられる 可能性があります perl-5.00503-7 ・ perl の Safe モジュールの reval rdo メソッドに脆弱性を利用し、予期せぬ コードを実行される可能性があります
2002/11/28 アップデートモジュールRel2.5
(1)セキュリティホールに対応 apache-1.3.27-7 ・ Apache HTTP server benchmarking tool において、バッファーオーバーフローが 発生する問題に対応 ・ shared memory scoreboard の脆弱性を利用され、DoS 攻撃をされる問題に対応 ・ クロス・サイトスクリプトの問題に対応 ・ mod_phpモジュールの脆弱性を利用され、ファイルディスクリプターを再使用 されてしまう問題に対応 bind-8.2.6-2 ・ SIG RRに関してバッファオーバーフローの問題に対応 ・ サブドメインの問い合わせに関する脆弱性を利用されDoS攻撃をされる問題に対応 ・ 不正な有効期間を持つ SIG RR 要素をキャッシュするように仕向けられDoS攻撃を される問題に対応
2002/11/07 アップデートモジュールRel2.4
(1)セキュリティホールに対応 mod_ssl-2.8.7-9 OpenSSL/Apache ワーム「Slapper」に対応
2002/08/01 アップデートモジュールRel2.3
(1)セキュリティホールに対応 bind-8.2.6-1 悪意のあるユーザーによるnamedサーバーの権限奪取 (2)ログローテート時にsnmpdが終了してしまう問題を修正 ucd-snmp-4.2.3-2 setsidを使用し起動するように修正 (3)ftpログイン時の不具合修正 wu-ftpd-2.6.1-10.3 50個以上の仮想ドメインに対応 グループ名がドメイン名より長い場合にログイン不可となる問題に対応
2002/04/25 アップデートモジュールRel2.2
(1)ストールが発生する不具合に対応 kernel-2.2.15-8NEC kernel-headers-2.2.15-8NEC kernel-utils-2.2.15-8NEC kernel-ibcs-2.2.15-8NEC kernel-pcmcia-cs-2.2.15-8NEC kernel-doc-2.2.15-8NEC kernel-source-2.2.15-8NEC タイマー割り込み処理時に実行されるタイマーボトムハーフハンドラ内で 処理がループしてしまうことが原因で、ストールが発生します。
2002/07/05 アップデートモジュールRel2.1
(1)セキュリティホールに対応 apache-1.3.23-7 悪意あるリクエストによるDoS(サービス妨害)攻撃を受ける問題
2002/04/25 アップデートモジュールRel2.0
(1)セキュリティホールに対応 zlib-1.1.4-2 buffer overflowによるroot権限奪取
2002/03/19 アップデートモジュールRel1.4
(1)セキュリティホールに対応 at-3.1.8-9.i386.rpm ローカル・ユーザーによるroot権限奪取 rsync-2.4.6-3.i386.rpm ローカル・ユーザーによるroot権限奪取 apache-1.3.22-2.i386.rpm アクセスログの改竄 openldap-2.0.23-1.i386.rpm オブジェクトの属性を変更されてしまう問題 ucd-snmp-4.2.3-1.i386.rpm SNMPのサービス停止 openssh-2.9p2-7.1.i386.rpm ローカル・ユーザーによるroot権限奪取 php-3.0.18-9jaJP.i386.rpm buffer overflowによるroot権限奪取 PHPの設定情報取得
2002/01/22 アップデートモジュールRel1.3
(1)セキュリティホールに対応 glibc-2.1.3-34 悪意のあるユーザーによるアプリケーションの停止 mail-httpd-1.2-1 ,webmail-1.2-1 ,imapd-1.3-1 疑似乱数発生関数の内部状態が露わになってしまう問題(openssl-0.9.6b対応) (2)機能強化/問題点対処 ○imapd-1.3-1 以下の問題に対処しています。 ・メールに MIME 形式で rfc822 形式のメールが添付されている場合で、添付メールの サイズによっては、IMAPのBODYSTRUCTURE の応答が不正になる問題に対処 ○apache設定ファイル(/etc/httpd/conf/httpd.conf) 以下の問題に対処しています。 ・CGIを使用したWeb参照時、「ページが見つからない」というエラーが発生する場合が ある問題に対処
2001/12/14 アップデートモジュールRel1.2
(1)セキュリティホールに対応 openssh-2.9p2-6.1 ローカルユーザーによるroot権限奪取 sendmail-8.11.6-2.1 DoS(サービス妨害)攻撃を受ける問題 man-1.5i2jaJP-3 heap overflowによるman実行権限の剥奪 groff-1.17.1-2jaJP lpdを経由したgroffコマンドの利用
2001/12/04 アップデートモジュールRel1.1
(1)セキュリティホールに対応 wu-ftpd-2.6.1-10.1 ローカルユーザーによるroot権限奪取 openssh-2.9p2-5.1 悪意なユーザーによる不正アクセス
2001.09.05 Management Console アップデートモジュールVer3.3-1
○機能強化 (1)Loadbalancerヘルスチェック機能対応 ・ロードバランスクラスタ形態時、実ホスト名・実IP に対してhttpアクセスを 可能にした ( Loadbalancer のヘルスチェック機能に対応) 2001.08/01 Ver3.2-2 ○機能強化 (1)ログ管理 ・履歴ファイルの削除機能を追加 (2)ユーザ情報 ・ユーザ登録時のスケルトンファイルをドメイン毎に指定可能とする機能を追加 ○機能改善 (1)メールアドレス/メールエイリアス/メーリングリスト ・メールアドレス/エイリアスメンバに指定可能な文字列(数字、アンダーバー、 スラッシュ等)を追加 ・メーリングリスト名にアンダーバーを指定可能とした (2)FTPログイン ・一般ユーザがFTPログインした際、他のユーザのファイルを参照不可となる様、 FTPログイン時のルートディレクトリを変更 (RPM適用前に登録されているユーザに対しては、RPM適用時に一括して設定を 変更します) (3)ドメイン情報 ・ディスク使用量の指定単位をMBからKBに変更 (4)バックアップ/リストア ・バックアップ/リストア時に使用するコマンドbaktarを別RPMに変更 (baktar-1.13.13-2.i386.rpmのインストールが必要になります) (5)その他 ・システム>名前解決診断において、ホスト名未入力時に警告メッセージを表示 するように変更 2001.03/09 Ver3.1-1 ○機能強化 (1)バックアップ/リストア ・バックアップ実行中(バックアップファイルの圧縮中)の中断機能を追加。 ・バックアップ実行中(バックアップファイルの圧縮中)の全エラーメッセージ 表示機能を追加。 ・バックアップ実行中(バックアップファイルの圧縮中)に書き込みアクセスエ ラーのファイルに対してのリトライ機能を追加。 ・Sambaのリストアで/var/backup以外でも実行できる機能を追加。 ・メールスプールで別のディレクトリにリストア可能とする機能を追加。 (2)ディスク情報 ・samba、NFSを用いたマウント機能を追加 ○機能改善 (1)DNS ・DNSを設定するユーザインターフェースを詳細な設定が可能となるように改善。 (2)ドメイン情報 ・ドメイン登録の際、事前にドメイン名のアドレス解決を行わなくても登録可能 となるよう改善。 (3)ユーザ情報・他 ・ユーザ名に指定できる文字を制限(大文字指定不可に変更)
2001/08/30 アップデートモジュールRel1.0
(1)セキュリティホールに対応 telnet-0.17-16.1 buffer overflowによるroot権限奪取 sendmail-8.11.6-1 Fix a possible memory access violation when specifying out-of-bounds debug parameters. procmail-3.21-1 heap の改悪/妨害等 openssl-0.9.6b-1 疑似乱数発生関数の内部状態が露わになってしまう問題 openssh-2.9p2-1 ローカルユーザーによるファイル破壊 analog-4.16-3 バッファオーバフローの脆弱性 apache-1.3.19-4 長いパスを使用したシステムの攻撃 vixie-cron-3.0.1-48 buffer overflow及びcrontabの不正使用によるroot権限奪取 wu-ftpd-2.6.1-8.1 Format String(書式文字列)攻撃によるroot権限奪取 xntp3-5.93-10 リモート・ユーザーによるroot権限奪取 glibc-2.1.3-33 Format String(書式文字列)攻撃によるroot権限奪取 gcc-2.95.2.1-16 ローカルユーザーによるシステム破壊 tcpdump-3.6.2-1 リモートユーザーによるroot権限奪取 ypbind-3.3-23 Format String(書式文字列)攻撃によるroot権限奪取 bind-8.2.3-2 リモート・ユーザーによるroot権限奪取 php-3.0.18_i18n_ja_2-2jaJP symlink攻撃により任意のファイルが破壊可能 pam-0.72-11 一般ユーザーによるリモートからのシャットダウン ed-0.2-16 symlink攻撃により任意のファイルが破壊可能 kon2-0.3.9a-3 ローカル・ユーザーによるroot権限奪取 slocate-2.3-1 ローカル・ユーザーによるヒープメモリ上のデータ改変 tmpwatch-2.6.2-1 ローカル・ユーザーによるサービス不能攻撃及びroot権限奪取 iputils-20000418-5 ローカル・ユーザーによるroot権限奪取 ncurses-5.1-1 ローカル・ユーザーによるroot権限奪取 traceroute-1.4a5-9 ローカル・ユーザーによるroot権限奪取 pam_ntdom-0.24-1 リモート・ユーザーによるroot権限奪取 pam_smb-1.1.6-1 リモート・ユーザーによるroot権限奪取 (2)問題点対処 imapd-1.2-1 MIME形式のメールで、rfc822形式の添付ファイルが多重にネストされかつ、ネスト されたメールのboudary文字列が全く同一の場合に、無限ループし、ストールする問題