YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-04-08 (月)

[一語一絵/IT系]

OpenSSL 0.9.7d available / 2004-03-17 (水)

OpenSSLDoS攻撃を受ける問題があり、修正版の0.9.7dがリリースされている。1つ目は、do_change_cipher_spec()関数のnull-pointer assignment障害によりOpenSSLがクラッシュする。影響を受けるのは0.9.6のc〜kと0.9.7のa〜c。2つ目はケルベロス暗号のハンドシェークにおける欠陥で、やはりクラッシュする。影響を受けるのは0.9.7のa〜c

どちらも破壊されたり乗っ取りを許す深刻な問題では無いが、頃合いを見てアップデートしよう。

【参照】
●OpenSSL: The Open Source toolkit for SSL/TLS http://www.openssl.org/
Updated versions of OpenSSL are now available which correct two security issues: 2004年3月17日
●Common Vulnerabilities and Exposures http://cve.mitre.org/
CAN-2004-0079:Null-pointer assignment during SSL handshake 2004年1月19日
CAN-2004-0112:Out-of-bounds read affects Kerberos ciphersuites 2004年2月2日

[一語一絵]

Spring has come / 2004-03-17 (水)

福岡では桜の開花宣言が発表された今日、オホーツク沿岸では海明けが発表された。[External]網走地方気象台発表の『網走・紋別地方海氷情報 第61号』によると

北見枝幸・雄武・紋別では2月下旬から3月上旬にかけて海明けとなりました。また、北見枝幸では、3月8日に流氷終日となりました。
という事で、平年より1週間、遅かった去年と比べると1ヶ月以上早い春の訪れだ。

【参照】
●網走地方気象台 http://sapporo-jma.go.jp/as/abashiri/web/top/aba-top.htm
海氷情報
網走の海氷観測の記録

[一語一絵/IT系]

【続報】Cookie Path Directory Traversal / 2004-03-17 (水)

昨日指摘したcookie漏洩問題の続報。

ほころぶ桜
3/14 富貴寺にて

高木浩光氏[External]指摘[memo:7373]によるとInternet Explorerの修正版やOpera 7.20 以降を使ったとしても、JavaScriptによるcookie漏洩の危険性は避けられないそうだ。

JavaScriptによるcookieアクセスはpathでは制限できないというセキュリティドメインの仕様から、同じサーバー(ホスト)内におけるcookie漏洩の問題は防げない、というのはかなり痛い指摘だ。

って事は何かい、ib-center.gr.jpやanser.or.jp、cyber-biz.ne.jpなどを使ってるインターネットバンキングではcookie漏洩の危険を回避して使う事ができないって事じゃないですか? ハードディスクに保存されないセッションcookieで、なおかつ漏洩したcookieを取得できるのも事実上銀行に限られる、と言えどもかなりイヤな感じだ。

そもそもアウトソース形式のインターネットバンキングではアドレスバーを非表示にしたり右クリックを禁止しているサイトが多く見受けられるが、キーボードの[SHIFT][F10]で右クリックの代替ができる事を知らないのだろうか?そういう粗忽なベンダーにセキュリティドメインについての仕様を問う、というのも酷だろうなぁ。

やっぱ、銀行の独自ドメインで運用していないインターネットバンキングは「危なくて使えない」と言わざるを得ない。

[一語一絵/IT系]

【危険】Winnyウィルス が流行の気配 / 2004-03-17 (水)

[External]Winnyウィルス(通称キンタマ)によると

このワームに感染したPCはユーザー名と組織名とデスクトップ画像、デスクトップのファイルがWinnyにUPされてしまう。
そうだ。お手軽なファイル交換ソフトだけに、被害を受けた際のダメージは甚大になる。素人が安易にWinnyに手を出すのは戒めるべきだ。

Antinny.B[External]Winnyウィルス(通称キンタマ)が同じかどうかは諸説あり定かではない。

【参照】
●セキュリティホール memo ML アーカイブ http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/
[memo:7373] Cookie Path Directory Traversal Vulnerability 2004年3月17日
●マイクロソフト サポート http://support.microsoft.com/
126449:Windows のキーボード ショートカット 2001年5月21日
●INTERNET Watch http://internet.watch.impress.co.jp/
Winnyを媒介に感染を拡げる新種のウイルス「Antinny.B」が発見される 2004年3月16日
●Winnyウィルス(通称キンタマ) http://myui.s53.xrea.com/kin/