Jump to content 日本-日本語
日本HPホーム 製品とサービス サポートとドライバ ソリューション ご購入方法
≫ お問い合わせ
日本HPホーム
 企業ユーザ向けサポート情報   >  HP-UX サポート  >  セキュリティ報告&パッチダイジェスト翻訳版

HP-UXセキュリティ報告

企業ユーザ向けサポート情報

HP-UX サポート
Tru64 サポート
OpenVMS サポート
セキュリティ報告&パッチダイジェスト翻訳版
技術情報ツリー
ソフトウェアアップデート情報
ITRC日本フォーラム

ITRC
パッチデータベース
技術情報ベースの検索
サポートケースマネージャ
ソフトウェア アップデート マネージャ (SUM)
ご利用の手順
日本HPサイトマップ
コンテンツに進む 
HP SECURITY BULLETIN


HPSBUX01006     REVISION: 0

SSRT2320 改訂0 ディレクトリパーミッションに関連したHP-UX権限増大


注意:	本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
	以下のセキュリティ報告情報に従って、できるだけ速やかに処置してください。

初期リリース: 2004年3月24日

潜在的セキュリティ被害: 認証ユーザによるローカルの権限増大

発信元: HEWLETT-PACKARD COMPANY
         HP Software Security Response Team

リファレンス: なし

脆弱性サマリ:
ディレクトリパーミッションがローカルで展開され、認証ユーザが与えられている
以上の権限を取得してしまう脆弱性がHP-UXでみつかりました。

サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。
HP-UX B.11.00、B.11.04、B.11.11

背景:
    あるディレクトリ上のworld writableパーミッションにより、ローカルユーザ
    がルート権限を取得する可能性があります。以下のディレクトリのパーミッシ
    ョンは777ではなく775でなければなりません。

         /usr/local
         /usr/local/bin
         /usr/local/lib
         /usr/local/etc
         /usr/local/games
         /usr/local/man
         /usr/share/man/cat1.Z
         /usr/share/man/cat1m.Z
         /usr/share/man/cat2.Z
         /usr/share/man/cat3.Z
         /usr/share/man/cat4.Z
         /usr/share/man/cat5.Z
         /usr/share/man/cat6.Z
         /usr/share/man/cat7.Z
         /usr/share/man/cat8.Z

    注意: パッチが適用された後は、ルートユーザのみが/usr/share/manで
          catman(1m)を実行できます。

    注意: B.11.00パッチがインストールされていてシステムがB.11.11にア
          ップグレードされている場合、相当するB.11.11パッチがインスト
          ールされるまで、swverifyはエラーを報告します。パーミッショ
          ンは安全ですが、B.11.11パッチがインストールされるまでswverify
          が期待するパーミッションではありません。


    影響のあるバージョン
    ====================

    注意: システムに影響のあるバージョンがインストールされているか確認
          するには、"swlist -a revision -l fileset"の出力から影響のある
          ファイルセットを検索します。次に推奨パッチまたはアップデート
          がインストールされているかを確認します。

    HP-UX B.11.00
    =============
    OS-Core.UX-CORE
    アクション: PHCO_29621 または後続パッチをインストール

    HP-UX B.11.04
    =============
    OS-Core.UX-CORE
    アクション: PHCO_30519 または後続パッチをインストール

    HP-UX B.11.11
    =============
    OS-Core.UX-CORE
    アクション: PHCO_29622 または後続パッチをインストール

    影響のあるバージョン終わり

解決策:
該当するパッチをインストールします。

         HP-UX B.11.00 - PHCO_29621 または置き換えパッチ
         HP-UX B.11.04 - PHCO_30519 または置き換えパッチ
         HP-UX B.11.11 - PHCO_29622 または置き換えパッチ

本報告のPGP符号付きバージョンをリクエストするには、
security-alert@hp.comまでお問い合わせください。

手作業:   なし


* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault


サポート: さらなる情報については、HPサービスサポートチャネルへお問
い合わせください。

購読: HP Security BulletinsをEmailにて定期受信を開始するには、以下
へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC

Driver and Support Alerts/Notifications Sign-up: Product Selectionページ上の
Step 1:  your productsで、以下のように登録します。
1. product categoryを選択:
   - 少なくとも"servers"を選択する必要があります。
2. product familyを選択または検索:
   - 少なくとも1つの製品を選択する必要があります。
3. 製品を追加:
   - 少なくとも1つの製品を追加する必要があります。
Step 2:  your operating system(s)で、
   - アラートを必要とするオペレテーィングシステムすべてをチェックします。
フォームを完成させ"Save"をクリックします。

既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php

Subscriber's choice for Business:  sign-inページでログインします。
Subscriber's Choice:  your profile summaryページのEdit Profileから
該当するセクションを更新します。

注意:選択したオペレーティングシステム/製品用の個々のalerts/notifications
に加え、自動的に非オペレーティングシステムカテゴリ用のalertsの1コピー
を受信します。(6つの全オペレーティングシステムalertsにサインアップした
方は非オペレーティングシステムalertsの1コピーのみを受け取ります。)

HP-UX SPECIFIC SECURITY BULLETINS*:
以前発行されたSecurity Bulletins for HP-UXは以下で参照できます。
http://itrc.hp.com/cki/bin/doc.pl/screen=ckiSecurityBulletin

HP-UX Security Patch Matrixは以下で参照できます。
http://itrc.hp.com/service/cki/docDisplay.do?docId=hpuxSecurityMatrix

または、anonymous ftpでもご覧いただけます。
ftp://ftp.itrc.hp.com/export/patches/hp-ux_patch_matrix/

HP-UX Security Patch Matrixは毎日更新され、プラットフォーム/OSリリース
ごと、そしてBulletinトピックごとにセキュリティパッチを分類します。
Security Patch Checkツールは、HP-UX 11.XXバージョン用Security Patch Matrix
のレビュープロセスを完全に自動化します。注意: HP-UX Security Patch Matrixに
リストされているパッチのインストールは、Security Bulletin内の"手作業"フィー
ルドが"なし"の場合のみ、解決策を完全にインプリします。

Security Patch Checkツールはまた、Security Bulletinの解決策がHP-UX 11.XX
バージョン上でインプリされているかも検証します("手作業"フィールドが"なし"
の場合)。Security Patch Checkツールは製品アップグレード経由でインストール
したパッチの検証は行いません。

Security Patch Checkツールの詳細は、次のWebサイトをご覧ください。
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/
displayProductInfo.pl?productNumber=B6834AA

レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポ
ートするには、security-alert@hp.comへemailをお送りください。

システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。

「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」

 ------------------------------------------------------------------

(c) Copyright 2004 Hewlett-Packard Company
Hewlett-Packard Companyは、ここに含まれている技術上または編集上のエ
ラー、もしくは省略などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。

ページトップへ
セキュリティ報告&パッチダイジェスト翻訳版に戻る
プライバシー 本サイト利用時の合意事項 ウェブマスターに連絡
© 2008 Hewlett-Packard Development Company, L.P.