 |
≫ |
|
|
|
HP SECURITY BULLETIN
HPSBUX01034 REVISION: 1
SSRT3613 改訂1 HP-UX B6848AB GTK+ Support Libraries権限増大
注意: 本報告は、手を加えずに完全な形のままであれば、配布の制限はありません。
以下のセキュリティ報告情報に従って、できるだけ速やかに処置してください。
初期リリース: 2005年2月22日
潜在的セキュリティ被害: ローカル認証ユーザにおける権限増大
発信元: HEWLETT-PACKARD COMPANY
HP Software Security Response Team
リファレンス: CAN-2003-0564, CAN-2003-0594, CAN-2004-0191
脆弱性サマリ:
ローカル認証ユーザの権限増大を許してしまうディレクトリパーミション問題
が生じる可能性のある脆弱性が、B6848AB GTK+ Support Librariesを実行する
HP-UXでみつかりました。
サポート対象ソフトウェアバージョン*: 影響あるバージョンのみをリスト。
B6848AB GTK+ Support LibrariesがインストールされたHP-UX B.11.00、B.11.11
背景:
製品B6848AB (GTK+ Libraries)は以下のsoftware.hp.comより入手可能です。
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/
displayProductInfo.pl?productNumber=B6848AB
この製品のソースファイルは書き込み可能です。製品のインストール後、
ユーザはソースを修正できます。このソースコードを使って新規ライブラ
リを構築する場合は、ファイルを検証してください。
上記webページにはB6848ABに関する以下の説明があります。
GTK+ Librariesは、Xウィンドウ開発用のオープンソースGNUツールキット
です。ここで提供されているバージョンはサポートされていませんが、10.20
用および旧バージョンのNetscape(6.2.1など)用の未サポートMozillaブラウ
ザとの使用のために提供されています。GTKの新バージョンを必要とするHP-UX
11.0以降のMozillaなどの、新しいブラウザ/OSコンボへアップグレードされる
ことを推奨します。
注意: 製品B6848BA (ximian gnome 1.4 gtk+ libraries for hp-ux)には
このパーミション問題は存在しません。
影響のあるバージョン
====================
注意: システムに影響のあるバージョンがインストールされているか確認
するには、"swlist -a revision -l fileset"の出力から影響のある
ファイルセットを検索します。次に推奨パッチまたはアップデート
がインストールされているかを確認します。
HP-UX B.11.00
HP-UX B.11.11
=============
GTK+.GTK+-SRC
GLib.GLIB-SRC
---->アクション: リビジョン1.2.10.2.1以降をインストール
Gettext.GETTEXT-SRC
---->アクション: リビジョン0.10.39.2.1以降をインストール
影響のあるバージョン終わり
解決策:
ファイルパーミッションを修正するB6848BAのアップデートバージョンは、
http://software.hp.com/.から入手可能です。
注意: ディレクトリパーミションはB6848BAの全バージョンで安全です。
----> ただし、以下のファイルセットを含むB6848BAのバージョンのみがB6848AB
----> によりインストールされたディレクトリに対してパーミション問題を
----> 解決します。
----> GTK+.GTK+-SRC: リビジョン1.2.10.2.1以降
----> GLib.GLIB-SRC: リビジョン1.2.10.2.1以降
----> Gettext.GETTEXT-SRC: リビジョン0.10.39.2.1以降
注意: B6848ABは、HP-UXではサポートされていないNetscape 6にのみ必須です。
推奨解決策は、B6848BAを必要とするHPのMozilla (www.hp.com/go/mozilla)
です。
B6848ABが必要な場合:
1. B6848ABを削除します。
2. 必要ならB6848ABを再インストールします。
3. 直後にディレクトリパーミションに以下の変更を行います。
chmod 555 /opt/gnome/src/GLib/glib-1.2.8
chmod 555 /opt/gnome/src/GLib/glib-1.2.8/docs
chmod 555 /opt/gnome/src/GLib/glib-1.2.8/gmodule
chmod 555 /opt/gnome/src/GLib/glib-1.2.8/gthread
chmod 555 /opt/gnome/src/GLib/glib-1.2.8/tests
chmod 555 /opt/gnome/src/GTK+/gtk+-1.2.10
chmod 555 /opt/gnome/src/GTK+/gtk+-1.2.10/docs
chmod 555 /opt/gnome/src/GTK+/gtk+-1.2.10/gdk
chmod 555 /opt/gnome/src/GTK+/gtk+-1.2.10/gtk
chmod 555 /opt/gnome/src/GTK+/gtk+-1.2.10/po
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/doc
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/intl
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/lib
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/m4
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/misc
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/po
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/src
chmod 555 /opt/gnome/src/Gettext/gettext-0.10.35/tests
本報告のPGP符号付きバージョンをリクエストするには、
security-alert@hp.comまでお問い合わせください。
手作業: はい - アップデート
B6848ABが必要な場合:
----> B6848ABを削除します。
----> B6848ABを再インストールします。
----> ディレクトリパーミションの変更を行います。
報告リビジョン履歴:
改訂0 - 2004年5月10日
- 初期リリース
改訂1 - 2005年2月22日
- B6848BAのインストールアクションを変更
- 手作業を訂正
* 本報告が関係するソフトウェア製品カテゴリは、Bulletin番号の5番目と
6番目の文字により示されます。
GN=General、MA=Management Agents、MI=Misc. 3rd party、MP=HP-MPE/iX、
NS=HP NonStop OV=HP OpenVMS、PI=HP Printing & Imaging、ST=HP Storage、
TU=HP Tru64 UNIX、TL=Trusted Linux、UX=HP-UX、VV=Virtual Vault
サポート: さらなる情報については、HPサービスサポートチャネルへお問
い合わせください。
購読: HP Security BulletinsをEmailにて定期受信を開始するには、以下
へアクセスします。
http://h30046.www3.hp.com/driverAlertProfile.php?regioncode=NA
&langcode=USENG&jumpid=in_SC-GEN__driverITRC&topiccode=ITRC
Driver and Support Alerts/Notifications Sign-up: Product Selectionページ上の
Step 1: your productsで、以下のように登録します。
1. product categoryを選択:
- 少なくとも"servers"を選択する必要があります。
2. product familyを選択または検索:
- 少なくとも1つの製品を選択する必要があります。
3. 製品を追加:
- 少なくとも1つの製品を追加する必要があります。
Step 2: your operating system(s)で、
- アラートを必要とするオペレテーィングシステムすべてをチェックします。
フォームを完成させ"Save"をクリックします。
既存の受信内容を更新するには以下で行います。
http://h30046.www3.hp.com/subSignIn.php
Subscriber's choice for Business: sign-inページでログインします。
Subscriber's Choice: your profile summaryページのEdit Profileから
該当するセクションを更新します。
注意:選択したオペレーティングシステム/製品用の個々のalerts/notifications
に加え、自動的に非オペレーティングシステムカテゴリ用のalertsの1コピー
を受信します。(6つの全オペレーティングシステムalertsにサインアップした
方は非オペレーティングシステムalertsの1コピーのみを受け取ります。)
HP-UX SPECIFIC SECURITY BULLETINS*:
以前発行されたSecurity Bulletins for HP-UXは以下で参照できます。
http://itrc.hp.com/cki/bin/doc.pl/screen=ckiSecurityBulletin
HP-UX Security Patch Matrixは以下で参照できます。
http://itrc.hp.com/service/cki/docDisplay.do?docId=hpuxSecurityMatrix
または、anonymous ftpでもご覧いただけます。
ftp://ftp.itrc.hp.com/export/patches/hp-ux_patch_matrix/
HP-UX Security Patch Matrixは毎日更新され、プラットフォーム/OSリリース
ごと、そしてBulletinトピックごとにセキュリティパッチを分類します。
Security Patch Checkツールは、HP-UX 11.XXバージョン用Security Patch Matrix
のレビュープロセスを完全に自動化します。注意: HP-UX Security Patch Matrixに
リストされているパッチのインストールは、Security Bulletin内の"手作業"フィー
ルドが"なし"の場合のみ、解決策を完全にインプリします。
Security Patch Checkツールはまた、Security Bulletinの解決策がHP-UX 11.XX
バージョン上でインプリされているかも検証します("手作業"フィールドが"なし"
の場合)。Security Patch Checkツールは製品アップグレード経由でインストール
したパッチの検証は行いません。
Security Patch Checkツールの詳細は、次のWebサイトをご覧ください。
http://www.software.hp.com/cgi-bin/swdepot_parser.cgi/cgi/
displayProductInfo.pl?productNumber=B6834AA
レポート: HPサポート対象製品に関する潜在的なセキュリティ脆弱性をレポ
ートするには、security-alert@hp.comへemailをお送りください。
システム管理およびセキュリティ手順はシステムの整合性を維持するために
時々見直す必要があります。HPは頻繁にソフトウェア製品のセキュリティ機
能のレビュー・拡張を行い、お客様へ最新のセキュリティソリューションを
提供していきます。
「HPは、この報告に含まれている重要なセキュリティ情報の影響を受ける
HP製品ユーザの注意を促すために、このSecurity Bulletinを広く配布して
います。HPはすべてのユーザがこの情報をユーザ個別の状況に適用するこ
とを決定し、適切なアクションをとることをお勧めします。HPはこの情報が
必ずしもすべてのユーザ状況において正確または完全であるということを保
証するわけではありません。よって、HPはこの報告で提供されている情報の
ユーザによる使用または無視から生じるダメージに関して責任を負いません。
法で許可されている限度内で、HPは明示的または暗示的に関わらず商品能力
および特定目的、所有権、および非侵害の適合に関する保証を含む、すべて
の保証責任を放棄します。」
------------------------------------------------------------------
(c) Copyright 2005 Hewlett-Packard Company
Hewlett-Packard Companyは、ここに含まれている技術上または編集上のエ
ラー、もしくは省略などの責任は負いません。本ドキュメントの情報は予告
なしに変更されます。Hewlett-Packard Companyおよびここで参照されている
HP製品名称は、Hewlett-Packard Companyの商標/シンボルマークです。ここ
で参照されている他の製品および会社名は、それぞれの所有者の商標/シンボ
ルマークである場合があります。
|
