[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[osx-users:0020] Re: Security Update 2002-11-21
- To: <osx-users@xxxxxxxxxx>
- Subject: [osx-users:0020] Re: Security Update 2002-11-21
- From: ISHIKAWA Yasuhisa <vm@xxxxxxxxxxxxxxxxxx>
- Date: Sat, 23 Nov 2002 16:34:50 +0900
石川です。
Sat, 23 Nov 2002 13:20:38 +0900, SHIROYAMA Takayuki wrote:
>しろやま(in BSDCon2002)です(^^;
# あ.....。BSDCon.....。
>
>> 表題の通り、Security Updateが出ています。
>> アップデート対象はBINDです。
>
>異様にアップデートに時間のかかること(それは私のPowerBookが遅いだけ
>ともいいますが...)、それから再起動が必要なことからひっかかったので、ちと
>内容を調べてみましたところ、BINDに含まれるコンポーネント(named, nslookup
>等々)以外にもいろいろ小穴部分も置き換えられており、 libc までアップデート
>されております。
>
>以下、置き換えられたファイル (in Archive.bom)です。
<snip>
>これをどうとらえるかは難しいですが、たんに「BINDを置き換えました」
>ですむような軽いアップデートではない事だけは確かです。
Appleのsecurity-announce MLに流れた、
○ Security Update 2002-11-21 is available
<http://lists.apple.com/mhonarc/security-announce/msg00020.html>
によれば、今回のアップデートには、
○CERT/CC Vulnerability Note VU#457875
http://www.kb.cert.org/vuls/id/457875
への対応も含まれていそうな気配です。
このVU#457875ですが、つらっと読む限り「resolver の脆弱性により
DNS spoofingが可能」ってことだと思います。
で、System Affectdの項を見るとGNU glibcはNot Affectedになってるんですが
Appleはresolver周りを全部入れ替えて、この脆弱性に対処することにしたん
でしょうね。
そして恐らく、BINDのアップデートが遅れたのは、この脆弱性にも対処しよう
としてたからなんでないかと。
# ってことなんだと思います。きっと。>玉岡さん
>なお、これにより、また Emacsが動かなくなったと隣に座っている某氏
>からの悲鳴を聞きました(^^;
10.2.2アップデートの時と言い、Emacs使いの方には災難続きですね。(^^;;
# ってゆーか、Harden-Macと話題かぶりすぎ(笑
--
石川 泰久/vm_converter
vm@xxxxxxxxxxxxxxxxxx
http://homepage.mac.com/vm_converter/
--[PR]------------------------------------------------------------------
■■■ネットであなたの『利き脳』がわかる!!■■■
志を抱く人々のキャリア開発支援サイト e−アンビシャスプラザ・無料キャ
ンペーン実施中!! いま会員登録すれば『利き脳』理論を応用した適性検査
査が無料で受検できます。好評につき12/31まで延長しました。
http://ad.freeml.com/cgi-bin/ad.cgi?id=b0wza
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online www.gmo.jp