Return-Path: owner-bugtraq-jp@SECURITYFOCUS.COM X-Mailer: Winbiff without EditX [Version 2.30PL2 (on Trial)] Mime-Version: 1.0 Content-Type: text/plain; charset=iso-2022-jp Message-ID: <199909031430.IFB31904.BOX-JN@lac.co.jp> Date: Fri, 3 Sep 1999 14:30:48 +0900 Reply-To: Nobuo Miwa Sender: BUGTRAQ-JP List From: Nobuo Miwa Subject: Buffer Overflow in Netscape Enterprise and FastTrack Web Servers X-To: bugtraq-jp@securityfocus.com To: BUGTRAQ-JP@SECURITYFOCUS.COM 三輪です。 ISSからNetscapeのWebサーバに対するバッファオーバフローのセキュリティホール 情報が出ていました(8月25日)。 これを再現することができました。現在、この方法を再現するツールは出回って いないようですね。 今回は NTだけで確認しました。しかし、全てのプラットフォームにおいて、 対策が出されているので(3.6SP2のみ)、恐らく他のプラトフォームでも再現 するものと推測できます。 Netscape社のページからダウンロードできる製品は、以下の通りです。  Netscape Enterprise Server 3.6SP2  Netscape Enterprise Server International Edition 3.6SP1  Netscape FastTrack Server 2.0  Netscape FastTrack Server 3.01  Netscape FastTrack Server 3.02 しかし、対策されているのは以下だけです。  Netscape Enterprise Server 3.6SP2 対策はパッチではなく、新しいプログラムそのものです。 対策プログラムは以下にあります。  http://www.iplanet.com/downloads/patches/detail_12_86.html 管理画面などを日本語にしたい場合には、  Netscape Enterprise Server International Edition 3.6SP1 を使うわけですが、残念ながらこの製品に対する対策は公開されていません。 私の知る限りでも、多くの会社がこの製品を使っています。ファイアウォール で守られていても、この攻撃が有効な場合も多いはずです。 このような問題は、以前のIISの時と同様に、マスコミが騒げばすぐに対策さ れるかもしれませんね。 ところで、Netscape社からのセキュリティ情報に関するアナウンスって、ユーザ は受け取っているのでしょうか?