セキュリティホール情報＜2005/01/05-1＞

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽ FlatNuke─────────────────────────────
　FlatNukeは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因で複数のセキュリティホールが

脆弱性と脅威セキュリティホール・脆弱性

2005年1月5日（水） 19時00分

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━ ▽ FlatNuke─────────────────────────────　FlatNukeは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されたりシステム上で任意のPHPコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：2.5.1　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ MyCart──────────────────────────────　MyCartは、settings.iniファイルを閲覧されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にショッピングカートのシステム情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：3/19/2001未満　影響を受ける環境：UNIX、Linux、Windows　回避策：対策版へのバージョンアップ ▽ Xanga──────────────────────────────　Xangaは、sitemessage.aspxがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Gmail──────────────────────────────　Gmailは、forgot your password?機能が原因でセカンドメールアドレスに承認メールを送信されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメールを送付される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Jack's FormMail.php───────────────────────　Jack's FormMail.phpは、ar_file自動応答パラメータが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：5.0　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ GRASS──────────────────────────────　GRASS（Geographic Resources Analysis Support System）は、不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されシステム上の任意のファイルを上書きされる可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：5.7.x　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Mozilla / Firefox────────────────────────　MozillaおよびFirefoxは、長いサブドメインやパスを適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にファイルダウンロードのダイアログ・ボックスを偽装される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：Mozilla 1.7.3、1.7.5、Firefox 1.0　影響を受ける環境：Linux、Windows　回避策：公表されていません ▽ PhotoPost Classifieds──────────────────────　PhotoPost Classifiedsは、ファイル名や複数の拡張子を適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にPHPファイルをアップロードされたりSQLインジェクションやクロスサイトスクリプティングを実行される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.02未満、Pro 4.86未満　影響を受ける環境：Linux、Windows　回避策：2.02（Pro 4.86）以降へのバージョンアップ ▽ ReviewPost PHP Pro────────────────────────　ReviewPost PHP Proは、ファイル名や複数の拡張子を適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPファイルをアップロードされたりSQLインジェクションやクロスサイトスクリプティングを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：2.84未満　影響を受ける環境：Linux、Windows　回避策：2.84以降へのバージョンアップ ▽ Limbo──────────────────────────────　Mambo Open Sourceの軽量バージョンであるLimbo（旧Mambo Site Server）は、クロスサイトスクリプティングを実行される複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：1.0.2　影響を受ける環境：Linux、Windows　回避策：1.0.3以降へのバージョンアップ ▽ GNUBoard─────────────────────────────　GNUBoardは、gbupdate.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPファイルをアップロードされる可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：3.40以前　影響を受ける環境：UNIX、Linux、Windows　回避策：3.40以降へのバージョンアップ ▽ Bugzilla─────────────────────────────　Webベースのバグ追跡システムであるBugzillaは、HTTPリクエストを適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.x　影響を受ける環境：UNIX、Linux、Windows　回避策：対策版へのバージョンアップ ▽ ibProArcade───────────────────────────　IPBシステム用のPHPモジュールであるibProArcadeは、細工されたURLリクエストによってSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースのデータを修正されたり削除される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：すべてのバージョン　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Sugar Sales───────────────────────────　Sugar Sales（旧SugarCRM）は、index.phpが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2004/12/15 登録　危険度：中　影響を受けるバージョン：2.0.1以前　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Mozilla─────────────────────────────　Mozillaは、NNTP URL処理においてバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.7.3　影響を受ける環境：UNIX、Linux、Windows　回避策：1.7.5以降へのバージョンアップ ▽ PHP-Calendar───────────────────────────　PHP-Calendarは、ユーザ入力を適切にチェックしていないことが原因でPHPコードを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードやシステムコマンドを実行される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：すべてのバージョン　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Eventum─────────────────────────────　Eventumは、デフォルトでschema.sqlファイルに"system-account@example.com"アドミニストレータアカウントをインストールすることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.1、1.2、1.2.1、1.2.2、1.3、1.3.1　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Eventum─────────────────────────────　Eventumは、preferences.phpスクリプトやprojects.phpスクリプトなどが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：1.3.1　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Owl───────────────────────────────　Owlインターネットエンジンは、ユーザ入力を適切にチェックしていないことが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやSQLインジェクションを実行される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：0.7.3以前　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Moodle──────────────────────────────　PHPベースのCMSであるMoodleは、file.phpスクリプトや/mod/forum/view.php スクリプトに送ることで複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明や機密情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：1.4.2以前　影響を受ける環境：UNIX、Linux、Windows　回避策：1.4.3以降へのバージョンアップ ▽ PHProxy─────────────────────────────　PHProxyは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：0.3以前　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ TikiWiki─────────────────────────────　TikiWikiは、イメージファイルの代わりにPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.7.9、1.8.5、1.9dr4　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ Help Center Live─────────────────────────　Help Center Liveは、複数のスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Zeroboard────────────────────────────　Zeroboardは、複数のスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりクロスサイトスクリプティングを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：4.1pl4以前　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Picosearch────────────────────────────　Picosearchサーチエンジンサービスは、ユーザ入力を適切にフィルタしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に検索結果のサイトを偽装される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ IBM DB2 Universal Database────────────────────　IBM DB2 Universal Databaseは、バッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：7.x、8.1　影響を受ける環境：UNIX、Linux、Windows　回避策：パッチのインストール ▽ phpMyChat────────────────────────────　データベース指向のチャットプログラムであるphpMyChatは、setup.php3が原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアドミニストレーションアクセスを実行される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：0.14.5　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ e107───────────────────────────────　PHPベースのコンテンツ管理システムであるe107は、ImageManagerが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ GNU a2ps─────────────────────────────　ポストスクリプトフィルタであるGNU a2psは、psmandup.inスクリプトやfixps.inスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：4.13b　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Atari800─────────────────────────────　Atari800は、適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格され任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.3.4未満　影響を受ける環境：UNIX、Linux　回避策：1.3.4以降へのバージョンアップ ▽ PHProjekt────────────────────────────　PHProjektは、authform.inc.phpが原因で悪意あるPHPファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：4.2.3未満　影響を受ける環境：UNIX、Linux、Windows　回避策：4.2.3以降へのバージョンアップ ▽ Crystal Enterprise────────────────────────　Crystal Enterpriseは、細工されたURLリクエストをレポートファイル（.RPT）に送ることでクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：8.5、9、10　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ Avelsieve────────────────────────────　Squirrelmail用のプラグインであるAvelsieveは、MANAGESIEVE classが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリを大量に消費されたり無限ループ状態にされる可能性がある。　2005/01/05 登録　危険度：低　影響を受けるバージョン：1.0.1未満　影響を受ける環境：UNIX、Linux、Windows　回避策：1.0.1以降へのバージョンアップ ▽ SHOUTcast Server─────────────────────────　ストリーミングオーディオサーバであるSHOUTcast Serverは、フォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.9.4　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ PHP-Blogger───────────────────────────　PHP-Bloggerは、細工されたURLリクエストをsubscribers.dbあるいはpref.dbデータベースファイルに送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザのメールアドレスやパスワードといった機密情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：1.9以前　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Megabook─────────────────────────────　ゲストブックCGIであるMegabookは、細工されたURLリクエストによってgbook.dbデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.0　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ PsychoStats───────────────────────────　PsychoStatsは、login.phpスクリプトが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.2.4 Beta以前　影響を受ける環境：UNIX、Linux、Windows　回避策：セキュリティアップデートの適用 ▽ Perl───────────────────────────────　Perlは、File::Path::rmtree機能が不安定にパーミッションを設定することが原因で競合条件を引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ SurgeMail────────────────────────────　SurgeMailは、webmailが原因で未公開のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。　2005/01/05 登録　危険度：低　影響を受けるバージョン：2.2c9未満　影響を受ける環境：UNIX、Linux、Windows　回避策：2.2c9以降へのバージョンアップ ▽ 2Bgal──────────────────────────────　PHPベースのイメージギャラリースクリプトである2Bgalは、細工されたURLリクエストをdisp_album.phpやdisp_img.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを変更されたり削除される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.4、2.5.1　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ phpBB──────────────────────────────　無料の掲示板ソフトであるphpBBは、viewtopic.phpが"highlight"を適切に処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、Santyワームによってシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：2.1.x　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ MIT Kerberos 5──────────────────────────　MIT Kerberos 5は、libkadm5srvがデータ履歴を適切に処理していないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。 [更新]　2004/12/22 登録　危険度：高　影響を受けるバージョン：1.3.5以前　影響を受ける環境：UNIX、Linux、Windows　回避策：1.3.6以降へのバージョンアップ ▽ Tlen.pl─────────────────────────────　インスタントメッセンジャープログラムであるTlen.plは、悪意あるJavaスクリプトが埋め込まれたURLを含んだメッセージによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]　2004/12/22 登録　危険度：高　影響を受けるバージョン：2.23.4.1以前　影響を受ける環境：UNIX、Linux、Cisco IOS　回避策：5.23.4.2以降へのバージョンアップ ▽ Symantec Brightmail Anti-Spam──────────────────　SymantecのBrightmail Anti-Spamは、SpamhunterモジュールやSieveモジュールが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なメモリを消費されたりプログラムをクラッシュされる可能性がある。 [更新]　2004/12/20 登録　危険度：低　影響を受けるバージョン：6.0.1　影響を受ける環境：UNIX、Linux、Windows　回避策：パッチのインストール ▽ namazu──────────────────────────────　日本語全文検索システムであるnamazuは、namazu.cgiがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]　2004/12/17 登録　危険度：中　影響を受けるバージョン：2.0.13以前　影響を受ける環境：UNIX、Linux、Windows　回避策：2.0.14以降へのバージョンアップ ▽ PHP───────────────────────────────　PHPは、exif_read_data機能やmagic_quotes_gpcオプションなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバッファオーバーフローを引き起こされたりSQLインジェクションを実行される可能性がある。 [更新]　2004/12/17 登録　危険度：高　影響を受けるバージョン：4.3.9以前、5.0.2以前　影響を受ける環境：UNIX、Linux、Windows　回避策：4.3.10以降あるいは5.0.3以降へのバージョンアップ ▽ phpMyAdmin────────────────────────────　phpMyAdminは、複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行されたり機密情報を奪取される可能性がある。 [更新]　2004/12/14 登録　危険度：高　影響を受けるバージョン：2.6.0-pl2　影響を受ける環境：UNIX、Linux、Windows　回避策：2.6.1-rc1以降へのバージョンアップ ▽ phpBB──────────────────────────────　無料の掲示板ソフトであるphpBBは、username変数が適切なチェックを行っていないことが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやSQLインジェクションを実行される可能性がある。 [更新]　2004/11/22 登録　危険度：　影響を受けるバージョン：2.0.10およびそれ以前　影響を受ける環境：UNIX、Linux、Windows　回避策：2.0.11以降へのバージョンアップ ▽ SquirrelMail───────────────────────────　WebメールシステムであるSquirrelMailは、mime.phpがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]　2004/11/12 登録　危険度：中　影響を受けるバージョン：1.4.3a以前、1.5.1-cvs以前　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ ImageMagick───────────────────────────　ImageMagickは、EXIFを適切に解析処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に任意のコードを実行される可能性がある。 [更新]　2004/10/29 登録　危険度：高　影響を受けるバージョン：6.1.2以前　影響を受ける環境：UNIX、Linux、Windows　回避策：6.1.2以降へのバージョンアップ ▽ GD Graphics Library───────────────────────　GD Graphics Libraryは、細工されたPNGファイルによって整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]　2004/10/28 登録　危険度：高　影響を受けるバージョン：2.0.28　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ Libxml2─────────────────────────────　XML CパーサおよびツールキットであるLibxml2は、nanoftp.cファイルのxmlNanoFTPConnect機能などが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]　2004/10/28 登録　危険度：高　影響を受けるバージョン：2.6.12、2.6.13　影響を受ける環境：UNIX、Linux、Windows　回避策：公表されていません ▽ PHP───────────────────────────────　スクリプト言語であるPHPは、SAPI_POST_HANDLER_FUNC () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリを上書きされる可能性がある。 [更新]　2004/09/17 登録　危険度：高　影響を受けるバージョン：5.0.1　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ PHP───────────────────────────────　スクリプト言語であるPHPは、phpinfo()機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリの内容を参照される可能性がある。 [更新]　2004/09/16 登録　危険度：中　影響を受けるバージョン：5.0〜5.0.1　影響を受ける環境：UNIX、Linux、Windows　回避策：ベンダの回避策を参照 ▽ Oracle製品────────────────────────────　Oracle Database、Oracle Application Server、Oracle Enterprise ManagerのOracle製品は、実装上の原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバッファオーバーフローを引き起こされたりSQLインジェクションなどを実行され、サーバ権限を奪取される可能性がある。 [更新]　2004/09/02 登録　危険度：高　影響を受けるバージョン：　・Oracle Database　　10g Release 1 version 10.1.0.2　・Oracle9i Database Server　　Release 2 versions 9.2.0.4、9.2.0.5　　Release 1 versions 9.0.1.4、9.0.1.5、9.0.4　・Oracle8i Database Server　　Release 3 version 8.1.7.4　・Oracle Enterprise Manager Grid Control　　10g version 10.1.0.2　・Oracle Enterprise Manager Database Control　　10g version 10.1.0.2　・Oracle Application Server　　10g (9.0.4) versions 9.0.4.0、9.0.4.1　・Oracle9i Application Server　　Release 2 versions 9.0.2.3、9.0.3.1　　Release 1 version 1.0.2.2　・Oracle Collaboration Suite　・Oracle E-Business Suite 11i　影響を受ける環境：UNIX、Sun Solaris、IBM-AIX、HP-UX、Windows　回避策：パッチのインストール ▽ GNU a2ps─────────────────────────────　ポストスクリプトフィルタであるGNU a2psは、シェルエスケープ文字を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]　2004/08/27 登録　危険度：高　影響を受けるバージョン：4.13　影響を受ける環境：UNIX、BSD、Linux、Windows　回避策：各ベンダの回避策を参照 ▽ Mozilla / Firefox────────────────────────　WebブラウザであるMozillaおよびFirefoxは、細工されたSSL証明書を含んだWebページによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるサイトを信頼できるサイトとして偽装される可能性がある。 [更新]　2004/07/27 登録　危険度：中　影響を受けるバージョン：Firefox 0.9.1、0.9.2　　　　　　　　　　　　　Mozilla 1.7.1　影響を受ける環境：Linux、Windows　回避策：公表されていません＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━ ▽ GFI MailEssentials────────────────────────　GFI MailEssentialsは、細工されたJavaスクリプトを含んだメールによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメール処理を停止される可能性がある。　2005/01/05 登録　危険度：　影響を受けるバージョン：8.x、9、10.x　影響を受ける環境：Windows　回避策：パッチのインストール ▽ 3CDaemon─────────────────────────────　3Comの3CDaemonは、細工されたコマンドやリクエストによって複数のセキュリティホールが存在する。この問題が悪用されると、リモートおよびローカルの攻撃者にDoS攻撃を受けたり機密情報を奪取される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.0 revision 10　影響を受ける環境：Windows　回避策：公表されていません ▽ Macallan Mail Solution──────────────────────　Macallan Mail Solutionは、"?"で始まる細工されたURLリクエストによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebおよびPOP3サービスをクラッシュされる可能性がある。　2005/01/05 登録　危険度：低　影響を受けるバージョン：4.0.6.8 Build 786　影響を受ける環境：Windows　回避策：4.1.1.0以降へのバージョンアップ ▽ ArGoSoft FTP Server───────────────────────　ArGoSoft FTP Serverは、リモートの攻撃者にbrute force攻撃によって無許可のアクセスを実行されるセキュリティホールが存在する。　2005/01/05 登録　危険度：中　影響を受けるバージョン：1.4.2.4以前　影響を受ける環境：Windows　回避策：公表されていません ▽ QNX OS crttrap──────────────────────────　QNX OSは、crttrapが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されシステム上で任意のファイルを作成したり上書きされる可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：QNX RTOS 2.4, 4.25, 6.1.0, 6.2.0　影響を受ける環境：QNS OS　回避策：公表されていません ▽ Netcat──────────────────────────────　Netcatは、doexec.cファイルが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：1.1　影響を受ける環境：Windows　回避策：1.11以降へのバージョンアップ ▽ CleanCache────────────────────────────　CleanCacheは、ローカルユーザにデータ回復ツールを呼び出されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に削除したファイルを回復される可能性がある。　2005/01/05 登録　危険度：中　影響を受けるバージョン：2.19　影響を受ける環境：Windows　回避策：公表されていません ▽ wpkontakt────────────────────────────　wpkontaktは、メールアドレスを適切に解析していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：3.0.1以前　影響を受ける環境：Windows　回避策：3.0.1p1以降へのバージョンアップ ▽ Sybase Adaptive Server──────────────────────　Sybase Adaptive Server Enterpriseは、複数のセキュリティホールが存在する。なお、影響などの詳細は公表されていない。　2005/01/05 登録　危険度：高　影響を受けるバージョン：12.5.2以前　影響を受ける環境：Windows　回避策：12.5.3以降へのバージョンアップ ▽ Freezex─────────────────────────────　Freezexは、db.fzxファイルを上書きされることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にFreezexを応答不能にされる可能性がある。　2005/01/05 登録　危険度：低　影響を受けるバージョン：1.00.100.0666　影響を受ける環境：Windows　回避策：公表されていません ▽ Citrix MetaFrame─────────────────────────　Citrix MetaFrameは、バッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。　2005/01/05 登録　危険度：高　影響を受けるバージョン：XP SP4未満　影響を受ける環境：Windows　回避策：ベンダの回避策を参照 ▽ Spy Sweeper───────────────────────────　Spy Sweeper Enterpriseは、SpySweeperTra.exeが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されシステム上で任意のコードを実行される可能性がある。 [更新]　2004/12/22 登録　危険度：高　影響を受けるバージョン：1.5.1 Build 3698

《ScanNetSecurity》