セキュリティホール情報＜2005/07/08＞

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽ phpSecurePages──────────────────────────
phpSecurePagesは、secure.phpスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードとオペレーティング・システムコマンドを実行される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：0.28 beta
影響を受ける環境：Linux、UNIX、Windows
回避策：公表されていません

▽ Zlib───────────────────────────────
Zlibは、細工された圧縮データを作成されることが原因でオーバーフローなどを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にzlibを使っているアプリケーションをクラッシュさせるか、あるいはシステム上で任意のコードを実行される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：1.2.2
影響を受ける環境：Linux、UNIX、Windows
回避策：ベンダ回避策を参照

▽ MakeBid Auction Deluxe──────────────────────
MakeBid Auction Deluxeは、dispallclosed.plがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Linux、UNIX、Windows
回避策：パッチのインストール

▽ phpPgAdmin────────────────────────────
phpPgAdminは、index.phpスクリプトがformLanguageパラメータのユーザ入力を適切にチェックしていないことが原因でPHPファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2005/07/08 登録

危険度：中
影響を受けるバージョン：3.5.3
影響を受ける環境：Linux、UNIX、Windows
回避策：公表されていません

▽ PhotoGal─────────────────────────────
PhotoGalは、ops/gals.phpスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上でPHPコードとオペレーティング・システムコマンドを実行される可能性がある。 [更新]
2005/07/07 登録

危険度：
影響を受けるバージョン：1.5
影響を受ける環境：Linux、UNIX、Windows
回避策：公表されていません

▽ Mark Kronsbein's MyGuestbook───────────────────
Mark Kronsbein's MyGuestbookは、form.inc.php3スクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムで任意のPHPコードとオペレーティング・システムコマンドを実行される可能性がある。 [更新]
2005/07/07 登録

危険度：
影響を受けるバージョン：0.6.1
影響を受ける環境：Linux、UNIX、Windows
回避策：公表されていません

▽ QuickBlogger───────────────────────────
QuickBloggerは、'Your Name'と'Comments'セクションでのユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2005/07/07 登録

危険度：中
影響を受けるバージョン：1.4以前
影響を受ける環境：Linux、UNIX、Windows
回避策：公表されていません

▽ JBoss jBPM────────────────────────────
JBoss jBPMは、細工されたHTTPリクエストなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のアプリケーションを実行されたり、システム情報を奪取される可能性がある。 [更新]
2005/07/05 登録

危険度：高
影響を受けるバージョン：2.0
影響を受ける環境：Java、Linux、UNIX、Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ PrivaShare────────────────────────────
PrivaShareは、細工されたリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：1.1b
影響を受ける環境：Windows
回避策：公表されていません

▽ Capturix ScanShare────────────────────────
Capturix ScanShareは、コンフィギュレーションデータとパスワードをプレーンテキストでストアすることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にパスワードを奪取される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：1.06 build 50以前
影響を受ける環境：Windows
回避策：公表されていません

▽ FSBoard─────────────────────────────
FSBoardは、default.aspスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にファイルを閲覧される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：2.0
影響を受ける環境：Windows
回避策：公表されていません

▽ Internet Download Manager────────────────────
Internet Download Managerは、細工されたURLを入力されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：4.05
影響を受ける環境：Windows
回避策：公表されていません

▽ Skype──────────────────────────────
VoIPアプリケーションであるSkypeは、リモートからアプリケーションにアクセスされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションを書き換えたり修正される可能性がある。
2005/07/08 登録

危険度：高
影響を受けるバージョン：1.2.0.0〜1.2.0.46
影響を受ける環境：Linux、UNIX、Windows
回避策：1.2.0.47以降へのバージョンアップ

▽ VoIPフォン────────────────────────────
複数のベンダのVoIPフォンは、細工されたSIP-Notifyメッセージパケットによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に待機メッセージステータスを修正される可能性がある。
2005/07/08 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：Cisco 7940、Cisco 7960、Grandstream BT 100
回避策：公表されていません

▽ Access Remote PC─────────────────────────
Access Remote PCは、ユーザ名とパスワードをプレーンテキストフォーマットでWindowsレジストリにストアすることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にパスワードを奪取される可能性がある。 [更新]
2005/07/06 登録

危険度：
影響を受けるバージョン：4.5.1
影響を受ける環境：Windows
回避策：公表されていません

▽ K-Meleon─────────────────────────────
K-Meleonは、細工されたJavascriptによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザをクラッシュされる可能性がある。 [更新]
2005/07/05 登録

危険度：低
影響を受けるバージョン：0.9
影響を受ける環境：Windows
回避策：公表されていません

▽ TCP Chat─────────────────────────────
TCP Chatは、細工された長いストリングによってDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にチャットサービスをクラッシュされる可能性がある。 [更新]
2005/07/05 登録

危険度：低
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ oftpd──────────────────────────────
oftpdは、細工されたFTPユーザコマンドによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFTPサービスをクラッシュされたり任意のコードを実行される可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：0.3.7
影響を受ける環境：Linux、UNIX
回避策：公表されていません

▽ Log4sh──────────────────────────────
Log4shは、log4sh_readProperties () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2005/07/06 登録

危険度：中
影響を受けるバージョン：1.2.5以前
影響を受ける環境：Linux、UNIX
回避策：1.2.6へのバージョンアップ

▽ Cacti──────────────────────────────
Cactiは、細工されたリクエストを送信されることなどが原因でSQLコマンドを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコマンドを実行されたり認証を回避される可能性がある。 [更新]
2005/07/04 登録

危険度：高
影響を受けるバージョン：0.8.6f未満
影響を受ける環境：Linux、UNIX
回避策：0.8.6fへのバージョンアップ

▽ Heimdal telnetd─────────────────────────
Heimdal telnetdは、getterminaltype () 機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2005/06/22 登録

危険度：高
影響を受けるバージョン：0.6.4以前
影響を受ける環境：Linux、UNIX
回避策：0.6.5、0.7へのバージョンアップ

▽ Cacti──────────────────────────────
Cactiは、ユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードやシステムコマンドを実行される可能性がある。 [更新]
2005/06/22 登録

危険度：中
影響を受けるバージョン：0.8.6e未満
影響を受ける環境：Linux、UNIX
回避策：0.8.6eへのバージョンアップ

▽ bzip2──────────────────────────────
bzip2は、細工されたbz2圧縮ファイルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にbzip2を無限ループ状態にされる可能性がある。 [更新]
2005/05/24 登録

危険度：低
影響を受けるバージョン：1.0.3以前
影響を受ける環境：UNIX、Linux
回避策：1.0.3へのバージョンアップ

▽ CVS───────────────────────────────
CVS（Concurrent Versions System）は、perlライブラリスクリプトなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2005/04/20 登録

危険度：高
影響を受けるバージョン：1.11.20未満
影響を受ける環境：UNIX、Linux
回避策：1.11.20以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Sun Java Desktop System─────────────────────
Linux用のSun Java Desktop Systemは、JRE（Java RuntimeEnvironment）に脆弱性のあるJavaプラグインが含まれていることが原因でセキュリティホールが存在する。この問題が悪用されると、信頼のないアプレットにファイルの読み書きができる高い権限を許してしまう可能性がある。
2005/07/08 登録

危険度：
影響を受けるバージョン：JDS Release 2
影響を受ける環境：Linux
回避策：パッチのインストール

▽ Net-SNMP─────────────────────────────
Net-SNMPは、ストリームベースのプロトコルを適切に処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者からDoS攻撃を受ける可能性がある。 [更新]
2005/07/07 登録

危険度：低
影響を受けるバージョン：5.x
影響を受ける環境：Linux
回避策：対策版へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Sun Solaris───────────────────────────
Sun Solarisは、ld.soがLD_AUDIT環境変数でユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格され任意のコードを実行される可能性がある。 [更新]
2005/06/29 登録

危険度：高
影響を受けるバージョン：9、10
影響を受ける環境：Sun Solaris
回避策：公表されていません

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Delegate─────────────────────────────
Delegate 8.11.5がリリースされた。
http://www.delegate.org/delegate/

▽ MHonArc─────────────────────────────
MHonArc 2.6.13がリリースされた。
http://www.mhonarc.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.13-rc2-mm1がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.13-rc2-git1がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
警視庁、公開システムに接続されたデータベースサーバの安全対策について
http://www.npa.go.jp/cyber/warning/chuikanki/170707.htm

▽ トピックス
IPA/ISEC、INSTAC成果報告会（耐タンパー他）：開催案内
http://www.jsa.or.jp/domestic/instac/index.htm

▽ トピックス
@police、TCP6101番ポートに対するアクセスの増加について(7/7)
http://www.cyberpolice.go.jp/important/2005/20050707_210749.html

▽ トピックス
JPNIC、JPNIC認証局を公開
http://www.nic.ad.jp/ja/research/ca/

▽ トピックス
シマンテック、シマンテックとベリタスソフトウェアの合併に、世界中のお客様とパートナー企業から賛同の声
http://www.symantec.com/region/jp/news/year05/050706c.html

▽ トピックス
シマンテック、新取締役会を発表
http://www.symantec.com/region/jp/news/year05/050706b.html

▽ トピックス
米シマンテックと米ベリタスソフトウェアの合併が完了
http://www.symantec.com/region/jp/news/year05/050706a.html

▽ トピックス
マイクロソフト、学生向け技術コンテストの世界大会　Imagine CupWorld Festival詳細発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2336

▽ トピックス
au、au携帯電話「W31T（東芝製）」をご利用のお客様へのお詫びとお願い
http://www.au.kddi.com/news/information/au_info_20050706.html

▽ トピックス
ファーストサーバ、Ｐマーク取得を記念し、「サーバセキュア化サービス」初期費用値引きキャンペーン実施
http://www.fsv.jp/

▽ 統計・資料
経済産業省、コンピュータウイルス・不正アクセスの届出状況について
（６月）
http://www.meti.go.jp/press/20050706003/050706cp.pdf

▽ ウイルス情報
トレンドマイクロ、TSPY_BANCOS.ANM
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TSPY_BANCOS.ANM

▽ ウイルス情報
トレンドマイクロ、TROJ_HIROFU.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HIROFU.A

▽ ウイルス情報
シマンテック、Bloodhound.Exploit.40
http://www.symantec.com/region/jp/avcenter/venc/data/jp-bloodhound.exploit.40.html

▽ ウイルス情報
シマンテック、W32.Mytob.GT@mm
www.symantec.com/region/jp/avcenter/venc/data/jp-w32.mytob.gt@mm.html

▽ ウイルス情報
シマンテック、W32.Netsky.AL@mm
www.symantec.com/region/jp/avcenter/venc/data/jp-w32.netsky.al@mm.html

▽ ウイルス情報
シマンテック、Trojan.Dermon.A
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.dermon.a.html

▽ ウイルス情報
シマンテック、Trojan.Havedo
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.havedo.html

▽ ウイルス情報
シマンテック、Trojan.Repsamo
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.repsamo.html

▽ ウイルス情報
ソフォス、Troj/Mitglie-CE (英語)
http://www.sophos.com/virusinfo/analyses/trojmitgliece.html

▽ ウイルス情報
ソフォス、Troj/StartPa-GZ (英語)
http://www.sophos.com/virusinfo/analyses/trojstartpagz.html

▽ ウイルス情報
ソフォス、Troj/Taladra-E (英語)
http://www.sophos.com/virusinfo/analyses/trojtaladrae.html

▽ ウイルス情報
ソフォス、Troj/Adbarre-A (英語)
http://www.sophos.com/virusinfo/analyses/trojadbarrea.html

▽ ウイルス情報
ソフォス、Troj/Goldun-X (英語)
http://www.sophos.com/virusinfo/analyses/trojgoldunx.html

▽ ウイルス情報
ソフォス、W32/Rbot-AHR (英語)
http://www.sophos.com/virusinfo/analyses/w32rbotahr.html

▽ ウイルス情報
ソフォス、W32/Rbot-AHQ (英語)
http://www.sophos.com/virusinfo/analyses/w32rbotahq.html

▽ ウイルス情報
ソフォス、W32/Mytob-IU (英語)
http://www.sophos.com/virusinfo/analyses/w32mytobiu.html

▽ ウイルス情報
ソフォス、W32/Rbot-BWF (英語)
http://www.sophos.com/virusinfo/analyses/w32rbotbwf.html

▽ ウイルス情報
ソフォス、W32/Nanpy-F (英語)
http://www.sophos.com/virusinfo/analyses/w32nanpyf.html

▽ ウイルス情報
ソフォス、W32/Tame-A (英語)
http://www.sophos.com/virusinfo/analyses/w32tamea.html

▽ ウイルス情報
ソフォス、W32/MyDoom-M (英語)
http://www.sophos.com/virusinfo/analyses/w32mydoomm.html

▽ ウイルス情報
ソフォス、Troj/Dloader-QC (英語)
http://www.sophos.com/virusinfo/analyses/trojdloaderqc.html

▽ ウイルス情報
ソフォス、W32/Mytob-DG (英語)
http://www.sophos.com/virusinfo/analyses/w32mytobdg.html

▽ ウイルス情報
ソフォス、Troj/Ksera-A (英語)
http://www.sophos.com/virusinfo/analyses/trojkseraa.html

▽ ウイルス情報
ソフォス、Troj/Shutdown-F (英語)
http://www.sophos.com/virusinfo/analyses/trojshutdownf.html

▽ ウイルス情報
ソフォス、Troj/Dloader-QA (英語)
http://www.sophos.com/virusinfo/analyses/trojdloaderqa.html

▽ ウイルス情報
ソフォス、Troj/Bancban-DQ (英語)
http://www.sophos.com/virusinfo/analyses/trojbancbandq.html

▽ ウイルス情報
ソフォス、Troj/HideProc-F (英語)
http://www.sophos.com/virusinfo/analyses/trojhideprocf.html

▽ ウイルス情報
ソフォス、Troj/Teadoor-E (英語)
http://www.sophos.com/virusinfo/analyses/trojteadoore.html

▽ ウイルス情報
ソフォス、W32/Mytob-DE
http://www.sophos.co.jp/virusinfo/analyses/w32mytobde.html

▽ ウイルス情報
ソフォス、Troj/RuinDl-B (英語)
http://www.sophos.com/virusinfo/analyses/trojruindlb.html

▽ ウイルス情報
ソフォス、Troj/Rider-V (英語)
http://www.sophos.com/virusinfo/analyses/trojriderv.html

▽ ウイルス情報
ソフォス、Troj/Istbar-BF (英語)
http://www.sophos.com/virusinfo/analyses/trojistbarbf.html

▽ ウイルス情報
ソフォス、Troj/Dadobra-DP (英語)
http://www.sophos.com/virusinfo/analyses/trojdadobradp.html

▽ ウイルス情報
ソフォス、Troj/Bancos-DE (英語)
http://www.sophos.com/virusinfo/analyses/trojbancosde.html

▽ ウイルス情報
ソフォス、W32/Harwig-B (英語)
http://www.sophos.com/virusinfo/analyses/w32harwigb.html

▽ ウイルス情報
ソフォス、W32/Rbot-AHM (英語)
http://www.sophos.com/virusinfo/analyses/w32rbotahm.html

▽ ウイルス情報
ソフォス、W32/Randon-AO
http://www.sophos.co.jp/virusinfo/analyses/w32randonao.html

▽ ウイルス情報
ソフォス、Troj/Animoo-C (英語)
http://www.sophos.com/virusinfo/analyses/trojanimooc.html

▽ ウイルス情報
ソフォス、Troj/Delf-KQ (英語)
http://www.sophos.com/virusinfo/analyses/trojdelfkq.html

▽ ウイルス情報
ソフォス、Troj/Dumaru-I (英語)
http://www.sophos.com/virusinfo/analyses/trojdumarui.html

▽ ウイルス情報
ソフォス、Troj/Apher-Q (英語)
http://www.sophos.com/virusinfo/analyses/trojapherq.html

▽ ウイルス情報
ソフォス、Troj/MultiDr-DS (英語)
http://www.sophos.com/virusinfo/analyses/trojmultidrds.html

▽ ウイルス情報
ソフォス、Troj/Glitch-J (英語)
http://www.sophos.com/virusinfo/analyses/trojglitchj.html

▽ ウイルス情報
ソフォス、W32/Mytob-DF
http://www.sophos.co.jp/virusinfo/analyses/w32mytobdf.html

▽ ウイルス情報
ソフォス、Troj/Dloader-PZ
http://www.sophos.co.jp/virusinfo/analyses/trojdloaderpz.html

▽ ウイルス情報
ソフォス、Troj/Hogil-D (英語)
http://www.sophos.com/virusinfo/analyses/trojhogild.html

▽ ウイルス情報
ソフォス、W32/Sdbot-AAF (英語)
http://www.sophos.com/virusinfo/analyses/w32sdbotaaf.html

▽ ウイルス情報
ソフォス、Troj/Urbin-C (英語)
http://www.sophos.com/virusinfo/analyses/trojurbinc.html

▽ ウイルス情報
ソフォス、Troj/Keylog-AK (英語)
http://www.sophos.com/virusinfo/analyses/trojkeylogak.html

▽ ウイルス情報
ソフォス、Troj/Torpid-F (英語)
http://www.sophos.com/virusinfo/analyses/trojtorpidf.html

▽ ウイルス情報
マカフィー、LunLoad
http://www.nai.com/japan/security/virL.asp?v=LunLoad

◆アップデート情報◆
───────────────────────────────────
●RedHat Linuxがzlibのアップデートをリリース
───────────────────────────────────
RedHat Linuxがzlibのアップデートパッケージをリリースした。このアップデートによって、zlibにおける複数の問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/

───────────────────────────────────
●Conectiva Linuxがcactiのアップデートをリリース
───────────────────────────────────
Conectiva Linuxがcactiのアップデートをリリースした。このアップデートによって、cactiにおける複数の問題が修正される。

Conectiva Linux
http://distro.conectiva.com/atualizacoes/

───────────────────────────────────
●Debianがcvsおよびbzip2のアップデートをリリース
───────────────────────────────────
Debianがcvsおよびbzip2のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Mandriva Linuxがzlibのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがzlibのアップデートをリリースした。このアップデートによって、zlibにおける複数の問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●SuSE Linuxがzlibおよびheimdal telnetdのアップデートをリリース
───────────────────────────────────
SuSE Linuxがzlibおよびheimdal telnetdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

SuSe Security Announcement
http://www.suse.de/de/security/