セキュリティホール情報＜2006/03/07＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2006年3月7日（火） 16時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━

▽ LISTSERV─────────────────────────────
LISTSERVは、Webアーカイブインタフェースが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2006/03/07 登録

危険度：
影響を受けるバージョン：14.3、14.4
影響を受ける環境：
回避策：14.5へのバージョンアップ

▽ Bitweaver────────────────────────────
Bitweaverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ phpArcadeScript─────────────────────────
phpArcadeScriptは、複数のスクリプトが適切なチェックを行っていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：2.0以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ DVguestbook───────────────────────────
DVguestbookは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Pixelpost────────────────────────────
Pixelpostは、ユーザ入力を適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやSQLインジェクションを実行されたり機密情報を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.4.3以前、1.5-beta以前
影響を受ける環境：UNIX、Linux、Windows
回避策：1.4.3以降へのバージョンアップ

▽ PHP Upload Center────────────────────────
PHP Upload Centerは、細工されたURLファイルアップロードのリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPスクリプトを実行される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Aztek Forum───────────────────────────
Aztek Forumは、ユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Joomla!─────────────────────────────
Joomla!は、シンジケートモジュールに細工されたステートメントを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.0.7未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.0.8以降へのバージョンアップ

▽ vBulletin────────────────────────────
vBulletinは、Edit Email&Password機能でのユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：3.0.12〜3.5.3
影響を受ける環境：UNIX、Linux、Windows
回避策：3.5.4以降へのバージョンアップ

▽ NZ Ecommerce System───────────────────────
NZ Ecommerce Systemは、index.phpスクリプトが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやSQLインジェクションを実行される可能性がある。 [更新]
2006/03/06 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、細工されたHTTPリクエストを送信されることが原因で、セキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。[更新]
2006/03/02 登録

危険度：低
影響を受けるバージョン：5.0.2.10、5.0.2.11、5.0.2.12、5.0.2.13、5.0.2.14、5.0.2.15、5.1.1.4、5.1.1.5、5.1.1.6、5.1.1.7、5.1.1.8、5.1.1.9
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.2.16以降、5.1.1.10以降へのバージョンアップ

▽ CuteNews─────────────────────────────
CuteNewsは、show_news.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2006/02/23 登録

危険度：中
影響を受けるバージョン：1.4.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━

▽ Total Ecommerce─────────────────────────
Total Ecommerceは、index.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.0以前
影響を受ける環境：Windows
回避策：公表されていません

▽ RaidenHTTPD───────────────────────────
RaidenHTTPDは、細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：1.1.47
影響を受ける環境：Windows
回避策：1.1.48以降へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━

▽ Evolution────────────────────────────
Evolutionは、多数のURLリンクやデータを含む細工されたHTMLメールによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムを応答不能にされる可能性がある。
2006/03/07 登録

危険度：中
影響を受けるバージョン：2.4.2.1
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ Issue Dealer───────────────────────────
Issue Dealerは、未知のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。[更新]
2006/03/01 登録

危険度：低
影響を受けるバージョン：0.9.95以前
影響を受ける環境：UNIX、Linux
回避策：0.9.96以降へのバージョンアップ

▽ zoo───────────────────────────────
zooは、細工されたアーカイブを作成されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。[更新]
2006/02/24 登録

危険度：高
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ GnuTLS──────────────────────────────
GnuTLSは、Libtasn1ライブラリに無効なデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2006/02/13 登録

危険度：低
影響を受けるバージョン：libtASN1 0.2.7以前
影響を受ける環境：UNIX、Linux
回避策：0.2.18以降へのバージョンアップ

▽ libpng──────────────────────────────
libpngは、png_set_strip_alpha () 機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2006/02/02 登録

危険度：低
影響を受けるバージョン：1.0.16、1.0.17、1.2.6、1.2.7
影響を受ける環境：UNIX、Linux
回避策：1.0.18あるいは1.2.8以降へのバージョンアップ

▽ KDE（K Desktop Environment）───────────────────
KDE（K Desktop Environment）は、JavaScriptインタプリタエンジンがkjsを適切にチェックしていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にブラウザ上で任意のコードを実行される可能性がある。 [更新]
2006/01/20 登録

危険度：高
影響を受けるバージョン：3.2.0〜3.5.0
影響を受ける環境：UNIX、Linux
回避策：パッチのインストール

▽ imapproxy────────────────────────────
imapproxyは、ParseBannerAndCapability () 機能が原因でフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2005/10/11 登録

危険度：高
影響を受けるバージョン：1.2.3
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━

▽ Mac OS X─────────────────────────────
Appleは、Mac OS XおよびMac OS X Serverの複数のプロダクトのセキュリティホールに対し、Security Updateを公開した。このSecurity Updateの実行によって、複数のセキュリティホールが解消される。 [更新]
2006/03/06 登録

危険度：高
影響を受けるバージョン：10.3.9、10.4.5
影響を受ける環境：Mac OS X、Mac OS X Server
回避策：Security Updateの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━

▽ GNU libc─────────────────────────────
GNU libc 2.4がリリースされた。
http://sourceware.org/ml/libc-alpha/2006-03/msg00050.html

▽ GarageBand────────────────────────────
GarageBand 3.0.1がリリースされた。
http://www.apple.com/jp/ftp-info/reference/garageband301update.html

▽ Common Criteria Tools──────────────────────
Common Criteria Tools 1.0.1がリリースされた。
http://www.apple.com/jp/ftp-info/reference/commoncriteriatools.html

▽ XOOPS 2.0.x 系──────────────────────────
XOOPS 2.0.13.2 labelledがリリースされた。
http://xoops.com/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━

▽ トピックス
総務省、第６回住民基本台帳カードの利活用手法等に関する検討会次第
http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/daityo_card_rikatu/060224_1.html

▽ トピックス
JPNIC、IDNガイドライン最新情報　IDNガイドライン2.1版が提出される
http://www.nic.ad.jp/ja/topics/2006/20060306-01.html

▽ トピックス
シマンテック、日本版 SOX 法の導入準備を支援する「IT リスクアセスメントサービス」を提供開始
http://www.symantec.com/region/jp/news/year06/060306.html

▽ トピックス
CAと東芝テック、業界初のPOSシステム向けのセキュリティ・ソリューションを共同展開
http://www.caj.co.jp/press/2006/03/ca_tec.htm

▽ トピックス
ニーモニックセキュリティ、クリプトニーモWindows版を全世界で販売
http://www.value-press.com/pressrelease.php?article_id=5112&medium_id=969

▽ トピックス
トランスデジタル、セキュリティ事業部を統合・強化
http://www.transdigital.co.jp/ir/html/2006/20060306tdsecurity.html

▽ トピックス
デジタルアーツ、「i-フィルター」の新シリーズ、「i-フィルター 4+」新発売
http://www.daj.jp/

▽ トピックス
ネットエージェント、情報漏洩や不正アクセスの証拠を正確に扱える調査員のトレーニング開始
http://www.packetblackhole.jp/

▽ トピックス
ＫＤＤＩと日立ソフト、協業し「ＫＤＤＩセキュアシェア」と「秘文」の連携ソリューションの提供を本日より開始
http://hitachisoft.jp/

▽ トピックス
チェック・ポイント、新しいセキュリティ、アプリケーション、およびパフォーマンス機能により最も包括的なSSL VPNを実現するCheck PointConnectraの最新版を発表
http://www.checkpoint.com

▽ トピックス
富山富士通、PC・サーバ内の個人情報を検出するツール「検出名人 V1.0」を発売
http://jp.fujitsu.com/tfl/

▽ トピックス
ハンモック、日本版SOX法対応アカウント情報管理ツール「Asset ViewHYPER C」発売
http://www.hammock.jp/

▽ サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=1543&pageNo=1&news_gu=04&title='V3%20/%20SpyZero%20定期アップデート情報'

▽ サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=1542&pageNo=1&news_gu=04&title='V3%20緊急アップデート情報'

▽ 統計・資料
JPNIC、JPNICが管理するIPアドレスに関する統計を更新
http://www.nic.ad.jp/ja/stat/ip/20060306.html

▽ セミナー情報
IAjapan、インターネット有害情報対策セミナー（その２）
「少年と大人にも有害なインターネットの現状と対策」開催
http://www.iajapan.org/hotline/seminar/20060329.html

▽ ウイルス情報
トレンドマイクロ、PHP_MARE.G
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PHP%5FMARE%2EG

▽ ウイルス情報
トレンドマイクロ、UNIX_MARE.G
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=UNIX%5FMARE%2EG

▽ ウイルス情報
シマンテック、W32.Icabdi.A
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.icabdi.a.html

▽ ウイルス情報
シマンテック、Backdoor.Nodelm
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.nodelm.html

▽ ウイルス情報
シマンテック、JS.Ffsniff
http://www.symantec.com/region/jp/avcenter/venc/data/jp-js.ffsniff.html

▽ ウイルス情報
シマンテック、W32.Spybot.AFEW
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.spybot.afew.html

▽ ウイルス情報
シマンテック、PWSteal.Rivarts
http://www.symantec.com/region/jp/avcenter/venc/data/jp-pwsteal.rivarts.html

▽ ウイルス情報
日本エフ・セキュア、Icabdi.A
http://www.f-secure.co.jp/v-descs/v-descs3/Icabdi.A-jp.htm

▽ ウイルス情報
ソフォス、W32/Hilder-A (英語)
http://www.sophos.com/virusinfo/analyses/w32hildera.html

▽ ウイルス情報
ソフォス、Troj/Haxdoor-AZ (英語)
http://www.sophos.com/virusinfo/analyses/trojhaxdooraz.html

▽ ウイルス情報
ソフォス、Troj/VB-ACN (英語)
http://www.sophos.com/virusinfo/analyses/trojvbacn.html

▽ ウイルス情報
ソフォス、Troj/Dloadr-MR (英語)
http://www.sophos.com/virusinfo/analyses/trojdloadrmr.html

▽ ウイルス情報
ソフォス、Troj/QHosts-U (英語)
http://www.sophos.com/virusinfo/analyses/trojqhostsu.html

▽ ウイルス情報
ソフォス、Troj/Teros-B (英語)
http://www.sophos.com/virusinfo/analyses/trojterosb.html

▽ ウイルス情報
ソフォス、Troj/Drsmartl-O (英語)
http://www.sophos.com/virusinfo/analyses/trojdrsmartlo.html

▽ ウイルス情報
ソフォス、W32/Backterra-B (英語)
http://www.sophos.com/virusinfo/analyses/w32backterrab.html

▽ ウイルス情報
ソフォス、Troj/Dumador-AI
http://www.sophos.co.jp/virusinfo/analyses/trojdumadorai.html

▽ ウイルス情報
ソフォス、Troj/SpyAgen-D (英語)
http://www.sophos.com/virusinfo/analyses/trojspyagend.html

▽ ウイルス情報
ソフォス、Troj/Agent-AMU (英語)
http://www.sophos.com/virusinfo/analyses/trojagentamu.html

▽ ウイルス情報
ソフォス、Troj/Bancos-RO (英語)
http://www.sophos.com/virusinfo/analyses/trojbancosro.html

▽ ウイルス情報
ソフォス、Troj/Agent-AMV (英語)
http://www.sophos.com/virusinfo/analyses/trojagentamv.html

▽ ウイルス情報
ソフォス、W32/Rbot-CLP (英語)
http://www.sophos.com/virusinfo/analyses/w32rbotclp.html

▽ ウイルス情報
ソフォス、Troj/RuinDl-K
http://www.sophos.co.jp/virusinfo/analyses/trojruindlk.html

▽ ウイルス情報
ソフォス、Troj/Delf-VZ (英語)
http://www.sophos.com/virusinfo/analyses/trojdelfvz.html

▽ ウイルス情報
ソフォス、Troj/Banker-WE (英語)
http://www.sophos.com/virusinfo/analyses/trojbankerwe.html

▽ ウイルス情報
ソフォス、Troj/VBbot-AE (英語)
http://www.sophos.com/virusinfo/analyses/trojvbbotae.html

▽ ウイルス情報
ソフォス、Troj/Starter-B (英語)
http://www.sophos.com/virusinfo/analyses/trojstarterb.html

▽ ウイルス情報
ソフォス、Troj/VB-APN (英語)
http://www.sophos.com/virusinfo/analyses/trojvbapn.html

▽ ウイルス情報
ソフォス、W32/Spybot-EX (英語)
http://www.sophos.com/virusinfo/analyses/w32spybotex.html

▽ ウイルス情報
ソフォス、Troj/Danmec-G
http://www.sophos.co.jp/virusinfo/analyses/trojdanmecg.html

▽ ウイルス情報
ソフォス、Troj/Mutbot-D (英語)
http://www.sophos.com/virusinfo/analyses/trojmutbotd.html

▽ ウイルス情報
ソフォス、Troj/Doorila-B (英語)
http://www.sophos.com/virusinfo/analyses/trojdoorilab.html

▽ ウイルス情報
ソフォス、W32/Bobax-Z (英語)
http://www.sophos.com/virusinfo/analyses/w32bobaxz.html

▽ ウイルス情報
ソフォス、Troj/RuinDl-F (英語)
http://www.sophos.com/virusinfo/analyses/trojruindlf.html

▽ ウイルス情報
ソフォス、Troj/ConHook-M (英語)
http://www.sophos.com/virusinfo/analyses/trojconhookm.html

▽ ウイルス情報
ソフォス、Troj/Zapchas-AC (英語)
http://www.sophos.com/virusinfo/analyses/trojzapchasac.html

▽ ウイルス情報
ソフォス、Troj/Spabot-E (英語)
http://www.sophos.com/virusinfo/analyses/trojspabote.html

▽ ウイルス情報
ソフォス、W32/Falus-B (英語)
http://www.sophos.com/virusinfo/analyses/w32falusb.html

▽ ウイルス情報
ソフォス、Troj/Krepper-V (英語)
http://www.sophos.com/virusinfo/analyses/trojkrepperv.html

▽ ウイルス情報
ソフォス、Troj/Banload-TC
http://www.sophos.co.jp/virusinfo/analyses/trojbanloadtc.html

▽ ウイルス情報
ソフォス、Troj/Banker-AMM (英語)
http://www.sophos.com/virusinfo/analyses/trojbankeramm.html

▽ ウイルス情報
ソフォス、Troj/Bancban-OC (英語)
http://www.sophos.com/virusinfo/analyses/trojbancbanoc.html

▽ ウイルス情報
ソフォス、Troj/PeepVie-V (英語)
http://www.sophos.com/virusinfo/analyses/trojpeepviev.html

▽ ウイルス情報
ソフォス、Dial/DialCar-V (英語)
http://www.sophos.com/virusinfo/analyses/dialdialcarv.html

▽ ウイルス情報
マカフィー、Spyware-AppsTraka
http://www.mcafee.com/japan/security/virS.asp?v=Spyware-AppsTraka

▽ ウイルス情報
マカフィー、Spyware-RedHanded.dr
http://www.mcafee.com/japan/security/virS.asp?v=Spyware-RedHanded.dr

▽ ウイルス情報
マカフィー、Keylog-KLog
http://www.mcafee.com/japan/security/virK.asp?v=Keylog-KLog

▽ ウイルス情報
マカフィー、StartPage-JD
http://www.mcafee.com/japan/security/virS.asp?v=StartPage-JD

◆アップデート情報◆
───────────────────────────────────
●Debianがlibtasn1-2およびgnutls11のアップデートをリリース
───────────────────────────────────
　Debianがlibtasn1-2およびgnutls11のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●TurbolinuxがTurbolinux FUJIアップデートパッケージをリリース
───────────────────────────────────
　TurbolinuxがTurbolinux FUJIアップデートパッケージをリリースした。このアップデートによって、複数の問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Gentoo LinuxがIMAP Proxyおよびzooのアップデートをリリース
───────────────────────────────────
　Gentoo LinuxがIMAP Proxyおよびzooのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Miracle Linuxがlibpngおよびkdelibsのアップデートをリリース
───────────────────────────────────
　Miracle Linuxがlibpngおよびkdelibsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

《ScanNetSecurity》