以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━▽ Joomla!─────────────────────────────Joomla!は、ユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードとシステムコマンドを実行される可能性がある。2006/06/13 登録危険度:影響を受けるバージョン:1.0影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ ImageVue─────────────────────────────ImageVueは、admin/upload.phpスクリプトがリモートユーザを適切に認証しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードをアップロードされて実行される可能性がある。2006/06/13 登録危険度:影響を受けるバージョン:16.2未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ Clan Manager Pro (CMPRO)─────────────────────Clan Manager Pro (CMPRO)は、comment.core.inc.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.1.1以前影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ Clickcart────────────────────────────Clickcartは、default.aspスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:6.0未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ ZMS───────────────────────────────ZMSは、searchフォームでのユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:2.9未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ Contensis CMS──────────────────────────Contensis CMSは、ユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:全てのバージョン影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ Ringlink─────────────────────────────Ringlinkは、next.cgi、stats.cgiおよびlist.cgiスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:3.2影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ CFXe-CMS─────────────────────────────CFXe-CMSは、search.cfmスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:2.0未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ phpOnDirectory──────────────────────────phpOnDirectoryは、generate_category_html.php、generate_site_html.phpおよびindex.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.0未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ aePartner────────────────────────────aePartnerは、design.inc.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:0.8.3未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ PHP───────────────────────────────PHPは、アーギュメントのtempnam ()機能に過度に長いファイルパスを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にファイル名制限を回避されて悪意がある活動を実行される可能性がある。2006/06/13 登録危険度:低影響を受けるバージョン:4.4.2以前、5.1.4以前影響を受ける環境:UNIX、Linux、Windows回避策:PHP_5_2 branchおよびPHP_4_4へのバージョンアップ▽ Empris──────────────────────────────Emprisは、sql_fcnsOLD.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:0.4影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ IAXクライアント─────────────────────────多くのベンダのIAXクライアントは、細工されたフルフレームおよびミニフレームのUDPパケットを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。2006/06/13 登録危険度:高影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:各ベンダの回避策を参照▽ free Qboard───────────────────────────free Qboardは、post.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.1未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ WebprojectDB───────────────────────────WebprojectDBは、nav.phpおよびlang.phpスクリプトに細工されたURLリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:0.1.3未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽ Arkoon Fast360 security appliance────────────────Arkoon Fast360 security applianceは、細工されたDNSメッセージを送信されることが原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に装置をリブートされる可能性がある。 [更新]2006/06/09 登録危険度:低影響を受けるバージョン:3.0、3.1、3.2、3.3、4.0影響を受ける環境:UNIX、Linux、Windows回避策:3.0/30以降、4.0/2以降へのバージョンアップ▽ PostgreSQL────────────────────────────PostgreSQLは、多バイトでコードされた文字を含む細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改竄やデータの盗難などを実行される可能性がある。 [更新]2006/05/25 登録危険度:中影響を受けるバージョン:7.3.15未満、7.4.13未満、8.0.8未満、8.1.4未満影響を受ける環境:UNIX、Linux、Windows回避策:7.3.15以降、7.4.13以降、8.0.8以降および8.1.4以降へのバージョンアップ<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽ LogiSphere────────────────────────────LogiSphereは、LogiSphere Webサービスがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:影響を受けるバージョン:1.6.0影響を受ける環境:Windows回避策:公表されていません▽ Snitz Forums───────────────────────────Snitz Forumsは、inc_header.aspスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上でSQLコマンドを実行される可能性がある。2006/06/13 登録危険度:影響を受けるバージョン:3.4.05未満影響を受ける環境:Windows回避策:ベンダの回避策を参照▽ WS-Album─────────────────────────────WS-Albumは、fullphoto.aspスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.1未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ MaxiSepet────────────────────────────MaxiSepetは、default.aspスクリプトに細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改竄やデータの盗難などを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.0未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ ClickGallery───────────────────────────ClickGalleryは、gallery.aspおよびview_gallery.aspがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:5.0影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ i-Gallery────────────────────────────i-Galleryは、login.aspおよびigallery.aspがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:4.1 PLUS未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ ePhotos─────────────────────────────ePhotosは、subphotos.asp、subLevel2.aspおよびphoto.aspスクリプトに細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改竄やデータの盗難などを実行される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:2.2未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ Uphotogallery──────────────────────────Uphotogalleryは、thumbnails.aspスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.1未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ XTREME ASP Photo Gallery─────────────────────XTREME ASP Photo Galleryは、displaypic.aspおよびdisplaythumbs.aspスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.05未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ DwZone──────────────────────────────DwZoneは、ProductDetailsForm.aspおよびLogIn/VerifyUserLog.aspスクリプトがユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2006/06/13 登録危険度:中影響を受けるバージョン:1.1.9未満影響を受ける環境:Windows 95、98、98SE、Me、NT 4.0、XP、 2000 全てのバージョン、2003 全てのバージョン回避策:公表されていません▽ KAPhotoservice──────────────────────────KAPhotoserviceは、ユーザ入力を適切にチェックしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]2006/06/12 登録危険度:影響を受けるバージョン:7.5未満影響を受ける環境:Windows回避策:公表されていません<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽ GNOME Display Manager──────────────────────GNOME Display Managerは、"face browser"を有効にしている場合にセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]2006/06/12 登録危険度:中影響を受けるバージョン:2.14.x、2.15.x、2.8.x影響を受ける環境:UNIX、Linux回避策:対策版へのバージョンアップ▽ Asterisk─────────────────────────────Asteriskは、細工されたデータを送信されることが原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にAsteriskサーバーをクラッシュされる可能性がある。 [更新]2006/06/08 登録危険度:影響を受けるバージョン:1.2〜1.2.9未満、1.0〜1.0.11未満影響を受ける環境:UNIX、Linux回避策:1.0.11、1.2.9へのバージョンアップ<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽ Sun Java System Application Server Platform───────────Sun Java System Application Server Platform Edition 9.0 日本語版がリリースされた。http://jp.sun.com/javasystem/applicationserver/ ▽ Nmap───────────────────────────────Nmap 4.10がリリースされた。http://www.insecure.org/nmap/ ▽ Linux kernel 2.6.x 系──────────────────────Linux kernel 2.6.17-rc6-git4がリリースされた。http://www.kernel.org/ <セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━▽ トピックス@police、警察政策フォーラムの開催についてhttp://www.cyberpolice.go.jp/important/2006/20060612_225441.html▽ トピックスIPA/ISEC、「第12回情報セキュリティセミナー2006」開催地の募集、締め切りhttp://www.ipa.go.jp/security/event/2006/sec-sem/▽ トピックスJPNIC、ip6.intでの逆引きゾーン廃止のお知らせhttp://www.nic.ad.jp/ja/topics/2006/20060612-01.html▽ トピックスJPNIC、2005年度 電子認証フレームワークのあり方に関する調査報告書を掲載http://www.nic.ad.jp/ja/research/200604-CA/index.html▽ トピックスアンラボ、[お詫び] 一部PCでのアップデートエラーにつきましてhttp://japan.ahnlab.com/news/view.asp?seq=1685&pageNo=1&news_gu=02&title=[お詫び] 一部PCでのアップデートエラーにつきまして▽ トピックスリンクとエーティーワークス、AT-LINK 専用サーバ・サービスセキュリティレベルの高い「オンラインストレージサービス」を提供開始http://www.at-link.ad.jp/▽ トピックスクリアスウィフト、日立ソフトと情報漏えい対策ソリューションで協業 オーソライズリセラーとして国内で初認定http://www.clearswift.co.jp▽ トピックスNECとコクヨS&Tがドキュメント管理分野で販売協業http://www.nec.co.jp/press/ja/0606/1301.html▽ トピックスCTCSP、米国XOSoft社製『WANSync』、『WANSync HA』の販売を開始http://www.ctc-g.co.jp/~ctcsp/▽ トピックスモバイル・テクニカ、フォルダ内自動暗号化機能を搭載したDataClasysの新バージョンを発表http://www.mobiletechnika.jp▽ サポート情報アンラボ、V3 / SpyZero 定期アップデート情報http://japan.ahnlab.com/news/view.asp?seq=1686&pageNo=1&news_gu=04&title=V3 / SpyZero 定期アップデート情報▽ セミナー情報@police、社会安全セミナーの開催について「サイバー犯罪・サイバーテロ対策の推進に向けて」http://www.cyberpolice.go.jp/important/2006/20060612_225552.html▽ 統計・資料エイケア・システムズ、ISPなどによる迷惑メール誤判定状況の調査結果を発表http://www.value-press.com/pressrelease.php?article_id=6686&medium_id=969▽ ウイルス情報トレンドマイクロ、JS_YAMANER.Ahttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FYAMANER%2EA▽ ウイルス情報トレンドマイクロ、TROJ_SKOWR.Ahttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FSKOWR%2EA▽ ウイルス情報トレンドマイクロ、PE_DETNAT.Ehttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FDETNAT%2EE▽ ウイルス情報トレンドマイクロ、PE_DETNAT.Dhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FDETNAT%2ED▽ ウイルス情報シマンテック、Trojan.Skowrhttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.skowr.html▽ ウイルス情報シマンテック、Downloader.Bancoshttp://www.symantec.com/region/jp/avcenter/venc/data/jp-downloader.bancos.html▽ ウイルス情報シマンテック、W32.Detnat.Fhttp://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.detnat.f.html▽ ウイルス情報シマンテック、W32.Nopir.Dhttp://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.nopir.d.html▽ ウイルス情報シマンテック、Downloader.Bancos!genhttp://www.symantec.com/region/jp/avcenter/venc/data/jp-downloader.bancos!gen.html▽ ウイルス情報シマンテック、Bloodhound.NsAntihttp://www.symantec.com/region/jp/avcenter/venc/data/jp-bloodhound.nsanti.html▽ ウイルス情報ソフォス、Troj/Zapchas-BM (英語)http://www.sophos.com/security/analyses/trojzapchasbm.html▽ ウイルス情報ソフォス、Troj/Zlob-RJ (英語)http://www.sophos.com/security/analyses/trojzlobrj.html▽ ウイルス情報ソフォス、Troj/DwnLdr-CMQ (英語)http://www.sophos.com/security/analyses/trojdwnldrcmq.html▽ ウイルス情報ソフォス、Troj/Iefeat-BD (英語)http://www.sophos.com/security/analyses/trojiefeatbd.html▽ ウイルス情報ソフォス、Troj/Agent-CAW (英語)http://www.sophos.com/security/analyses/trojagentcaw.html▽ ウイルス情報ソフォス、Troj/ZapGoop-A (英語)http://www.sophos.com/security/analyses/trojzapgoopa.html▽ ウイルス情報ソフォス、Troj/Zlob-NS (英語)http://www.sophos.com/security/analyses/trojzlobns.html▽ ウイルス情報ソフォス、Troj/Zlob-NU (英語)http://www.sophos.com/security/analyses/trojzlobnu.html▽ ウイルス情報ソフォス、Troj/Zlob-RM (英語)http://www.sophos.com/security/analyses/trojzlobrm.html▽ ウイルス情報ソフォス、Troj/Zlob-SH (英語)http://www.sophos.com/security/analyses/trojzlobsh.html▽ ウイルス情報ソフォス、Troj/Banloa-BLK (英語)http://www.sophos.com/security/analyses/trojbanloablk.html▽ ウイルス情報ソフォス、Troj/Dloadr-XM (英語)http://www.sophos.com/security/analyses/trojdloadrxm.html▽ ウイルス情報ソフォス、Troj/Zlob-NV (英語)http://www.sophos.com/security/analyses/trojzlobnv.html▽ ウイルス情報ソフォス、Troj/Small-BWBhttp://www.sophos.co.jp/security/analyses/trojsmallbwb.html▽ ウイルス情報ソフォス、Troj/Banker-BWE (英語)http://www.sophos.com/security/analyses/trojbankerbwe.html▽ ウイルス情報ソフォス、Troj/ConHook-J (英語)http://www.sophos.com/security/analyses/trojconhookj.html▽ ウイルス情報マカフィー、JS/Yamanner@MMhttp://www.mcafee.com/japan/security/virXYZ.asp?v=JS/Yamanner@MM▽ ウイルス情報マカフィー、Downloader-AWUhttp://www.mcafee.com/japan/security/virD.asp?v=Downloader-AWU▽ ウイルス情報マカフィー、Skowrhttp://www.mcafee.com/japan/security/virS.asp?v=Skowr▽ ウイルス情報マカフィー、W32/Detnat.chttp://www.mcafee.com/japan/security/virD.asp?v=W32/Detnat.c▽ ウイルス情報マカフィー、W97M/Toredhttp://www.mcafee.com/japan/security/virT.asp?v=W97M/Tored▽ ウイルス情報マカフィー、W97M/Toredhttp://www.mcafee.com/japan/security/virT.asp?v=W97M/Tored◆アップデート情報◆───────────────────────────────────●Gentoo LinuxがGDMのアップデートをリリース───────────────────────────────────Gentoo LinuxがGDMのアップデートをリリースした。このアップデートによって、権限を昇格される問題が修正される。Gentoo Linuxhttp://www.gentoo.org/ ───────────────────────────────────●Mandriva Linuxがfreetype2のアップデートをリリース───────────────────────────────────Mandriva Linuxがfreetype2のアップデートをリリースした。このアップデートによって、freetype2における問題が修正される。Mandriva Security Advisoryhttp://www.mandriva.com/security ───────────────────────────────────●SuSE LinuxがSecurity Summary Reportなどをリリース───────────────────────────────────SuSE LinuxがSecurity Summary Reportおよびpostgresqlのアップデートをリリースした。Summary Reportには、複数の問題の修正が含まれる。SuSe Security Announcementhttp://www.suse.de/de/security/───────────────────────────────────●Turbolinuxがドライバディスクのアップデートをリリース───────────────────────────────────Turbolinuxがドライバディスクのアップデートをリリースした。このアップデートによって、インストール時に最新のデバイスを認識出来るように修正される。Turbolinux Security Centerhttp://www.turbolinux.co.jp/security/
