セキュリティホール情報＜2007/05/15＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2007年5月15日（火） 16時00分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽CommuniGate Pro─────────────────────────
CommuniGate Proは、webmailシステムが送られてきたメールのHTMLコードを適切にフィルタしないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：5.1.8未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.1.9へのバージョンアップ

▽W1L3D4 Philboard─────────────────────────
W1L3D4 Philboardは、W1L3D4_bolum.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：0.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PinkCrow Designs Gallery─────────────────────
PinkCrow Designs Galleryは、phpThumb.phpが適切なチェックを行っていないことが原因でディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽R2K Gallery───────────────────────────
R2K Galleryは、細工されたURLリクエストをgaleria.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽MonAlbum─────────────────────────────
MonAlbumは、admin/admin_configuration.phpが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：0.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽EfesTECH Haber──────────────────────────
EfesTECH Haberは、default.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：5.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Notepad++────────────────────────────
Notepad++は、細工されたファイルによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：3.x、4.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IDAutomation Linear Barcode ActiveX Control───────────
IDAutomation Linear Barcode ActiveX Controlは、過度に長いアーギュメントによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽cjgExplorerPro──────────────────────────
cjgExplorerProは、細工されたURLリクエストをlib/pcltar.lib.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：3.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BlogMe──────────────────────────────
BlogMeは、archshow.aspスクリプトに細工されたSQLクエリを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Database Comparer ActiveX Control────────────────
Database Comparer ActiveX Controlは、過度に長いアーギュメントによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SquirrelMail───────────────────────────
SquirrelMailは、送られてきたメールのHTMLコードを適切にフィルタしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/05/11 登録

危険度：
影響を受けるバージョン：1.4.0〜1.4.9a
影響を受ける環境：UNIX、Linux、Windows
回避策：パッチのインストール

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽PrecisionID Data Matrix ActiveX Barcode Control─────────
PrecisionID Data Matrix ActiveX Barcode Controlは、過度に長いアーギュメントによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：Windows
回避策：公表されていません

▽yEnc32──────────────────────────────
yEnc32は、NTXファイルのデコード時のエラーが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：1.0.8未満
影響を受ける環境：Windows
回避策：1.0.8へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Samba──────────────────────────────
Sambaは、SAMRがユーザ入力を適切にチェックしていないことが原因でコマンドインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。
2007/05/15 登録

危険度：
影響を受けるバージョン：3.0.24
影響を受ける環境：UNIX、Linux
回避策：3.0.25へのバージョンアップ

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Snort 2.6.x 系──────────────────────────
Snort 2.6.1.5がリリースされた。
http://www.snort.org/

▽Samba──────────────────────────────
Samba 3.0.25がリリースされた。
http://us1.samba.org/samba/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会　情報通信技術分科会　ＩＰネットワーク設備委員会　安全・信頼性検討作業班（第９回）開催案内
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/070522_4.html

▽トピックス
JPCERT/CC、2007年5月 Microsoft セキュリティ情報 (緊急 7件) に関する注意喚起
http://www.jpcert.or.jp/at/2007/at070012.txt

▽トピックス
@police、インターネット治安情勢更新(平成19年4月報を追加)(5/15)
http://www.cyberpolice.go.jp/detect/

▽トピックス
NTTドコモ、位置情報を活用したモバイルオフィスソリューションに関する共同検討および実証実験を開始
http://www.nttdocomo.co.jp/info/news_release/page/070514_00.html

▽トピックス
日本レコード協会、携帯電話向けの音楽の違法配信で、初の逮捕者
http://www.riaj.or.jp/release/2007/pr070514.html

▽トピックス
セイコープレシジョン、日本ベリサイン、東京大学が共同開発時刻認証電子メールを使った遺伝子・新薬開発等の先端科学技術情報保護システム、新たな情報基盤を提案
https://www.verisign.co.jp/press/2007/pr_20070515.html

▽トピックス
三井物産セキュアディレクションと物産ネットワークス、「自己防衛型ネットワークソリューション」に関する共同マーケティング活動を開始
http://www.foundry.co.jp/company_info/info/press_release/20070515.html

▽トピックス
マイクロソフト、Microsoft(R) Dynamics(TM) CRM 分析テンプレートの提供開始を発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3057

▽トピックス
MSA、電子メール検閲アプライアンスサーバ「MAIL PATROL」にメール保存に特化した低価格モデル「Lite」を追加
http://www.mailpatrol.jp/whatsnew/0705_14.html

▽トピックス
ネットスター、ヤマハ製ファイアウォール・ルーターSRT１００向けのURL フィルタリングサービスを住商情報システムと共同で販売開始
http://netstar.jp

▽トピックス
ウェブエックス・コミュニケーションズ・ジャパン、SaaSモデルの新グループウェア・サービス「WebExOne」の受注・提供を開始
http://www.webex.co.jp/

▽トピックス
マクニカネットワークス、セーフブート社製「SafeBoot Device Encryption version 5.0」パナソニック製PCへのTPM（セキュリティチップ）連携を発表
http://www.macnica.net/

▽トピックス
ソリッドアライアンス、情報漏洩対策商品のインテリジェントディスク社製「myPdisc」の販売を開始
http://www.solidalliance.com/press/press.html#0515

▽トピックス
CA、ビジネスの継続性を確保するCDP（継続的データ保護）ソリューション「CA ARCserve Replication」シリーズを新たに発表
http://www.ca.com/jp/

▽トピックス
RSAセキュリティとイーソル、デジタル家電向けWindows Media DRMソリューションを展開
http://japan.rsa.com

▽トピックス
エージーテック、Windowsパスワードリカバリーツール「Passwareシリーズ」Windows Vista対応版の出荷を開始
http://www.agtech.co.jp/

▽トピックス
日立ソフト、ユビキタス機器向けリモート制御環境「SuperJ Engine Framework」を機能強化 OSGi Release 4仕様に準拠し、セキュリティを強化
http://hitachisoft.jp/

▽サポート情報
アンラボ、SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2261&pageNo=1&news_gu=04&title='SpyZero 定期アップデート情報'

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2260&pageNo=1&news_gu=04&title='V3 緊急アップデート情報'

▽セミナー情報
IPA/ISEC、情報セキュリティセミナー2007 開催のご案内
http://www.ipa.go.jp/security/event/2007/isec-semi/kaisai.html

▽ウイルス情報
シマンテック、W32.Mumawow.D!inf
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-051416-1610-99

▽ウイルス情報
シマンテック、W32.Mumawow.D
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-051416-1438-99

▽ウイルス情報
シマンテック、W32.Neela
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-051414-5932-99

▽ウイルス情報
ソフォス、W32/VB-DUX (英語)
http://www.sophos.com/security/analyses/w32vbdux.html

▽ウイルス情報
ソフォス、Troj/WowPWS-BA (英語)
http://www.sophos.com/security/analyses/trojwowpwsba.html

▽ウイルス情報
ソフォス、Troj/Agent-FPA (英語)
http://www.sophos.com/security/analyses/trojagentfpa.html

▽ウイルス情報
ソフォス、Mal/EncPk-J (英語)
http://www.sophos.com/security/analyses/malencpkj.html

▽ウイルス情報
ソフォス、Troj/KardPhis-A (英語)
http://www.sophos.com/security/analyses/trojkardphisa.html

▽ウイルス情報
ソフォス、Troj/Renos-V (英語)
http://www.sophos.com/security/analyses/trojrenosv.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AYI (英語)
http://www.sophos.com/security/analyses/trojdloadrayi.html

▽ウイルス情報
ソフォス、Troj/Bancos-BCM (英語)
http://www.sophos.com/security/analyses/trojbancosbcm.html

▽ウイルス情報
ソフォス、Troj/Banloa-BJL (英語)
http://www.sophos.com/security/analyses/trojbanloabjl.html

▽ウイルス情報
ソフォス、W32/Sohana-F
http://www.sophos.co.jp/security/analyses/w32sohanaf.html

▽ウイルス情報
ソフォス、W32/Mytob-JO (英語)
http://www.sophos.com/security/analyses/w32mytobjo.html

▽ウイルス情報
ソフォス、W32/Looked-BH (英語)
http://www.sophos.com/security/analyses/w32lookedbh.html

▽ウイルス情報
ソフォス、Troj/Banloa-ASI (英語)
http://www.sophos.com/security/analyses/trojbanloaasi.html

▽ウイルス情報
ソフォス、W32/Culler-D
http://www.sophos.co.jp/security/analyses/w32cullerd.html

▽ウイルス情報
ソフォス、Troj/NtRootK-BQ (英語)
http://www.sophos.com/security/analyses/trojntrootkbq.html

▽ウイルス情報
ソフォス、Troj/Starter-G (英語)
http://www.sophos.com/security/analyses/trojstarterg.html

▽ウイルス情報
ソフォス、Troj/Maran-AH (英語)
http://www.sophos.com/security/analyses/trojmaranah.html

▽ウイルス情報
ソフォス、Troj/Maran-AI (英語)
http://www.sophos.com/security/analyses/trojmaranai.html

▽ウイルス情報
ソフォス、Troj/eAgent-B (英語)
http://www.sophos.com/security/analyses/trojeagentb.html

▽ウイルス情報
ソフォス、Troj/PcClien-KN (英語)
http://www.sophos.com/security/analyses/trojpcclienkn.html

▽ウイルス情報
ソフォス、Troj/Goldun-FS (英語)
http://www.sophos.com/security/analyses/trojgoldunfs.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AYD (英語)
http://www.sophos.com/security/analyses/trojdloadrayd.html

▽ウイルス情報
ソフォス、VBS/Solow-G (英語)
http://www.sophos.com/security/analyses/vbssolowg.html

▽ウイルス情報
ソフォス、Troj/Zlob-ACJ (英語)
http://www.sophos.com/security/analyses/trojzlobacj.html

▽ウイルス情報
ソフォス、Troj/Zlob-ACK (英語)
http://www.sophos.com/security/analyses/trojzloback.html

▽ウイルス情報
ソフォス、W32/Looked-DE
http://www.sophos.co.jp/security/analyses/w32lookedde.html

▽ウイルス情報
ソフォス、Troj/Banker-EGE (英語)
http://www.sophos.com/security/analyses/trojbankerege.html

▽ウイルス情報
ソフォス、Mal/Horst-C (英語)
http://www.sophos.com/security/analyses/malhorstc.html

▽ウイルス情報
ソフォス、Troj/Bancban-PY (英語)
http://www.sophos.com/security/analyses/trojbancbanpy.html

▽ウイルス情報
ソフォス、Troj/Bancban-QA (英語)
http://www.sophos.com/security/analyses/trojbancbanqa.html

▽ウイルス情報
ソフォス、Mal/Behav-110 (英語)
http://www.sophos.com/security/analyses/malbehav110.html

▽ウイルス情報
ソフォス、W32/Tiotua-G
http://www.sophos.co.jp/security/analyses/w32tiotuag.html

▽ウイルス情報
ソフォス、W32/Delbot-AG (英語)
http://www.sophos.com/security/analyses/w32delbotag.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AXD (英語)
http://www.sophos.com/security/analyses/trojdloadraxd.html

▽ウイルス情報
ソフォス、Troj/Ranck-FN (英語)
http://www.sophos.com/security/analyses/trojranckfn.html

▽ウイルス情報
ソフォス、Troj/Hiload-E
http://www.sophos.co.jp/security/analyses/trojhiloade.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GUO (英語)
http://www.sophos.com/security/analyses/trojdwnldrguo.html

▽ウイルス情報
ソフォス、W32/Poebot-LM (英語)
http://www.sophos.com/security/analyses/w32poebotlm.html

▽ウイルス情報
ソフォス、Troj/BankDL-CH (英語)
http://www.sophos.com/security/analyses/trojbankdlch.html

▽ウイルス情報
ソフォス、Troj/Bancban-PZ (英語)
http://www.sophos.com/security/analyses/trojbancbanpz.html

▽ウイルス情報
ソフォス、Troj/Bckdr-QIE (英語)
http://www.sophos.com/security/analyses/trojbckdrqie.html

▽ウイルス情報
ソフォス、W32/Rbot-GPM
http://www.sophos.co.jp/security/analyses/w32rbotgpm.html

▽ウイルス情報
ソフォス、Troj/Agent-FOU (英語)
http://www.sophos.com/security/analyses/trojagentfou.html

▽ウイルス情報
ソフォス、Troj/Agent-FOV (英語)
http://www.sophos.com/security/analyses/trojagentfov.html

▽ウイルス情報
ソフォス、Troj/Banker-EGD (英語)
http://www.sophos.com/security/analyses/trojbankeregd.html

▽ウイルス情報
ソフォス、Troj/Pirlames-C (英語)
http://www.sophos.com/security/analyses/trojpirlamesc.html

▽ウイルス情報
ソフォス、Mal/Behav-109 (英語)
http://www.sophos.com/security/analyses/malbehav109.html

▽ウイルス情報
ソフォス、Mal/EncPk-I (英語)
http://www.sophos.com/security/analyses/malencpki.html

▽ウイルス情報
ソフォス、W32/Brontok-DI
http://www.sophos.co.jp/security/analyses/w32brontokdi.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AYH (英語)
http://www.sophos.com/security/analyses/trojdloadrayh.html

▽ウイルス情報
ソフォス、Troj/Bancos-BCL (英語)
http://www.sophos.com/security/analyses/trojbancosbcl.html

▽ウイルス情報
ソフォス、Troj/SpamToo-AN (英語)
http://www.sophos.com/security/analyses/trojspamtooan.html

▽ウイルス情報
ソフォス、Troj/Goldun-FT (英語)
http://www.sophos.com/security/analyses/trojgoldunft.html

▽ウイルス情報
ソフォス、Troj/Small-EIY (英語)
http://www.sophos.com/security/analyses/trojsmalleiy.html

▽ウイルス情報
ソフォス、Troj/BHO-BX (英語)
http://www.sophos.com/security/analyses/trojbhobx.html

▽ウイルス情報
ソフォス、Troj/Sera-A (英語)
http://www.sophos.com/security/analyses/trojseraa.html

▽ウイルス情報
アラジンジャパン、Win32.LowZones.dp
http://www.aladdin.co.jp/esafe/virus/v_all/25747.html

▽ウイルス情報
アラジンジャパン、Win32.Delf.mm
http://www.aladdin.co.jp/esafe/virus/v_all/25735.html

▽ウイルス情報
アラジンジャパン、Win32.Freezer.b
http://www.aladdin.co.jp/esafe/virus/v_all/25738.html

▽ウイルス情報
アラジンジャパン、Win32.Ranky.go
http://www.aladdin.co.jp/esafe/virus/v_all/25751.html

▽ウイルス情報
アラジンジャパン、Win32.Agent.abf
http://www.aladdin.co.jp/esafe/virus/v_all/25725.html

▽ウイルス情報
アラジンジャパン、Win32.Slaper.u
http://www.aladdin.co.jp/esafe/virus/v_all/25755.html

▽ウイルス情報
アラジンジャパン、Win32.Inject.bq
http://www.aladdin.co.jp/esafe/virus/v_all/25743.html

▽ウイルス情報
アラジンジャパン、Win32.Cmjspy.ci
http://www.aladdin.co.jp/esafe/virus/v_all/25731.html

▽ウイルス情報
アラジンジャパン、Win32.Delf.ca
http://www.aladdin.co.jp/esafe/virus/v_all/25734.html

▽ウイルス情報
アラジンジャパン、Win32.Agent.bdj
http://www.aladdin.co.jp/esafe/virus/v_all/25728.html

▽ウイルス情報
アラジンジャパン、Win32.Agent.afv
http://www.aladdin.com/home/csrt/valerts2.asp?virus_no=25726

▽ウイルス情報
アラジンジャパン、Win32.Zhelatin.dx
http://www.aladdin.co.jp/esafe/virus/v_all/25758.html

▽ウイルス情報
アラジンジャパン、Win32.Zhelatin.dz
http://www.aladdin.co.jp/esafe/virus/v_all/25759.html

▽ウイルス情報
アラジンジャパン、Win32.Hupigon.dir
http://www.aladdin.co.jp/esafe/virus/v_all/25741.html

▽ウイルス情報
アラジンジャパン、Win32.VB.axg
http://www.aladdin.co.jp/esafe/virus/v_all/25756.html

▽ウイルス情報
アラジンジャパン、Win32.SdBot.bil
http://www.aladdin.co.jp/esafe/virus/v_all/25754.html

▽ウイルス情報
アラジンジャパン、Win32.Agent.asn
http://www.aladdin.co.jp/esafe/virus/v_all/25727.html

▽ウイルス情報
アラジンジャパン、Win32.Rbot.bzc
http://www.aladdin.com/home/csrt/valerts2.asp?virus_no=25752

▽ウイルス情報
アラジンジャパン、Win32.Rbot.cbu
http://www.aladdin.com/home/csrt/valerts2.asp?virus_no=25753

▽ウイルス情報
アラジンジャパン、Win32.Hupigon.abw
http://www.aladdin.com/home/csrt/valerts2.asp?virus_no=25739

◆アップデート情報◆
───────────────────────────────────
●Debianがsquirrelmailのアップデートをリリース
───────────────────────────────────
Debianがsquirrelmailのアップデートをリリースした。このアップデートによって、クロスサイトスクリプティングを実行される問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

《ScanNetSecurity》