セキュリティホール情報＜2007/06/06＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2007年6月6日（水） 15時00分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Dokeos──────────────────────────────
Dokeosは、editor.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/06/06 登録

危険度：中
影響を受けるバージョン：1.8.0未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Firefox用アドオン────────────────────────
Google Toolbar、Google Browser Sync、Yahoo! Toolbar、Del.icio.us Extension、Facebook Toolbar、AOL Toolbar、Ask.com Toolbar、LinkedIn Browser Toolbar、Netcraft Anti-Phishing Toolbar、PhishTank SiteCheckerなどのFirefox用アドオンツールは、アップデートサービスが適切なセキュリティ制限を行っていないことが原因で中間攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/06/06 登録

危険度：中
影響を受けるバージョン：全てのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SSL-Explorer───────────────────────────
SSL-Explorerは、selectLanguage.doスクリプトがユーザ入力を適切にチェックしていないことが原因でヘッダーインジェクションを受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティング、キャッシュ中毒およびセッションハイジャックなどを実行される可能性がある。
2007/06/06 登録

危険度：中
影響を受けるバージョン：0.2.14未満
影響を受ける環境：UNIX、Linux、Windows
回避策：0.2.15以降へのバージョンアップ

▽WebSVN──────────────────────────────
WebSVNは、filedetails.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/06/06 登録

危険度：中
影響を受けるバージョン：2.0rc4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Basic Analysis and Security Engine (BASE)────────────
Basic Analysis and Security Engine (BASE)は、base_main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバへの無許可のアクセス権を奪取される可能性がある。
2007/06/06 登録

危険度：中
影響を受けるバージョン：1.3.6未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Centennial Software XFERWAN component──────────────
多数のプロダクトで使用されているCentennial Software XFERWAN componentは、細工されたリクエストを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/06/06 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽IBM Lotus Domino─────────────────────────
IBM Lotus Dominoは、エージェント署名検証でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。
2007/06/06 登録

危険度：高
影響を受けるバージョン：7.0
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽BDigital WebStudio CMS──────────────────────
BDigital WebStudio CMSは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/05 登録

危険度：中
影響を受けるバージョン：全てのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽EQdkp──────────────────────────────
EQdkpは、listmembers.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/06/05 登録

危険度：中
影響を受けるバージョン：1.3.2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IBM Lotus Domino─────────────────────────
IBM Lotus Dominoは、特定のファイルを参照するURLにアクセスすることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/06/05 登録

危険度：低
影響を受けるバージョン：6.0、6.5、7.0
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Calimero.CMS───────────────────────────
Calimero.CMSは、PHPSESSID変数を特定の値にセットされることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションにログインすると同時にセッションを乗っ取られる可能性がある。 [更新]
2007/06/05 登録

危険度：中
影響を受けるバージョン：3.3.1232未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽VERITAS Storage Foundation────────────────────
VERITAS Storage Foundationは、細工されたパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にCPUリソースを大幅に消費されたりサービスをクラッシュされる可能性がある。 [更新]
2007/06/04 登録

危険度：低
影響を受けるバージョン：5.0以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽HP System Management Homepage──────────────────
HP System Management Homepageは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/01 登録

危険度：中
影響を受けるバージョン：2.1.2未満
影響を受ける環境：Linux、Windows
回避策：2.1.2以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft FrontPage Personal Web Server─────────────
Microsoft FrontPage Personal Web Serverは、細工されたリクエストを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。
2007/06/06 登録

危険度：高
影響を受けるバージョン：32、95 2.0
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、アドレスバーでURLを偽装されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意があるサイトへ誘導されてフィッシング攻撃を受ける可能性がある。 [更新]
2007/06/05 登録

危険度：中
影響を受けるバージョン：6.x
影響を受ける環境：Windows
回避策：7.0以降へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SNMPc──────────────────────────────
SNMPcは、細工されたパケットを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にSNMPcサーバをクラッシュされる可能性がある。
2007/06/06 登録

危険度：低
影響を受けるバージョン：7.0.18未満
影響を受ける環境：Windows
回避策：7.0.19以降へのバージョンアップ

▽F5 Networks FirePass───────────────────────
F5 Networks FirePassは、myactivation.php3スクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2007/06/05 登録

危険度：高
影響を受けるバージョン：FirePass 4100 SSL VPN 全てのバージョン
影響を受ける環境：FirePass 4100 SSL VPN
回避策：ベンダの回避策を参照

▽Symantec Storage Foundation───────────────────
Symantec Storage Foundationは、スケジューラサービスのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。 [更新]
2007/06/05 登録

危険度：中
影響を受けるバージョン：5.0
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Macrovision FLEXnet Connect DWUpdateService ActiveX controls───
Macrovision FLEXnet Connect DWUpdateService (agent.exe) ActiveX controlは、細工されたWebサイト上でActiveXコントロールを有効にする際にセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/06/04 登録

危険度：高
影響を受けるバージョン：6.0
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽libpng──────────────────────────────
libpngは、細工されたtRNSチャンクが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/05/18 登録

危険度：低
影響を受けるバージョン：0.90〜1.2.16
影響を受ける環境：UNIX、Linux
回避策：1.0.25および1.2.17以降へのバージョンアップ

▽file───────────────────────────────
fileは、file_printf ()機能が原因でヒープオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2007/03/22 登録

危険度：高
影響を受けるバージョン：4.20未満
影響を受ける環境：UNIX、Linux
回避策：4.20へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、itanium syscallテーブルが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。
2007/06/06 登録

危険度：低
影響を受けるバージョン：for ia64 2.6
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、xscreensaverがターミナルをロックするために使われたときにセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2007/06/06 登録

危険度：高
影響を受けるバージョン：10 SPARC、10 x86
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows Mobile─────────────────────
Microsoft Windows Mobile 6 日本語版がリリースされた。
http://www.microsoft.com/japan/windowsmobile

▽Camino for Mac OS X───────────────────────
Camino 1.5 Released for Mac OS Xがリリースされた。
http://www.caminobrowser.org/releases/1.5/

▽TOMOYO Linux───────────────────────────
TOMOYO Linux 1.4.1がリリースされた。
http://sourceforge.jp/projects/tomoyo/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「ＩＣＴ分野の研究開発人材育成に関する研究会」第３回会合開催案内
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/ict_kenkyu_jinzai/070613_1.html

▽トピックス
内閣官房長官情報セキュリティーセンター、第8回技術戦略専門委員会を開催
http://www.nisc.go.jp/conference/seisaku/strategy/index.html#strategy08

▽トピックス
IAjapan、サーバメンテナンス実施。6月9日（土）13時00分〜 17時00分頃
http://www.iajapan.org/

▽トピックス
ソフォス、Sophos Anti-Virus for Windows XP、VB 100% 賞を受賞
http://www.sophos.co.jp/pressoffice/news/articles/2007/06/vbjun07.html

▽トピックス
マカフィー、「検索エンジンの安全性に関する調査報告」第３版を公開
http://www.mcafee.com/japan/about/prelease/pr_07a.asp?pr=07/06/05-1

▽トピックス
NTTドコモ、一斉情報連絡サービス「エマージキャスト」を提供開始
http://www.nttdocomo.co.jp/info/news_release/page/070605_00.html

▽トピックス
WILLCOM、ネットインデックス製「RX410IN」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
ジャストシステム、「Kaspersky Internet Security 6.0 メールセキュリティ強化パック」を、6月29日（金）発売
http://www.justsystem.co.jp/news/2007f/news/j06061.html

▽トピックス
セキュアコンピューティング、Cyberguard Classic Firewall からSidewinder 7.0 UTM へのアップグレードを提供開始
http://www.securecomputing.co.jp/

▽トピックス
AOSテクノロジーズ、ファイナル　ID・パスワード一元管理 5.0発売
http://www.finaldata.jp/product/finaldata/fip1_1/

▽トピックス
パスロジ、PHSやDSでも利用できるワンタイムパスワード、「社員1万人でもトークン0円」の料金プランを開始
http://www.passlogy.com/

▽トピックス
ジャストイン・レンテック、国内初の「P2P・スパイウェア対策ソフト」のレンタルサービスを開始
http://www.jir.co.jp/

▽トピックス
ディアイティ、内部統制時代に最適なエンタープライズ向けセキュリティソリューション2 種を販売開始
http://www.dit.co.jp/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2304

▽サポート情報
V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2303

▽サポート情報
V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2301

▽統計・資料
JPCERT/CC、2007年2月14日開催の重要インフラセキュリティセミナー資料公開
http://www.jpcert.or.jp/present/

▽ウイルス情報
トレンドマイクロ、PE_CORELINK.C-O
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=PE%5FCORELINK%2EC%2DO

▽ウイルス情報
シマンテック、W32.Dizan.D
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-060519-5410-99

▽ウイルス情報
シマンテック、W32.Tupofse
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-060515-0539-99

▽ウイルス情報
ソフォス、Troj/Bifrose-UR (英語)
http://www.sophos.com/security/analyses/trojbifroseur.html

▽ウイルス情報
ソフォス、Troj/PcClien-KQ (英語)
http://www.sophos.com/security/analyses/trojpcclienkq.html

▽ウイルス情報
ソフォス、Troj/Ciadoor-DO (英語)
http://www.sophos.com/security/analyses/trojciadoordo.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BBF (英語)
http://www.sophos.com/security/analyses/trojdloadrbbf.html

▽ウイルス情報
ソフォス、Troj/Agent-FPU (英語)
http://www.sophos.com/security/analyses/trojagentfpu.html

▽ウイルス情報
ソフォス、W32/Rbot-GQW (英語)
http://www.sophos.com/security/analyses/w32rbotgqw.html

▽ウイルス情報
ソフォス、Mal/DownLdr-H (英語)
http://www.sophos.com/security/analyses/maldownldrh.html

▽ウイルス情報
ソフォス、W32/Spybot-NS (英語)
http://www.sophos.com/security/analyses/w32spybotns.html

▽ウイルス情報
ソフォス、Troj/Mdrop-BPH (英語)
http://www.sophos.com/security/analyses/trojmdropbph.html

▽ウイルス情報
ソフォス、Troj/Mdrop-BPF (英語)
http://www.sophos.com/security/analyses/trojmdropbpf.html

▽ウイルス情報
ソフォス、Troj/Mdrop-BPG (英語)
http://www.sophos.com/security/analyses/trojmdropbpg.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AZI (英語)
http://www.sophos.com/security/analyses/trojdloadrazi.html

▽ウイルス情報
ソフォス、Troj/Agent-FPV (英語)
http://www.sophos.com/security/analyses/trojagentfpv.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BBH (英語)
http://www.sophos.com/security/analyses/trojdloadrbbh.html

▽ウイルス情報
ソフォス、Troj/Agent─ (英語)
http://www.sophos.com/security/analyses/trojagent.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GVD (英語)
http://www.sophos.com/security/analyses/trojdwnldrgvd.html

▽ウイルス情報
ソフォス、Troj/Pointu-A (英語)
http://www.sophos.com/security/analyses/trojpointua.html

▽ウイルス情報
ソフォス、WM/Trugbar-B
http://www.sophos.co.jp/security/analyses/wmtrugbarb.html

▽ウイルス情報
ソフォス、Troj/JSDownL-I (英語)
http://www.sophos.com/security/analyses/trojjsdownli.html

▽ウイルス情報
ソフォス、VBS/DownLdr-B (英語)
http://www.sophos.com/security/analyses/vbsdownldrb.html

▽ウイルス情報
ソフォス、Mal/DelpDldr-A (英語)
http://www.sophos.com/security/analyses/maldelpdldra.html

▽ウイルス情報
ソフォス、Troj/Proxy-HS (英語)
http://www.sophos.com/security/analyses/trojproxyhs.html

▽ウイルス情報
ソフォス、W32/Anis-B
http://www.sophos.co.jp/security/analyses/w32anisb.html

▽ウイルス情報
ソフォス、Troj/BHO-CD (英語)
http://www.sophos.com/security/analyses/trojbhocd.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AZG (英語)
http://www.sophos.com/security/analyses/trojdloadrazg.html

▽ウイルス情報
ソフォス、W32/Stration-AQ (英語)
http://www.sophos.com/security/analyses/w32strationaq.html

▽ウイルス情報
ソフォス、Troj/Cimuz-CI (英語)
http://www.sophos.com/security/analyses/trojcimuzci.html

▽ウイルス情報
ソフォス、Troj/Banloa-BR (英語)
http://www.sophos.com/security/analyses/trojbanloabr.html

▽ウイルス情報
ソフォス、Troj/BankDL-CJ (英語)
http://www.sophos.com/security/analyses/trojbankdlcj.html

▽ウイルス情報
ソフォス、Troj/Zlob-ACV (英語)
http://www.sophos.com/security/analyses/trojzlobacv.html

▽ウイルス情報
ソフォス、Troj/Banker-EHG (英語)
http://www.sophos.com/security/analyses/trojbankerehg.html

▽ウイルス情報
ソフォス、Troj/Proxy-HS (英語)
http://www.sophos.com/security/analyses/trojproxyhs.html

▽ウイルス情報
ソフォス、Mal/Behav-125 (英語)
http://www.sophos.com/security/analyses/malbehav125.html

▽ウイルス情報
ソフォス、W32/Poebot-LQ
http://www.sophos.co.jp/security/analyses/w32poebotlq.html

▽ウイルス情報
ソフォス、Troj/Tikl-Gen (英語)
http://www.sophos.com/security/analyses/trojtiklgen.html

▽ウイルス情報
ソフォス、Troj/Sinow-F (英語)
http://www.sophos.com/security/analyses/trojsinowf.html

▽ウイルス情報
ソフォス、Troj/TinyDL-I (英語)
http://www.sophos.com/security/analyses/trojtinydli.html

▽ウイルス情報
ソフォス、Troj/Dloadr-AZF (英語)
http://www.sophos.com/security/analyses/trojdloadrazf.html

▽ウイルス情報
ソフォス、Troj/PWS-ANG (英語)
http://www.sophos.com/security/analyses/trojpwsang.html

▽ウイルス情報
ソフォス、Troj/Sinow-I (英語)
http://www.sophos.com/security/analyses/trojsinowi.html

▽ウイルス情報
ソフォス、Troj/Sinow-H (英語)
http://www.sophos.com/security/analyses/trojsinowh.html

▽ウイルス情報
ソフォス、Troj/Sinow-G (英語)
http://www.sophos.com/security/analyses/trojsinowg.html

▽ウイルス情報
ソフォス、Troj/Sinow-J (英語)
http://www.sophos.com/security/analyses/trojsinowj.html

▽ウイルス情報
ソフォス、Troj/Sinow-K (英語)
http://www.sophos.com/security/analyses/trojsinowk.html

▽ウイルス情報
マカフィー、W32/Hooon.worm
http://www.mcafee.com/japan/security/virH.asp?v=W32/Hooon.worm

◆アップデート情報◆
───────────────────────────────────
●Mandriva Linuxがfileおよびlibpngのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがfileおよびlibpngのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●Gentoo Linuxがlibexifのアップデートをリリース
───────────────────────────────────
Gentoo Linuxがlibexifのアップデートをリリースした。このアップデートによって、libexifにおける問題が修正される。

Gentoo Linux
http://www.gentoo.org/

《ScanNetSecurity》