以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━▽Zen Cart─────────────────────────────Zen Cartは、悪意があるWebページに誘導されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションにログインすると同時にセッションを乗っ取られる可能性がある。2007/07/06 登録危険度:中影響を受けるバージョン:1.3.7影響を受ける環境:UNIX、Linux、Windows回避策:1.3.7-Full Release以降へのバージョンアップ▽ManageEngine's NetFlow Analyzer / OpManager───────────ManageEngine's NetFlow AnalyzerおよびOpManagerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2007/07/06 登録危険度:中影響を受けるバージョン:NetFlow Analyzer 5.0、OpManager 6.0、7.0影響を受ける環境:Linux、Windows回避策:公表されていません▽Pphlogger (Power Phlogger)────────────────────Pphlogger (Power Phlogger)は、get_userdata.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2007/07/06 登録危険度:中影響を受けるバージョン:2.2.5未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Fujitsu ServerView────────────────────────Fujitsu ServerViewは、DBAsciiAccess CGIスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。2007/07/06 登録危険度:高影響を受けるバージョン:4.50.09未満影響を受ける環境:Linux、Windows回避策:4.50.09以降へのバージョンアップ▽PNphpBB2─────────────────────────────PNphpBB2は、細工されたSQLステートメントをviewforum.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2007/07/06 登録危険度:中影響を受けるバージョン:1.2i未満影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Elite Bulletin Board───────────────────────Elite Bulletin Boardは、Profile.phpやPM.phpのエラーが原因でセキュリティホールが存在するる。この問題が悪用されると、リモートの攻撃者にデータを改竄される可能性がある。 [更新]2007/07/05 登録危険度:低影響を受けるバージョン:1.0.10未満影響を受ける環境:UNIX、Linux、Windows回避策:1.0.10以降へのバージョンアップ▽Moodle──────────────────────────────Moodleは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2007/07/04 登録危険度:中影響を受けるバージョン:1.7.1影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Oracle Rapid Install───────────────────────Oracle Rapid Installは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]2007/07/03 登録危険度:中影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Apache HTTPD's mod_cache─────────────────────Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]2007/06/27 登録危険度:低影響を受けるバージョン:2.2.4未満影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽Apache HTTPD's mod_status────────────────────Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]2007/06/27 登録危険度:中影響を受けるバージョン:2.2.4影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽FreeType─────────────────────────────FreeTypeは、細工されたTTFイメージが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]2007/05/22 登録危険度:高影響を受けるバージョン:2.3.4未満影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽MySQL──────────────────────────────MySQLは、ALTER テーブルステートメントが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]2007/05/17 登録危険度:中影響を受けるバージョン:5.1.18未満影響を受ける環境:UNIX、Linux、Windows回避策:5.1.18へのバージョンアップ▽MySQL──────────────────────────────MySQLは、細工されたIF clauseを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]2007/05/17 登録危険度:低影響を受けるバージョン:5.x〜5.0.40未満影響を受ける環境:UNIX、Linux、Windows回避策:5.0.40以降へのバージョンアップ<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽EnjoySAP rfcguisink.rfcguisink.1 ActiveX control─────────EnjoySAP rfcguisink.rfcguisink.1 ActiveX controlは、LaunchGui機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。2007/07/06 登録危険度:高影響を受けるバージョン:全てのバージョン影響を受ける環境:Windows回避策:公表されていません▽EnjoySAP kweditcontrol.kwedit.1 ActiveX control─────────EnjoySAP kweditcontrol.kwedit.1 ActiveX controlは、PrepareToPostHTML機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。2007/07/06 登録危険度:高影響を受けるバージョン:全てのバージョン影響を受ける環境:Windows回避策:公表されていません▽Fujitsu PRIMERGY BX300──────────────────────Fujitsu PRIMERGY BX300は、ダイレクトリクエストをWebインタフェースに送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2007/07/06 登録危険度:低影響を受けるバージョン:全てのバージョン影響を受ける環境:Windows回避策:公表されていません<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽PEAR Structures-DataGrid-DataSource-MDB2 package─────────PEAR Structures-DataGrid-DataSource-MDB2 packageは、fetch()機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。2007/07/06 登録危険度:中影響を受けるバージョン:0.1.9未満影響を受ける環境:UNIX、Linux回避策:0.1.10以降へのバージョンアップ▽GNU C Library (glibc)──────────────────────GNU C Library (glibc)は、process_envvars機能が原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]2007/07/04 登録危険度:中影響を受けるバージョン:2.6未満影響を受ける環境:UNIX、Linux回避策:公表されていません▽Apache HTTP Server────────────────────────Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]2007/06/28 登録危険度:低影響を受けるバージョン:1.3.37、2.0.59、2.2.4影響を受ける環境:UNIX、Linux回避策:ベンダの回避策を参照▽file───────────────────────────────fileは、file_printf ()機能が原因でヒープオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]2007/03/22 登録危険度:高影響を受けるバージョン:4.20未満影響を受ける環境:UNIX、Linux回避策:4.20へのバージョンアップ▽wvWare LFO / LVL counters────────────────────wvWare LFOおよびLVL countersは、細工されたWordドキュメントによって整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]2006/10/30 登録危険度:高影響を受けるバージョン:1.2.2影響を受ける環境:UNIX、Linux回避策:1.2.3以降へのバージョンアップ<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽Sudo───────────────────────────────Sudoは、細工された環境変数、PERLLIB、PERL5LIBおよびPERL5OPTが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコマンドを実行される可能性がある。 [更新]2005/11/18 登録危険度:高影響を受けるバージョン:1.6.8p12未満影響を受ける環境:Linux回避策:1.6.8p12以降へのバージョンアップ<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽ProFTPD─────────────────────────────ProFTPD 1.3.1rc3がリリースされた。http://www.proftpd.org/ ▽秀丸エディタ───────────────────────────秀丸エディタ Ver6.13がリリースされた。http://hide.maruo.co.jp/ ▽ISC DHCP─────────────────────────────ISC DHCP 3.0.6がリリースされた。http://www.isc.org/sw/dhcp/ ▽Zope 3.x 系───────────────────────────Zope 3.4.0b1がリリースされた。http://www.zope.org/ ▽Zope 2.10.x 系──────────────────────────Zope 2.10.4がリリースされた。http://www.zope.org/ ▽Zope 2.9.x 系──────────────────────────Zope 2.9.8がリリースされた。http://www.zope.org/ <セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━▽トピックス総務省、情報通信審議会 情報通信技術分科会(第49回)議事録http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/bunkakai/pdf/070524_3.pdf▽トピックスIPA/ISEC、情報セキュリティ対策ベンチマーク英語版を公開http://www.ipa.go.jp/security/english/benchmark_system.html▽トピックストレンドマイクロ、ウイルスバスター コーポレートエディション 8.0 再公開のお知らせhttp://www.trendmicro.co.jp/support/news.asp?id=979▽トピックスCA、2007 Project & Portfolio Management Summitにおいて最多の受賞およびノミネートを獲得し、業界でのリーダーシップを発揮http://www.ca.com/jp/press/Release.aspx?CID=147088▽トピックスNTTドコモ、「SO903iTV」の一時販売停止のお知らせhttp://www.nttdocomo.co.jp/info/notice/page/070704_00.html▽トピックスサイバートラスト、弊社ネットワーク機器のメンテナンスに伴うお問い合わせ、e-メールに関するお願いhttp://www.cybertrust.ne.jp/info/2007/070704.html▽トピックスキングソフト、「キングソフトオフィス2007」が第9回ベクタープロレジ大賞「文書作成部門賞」にノミネートhttp://shop.vector.co.jp/service/special/award/#docu▽トピックスキヤノンシステムソリューソンズ、「NOD32アンチウイルス V2.7」シリーズ 特別価格にて2007年7月27日(金)より販売開始http://www.canon-sol.co.jp/topics/20070705nod.html▽トピックスニーモニックセキュリティ、スマートフォンを統合管理するセキュリティスイート『MGSS』を発売http://www.value-press.com/pressrelease.php?article_id=15590&medium_id=969▽トピックス凸版印刷、データセンターTOPICAで「サイボウズ Office セキュアASPサービス」の「セキュアケータイ・オプション」を提供開始http://www.toppan.co.jp/▽トピックスRSAセキュリティ、コンプライアンスおよびセキュリティのための統合ログ管理アプライアンスRSA enVisionを発売http://japan.rsa.com▽トピックスアイティーブーストのレンタルサーバ「エクスビット」「プレミアエクスビット」上でトランスウエア Web メール製品「Active! mail」の提供開始http://www.transware.co.jp/▽サポート情報アンラボ、V3 / SpyZero 定期アップデート情報http://japan.ahnlab.com/news/view.asp?seq=2380▽サポート情報アンラボ、V3 緊急アップデート情報http://japan.ahnlab.com/news/view.asp?seq=2379▽サポート情報アンラボ、V3 緊急アップデート情報http://japan.ahnlab.com/news/view.asp?seq=2378▽統計・資料JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計http://www.nic.ad.jp/ja/stat/ip/20070705.html▽ウイルス情報シマンテック、Spyware.DataDoctorKeyhttp://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070522-2819-99▽ウイルス情報シマンテック、W32.Weaklinghttp://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070521-2118-99▽ウイルス情報シマンテック、W32.Pifflehttp://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070520-3534-99▽ウイルス情報シマンテック、SpyReaperhttp://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070515-0724-99▽ウイルス情報シマンテック、W32.Netsky.BG@mmhttp://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070514-0712-99▽ウイルス情報シマンテック、Spyware.ISnake http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070510-1358-99▽ウイルス情報ソフォス、W32/Tilebot-JY (英語)http://www.sophos.com/security/analyses/w32tilebotjy.html▽ウイルス情報ソフォス、Troj/SCLog-AM (英語)http://www.sophos.com/security/analyses/trojsclogam.html▽ウイルス情報ソフォス、Troj/SCLog-AN (英語)http://www.sophos.com/security/analyses/trojsclogan.html▽ウイルス情報ソフォス、Troj/SCLog-AO (英語)http://www.sophos.com/security/analyses/trojsclogao.html▽ウイルス情報ソフォス、Troj/Dropper-PV (英語)http://www.sophos.com/security/analyses/trojdropperpv.html▽ウイルス情報ソフォス、Troj/Cimuz-CM (英語)http://www.sophos.com/security/analyses/trojcimuzcm.html▽ウイルス情報ソフォス、Troj/Bdoor-AER (英語)http://www.sophos.com/security/analyses/trojbdooraer.html▽ウイルス情報ソフォス、Troj/Agent-FWJ (英語)http://www.sophos.com/security/analyses/trojagentfwj.html▽ウイルス情報ソフォス、Troj/Startp-K (英語)http://www.sophos.com/security/analyses/trojstartpk.html▽ウイルス情報ソフォス、Troj/SCLog-AJ (英語)http://www.sophos.com/security/analyses/trojsclogaj.html▽ウイルス情報ソフォス、Troj/SCLog-AI (英語)http://www.sophos.com/security/analyses/trojsclogai.html▽ウイルス情報ソフォス、Troj/SCLog-AK (英語)http://www.sophos.com/security/analyses/trojsclogak.html▽ウイルス情報ソフォス、Troj/SCLog-AL (英語)http://www.sophos.com/security/analyses/trojsclogal.html▽ウイルス情報ソフォス、Mal/TinyDL-E (英語)http://www.sophos.com/security/analyses/maltinydle.html▽ウイルス情報ソフォス、Troj/Banloa-CC (英語)http://www.sophos.com/security/analyses/trojbanloacc.html▽ウイルス情報ソフォス、Troj/Dropper-PDhttp://www.sophos.co.jp/security/analyses/trojdropperpd.html▽ウイルス情報ソフォス、W32/Rbot-GRW (英語)http://www.sophos.com/security/analyses/w32rbotgrw.html▽ウイルス情報ソフォス、Troj/SpamToo-AU (英語)http://www.sophos.com/security/analyses/trojspamtooau.html▽ウイルス情報ソフォス、Troj/Istbar-DI (英語)http://www.sophos.com/security/analyses/trojistbardi.html▽ウイルス情報ソフォス、Mal/Goldun-A (英語)http://www.sophos.com/security/analyses/malgolduna.html▽ウイルス情報ソフォス、Mal/Lydra-A (英語)http://www.sophos.com/security/analyses/mallydraa.html▽ウイルス情報ソフォス、Troj/SpamToo-AThttp://www.sophos.co.jp/security/analyses/trojspamtooat.html▽ウイルス情報ソフォス、Troj/DwnLdr-GWN (英語)http://www.sophos.com/security/analyses/trojdwnldrgwn.html▽ウイルス情報ソフォス、Troj/Agent-FXU (英語)http://www.sophos.com/security/analyses/trojagentfxu.html▽ウイルス情報ソフォス、Troj/Small-EJO (英語)http://www.sophos.com/security/analyses/trojsmallejo.html▽ウイルス情報ソフォス、Troj/PWS-ANY (英語)http://www.sophos.com/security/analyses/trojpwsany.html▽ウイルス情報ソフォス、Troj/Agent-FXV (英語)http://www.sophos.com/security/analyses/trojagentfxv.html▽ウイルス情報ソフォス、Troj/Bancos-BCV (英語)http://www.sophos.com/security/analyses/trojbancosbcv.html▽ウイルス情報ソフォス、Troj/IRCFlood-Qhttp://www.sophos.co.jp/security/analyses/trojircfloodq.html▽ウイルス情報ソフォス、Troj/ConycSp-AC (英語)http://www.sophos.com/security/analyses/trojconycspac.html▽ウイルス情報ソフォス、Troj/Cimuz-CL (英語)http://www.sophos.com/security/analyses/trojcimuzcl.html▽ウイルス情報ソフォス、Troj/Nonaco-Gen (英語)http://www.sophos.com/security/analyses/trojnonacogen.html▽ウイルス情報マカフィー、Downloader-BDBhttp://www.mcafee.com/japan/security/virD.asp?v=Downloader-BDB▽ウイルス情報マカフィー、W32/Winko.wormhttp://www.mcafee.com/japan/security/virW.asp?v=W32/Winko.worm▽ウイルス情報マカフィー、W32/Crimea.drhttp://www.mcafee.com/japan/security/virC.asp?v=W32/Crimea.dr◆アップデート情報◆───────────────────────────────────●Debianがgfaxのアップデートをリリース───────────────────────────────────Debianがgfaxのアップデートをリリースした。このアップデートによって、gfaxにおける問題が修正される。 Debian Security Advisory http://www.debian.org/security/ ───────────────────────────────────●Gentoo LinuxがWebminおよびUserminのアップデートをリリース───────────────────────────────────Gentoo LinuxがWebminおよびUserminのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 Gentoo Linux http://www.gentoo.org/ ───────────────────────────────────●Mandriva Linuxがapacheのアップデートをリリース───────────────────────────────────Mandriva Linuxがapacheのアップデートをリリースした。このアップデートによって、apacheにおける複数の問題が修正される。 Mandriva Security Advisory http://www.mandriva.com/security ───────────────────────────────────●MIRACLE Linuxが複数のアップデートをリリース───────────────────────────────────Miracle Linuxがwv、sudoおよびstunnelのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 Miracle Linux アップデート情報 http://www.miraclelinux.com/support/update/list.php?category=1───────────────────────────────────●SuSE Linuxがfileおよびfreetype2のアップデートをリリース───────────────────────────────────SuSE Linuxがfileおよびfreetype2のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 SuSe Security Announcement http://www.suse.de/de/security/
