セキュリティホール情報＜2007/07/06＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2007年7月6日（金） 15時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Zen Cart─────────────────────────────
Zen Cartは、悪意があるWebページに誘導されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションにログインすると同時にセッションを乗っ取られる可能性がある。
2007/07/06 登録

危険度：中
影響を受けるバージョン：1.3.7
影響を受ける環境：UNIX、Linux、Windows
回避策：1.3.7-Full Release以降へのバージョンアップ

▽ManageEngine's NetFlow Analyzer / OpManager───────────
ManageEngine's NetFlow AnalyzerおよびOpManagerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/07/06 登録

危険度：中
影響を受けるバージョン：NetFlow Analyzer 5.0、OpManager 6.0、7.0
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Pphlogger (Power Phlogger)────────────────────
Pphlogger (Power Phlogger)は、get_userdata.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/07/06 登録

危険度：中
影響を受けるバージョン：2.2.5未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Fujitsu ServerView────────────────────────
Fujitsu ServerViewは、DBAsciiAccess CGIスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2007/07/06 登録

危険度：高
影響を受けるバージョン：4.50.09未満
影響を受ける環境：Linux、Windows
回避策：4.50.09以降へのバージョンアップ

▽PNphpBB2─────────────────────────────
PNphpBB2は、細工されたSQLステートメントをviewforum.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/07/06 登録

危険度：中
影響を受けるバージョン：1.2i未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Elite Bulletin Board───────────────────────
Elite Bulletin Boardは、Profile.phpやPM.phpのエラーが原因でセキュリティホールが存在するる。この問題が悪用されると、リモートの攻撃者にデータを改竄される可能性がある。 [更新]
2007/07/05 登録

危険度：低
影響を受けるバージョン：1.0.10未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.0.10以降へのバージョンアップ

▽Moodle──────────────────────────────
Moodleは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/07/04 登録

危険度：中
影響を受けるバージョン：1.7.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Oracle Rapid Install───────────────────────
Oracle Rapid Installは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Apache HTTPD's mod_cache─────────────────────
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録

危険度：低
影響を受けるバージョン：2.2.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Apache HTTPD's mod_status────────────────────
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録

危険度：中
影響を受けるバージョン：2.2.4
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽FreeType─────────────────────────────
FreeTypeは、細工されたTTFイメージが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/05/22 登録

危険度：高
影響を受けるバージョン：2.3.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽MySQL──────────────────────────────
MySQLは、ALTER テーブルステートメントが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/05/17 登録

危険度：中
影響を受けるバージョン：5.1.18未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.1.18へのバージョンアップ

▽MySQL──────────────────────────────
MySQLは、細工されたIF clauseを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/05/17 登録

危険度：低
影響を受けるバージョン：5.x〜5.0.40未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.40以降へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽EnjoySAP rfcguisink.rfcguisink.1 ActiveX control─────────
EnjoySAP rfcguisink.rfcguisink.1 ActiveX controlは、LaunchGui機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2007/07/06 登録

危険度：高
影響を受けるバージョン：全てのバージョン
影響を受ける環境：Windows
回避策：公表されていません

▽EnjoySAP kweditcontrol.kwedit.1 ActiveX control─────────
EnjoySAP kweditcontrol.kwedit.1 ActiveX controlは、PrepareToPostHTML機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2007/07/06 登録

危険度：高
影響を受けるバージョン：全てのバージョン
影響を受ける環境：Windows
回避策：公表されていません

▽Fujitsu PRIMERGY BX300──────────────────────
Fujitsu PRIMERGY BX300は、ダイレクトリクエストをWebインタフェースに送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/07/06 登録

危険度：低
影響を受けるバージョン：全てのバージョン
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽PEAR Structures-DataGrid-DataSource-MDB2 package─────────
PEAR Structures-DataGrid-DataSource-MDB2 packageは、fetch()機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。
2007/07/06 登録

危険度：中
影響を受けるバージョン：0.1.9未満
影響を受ける環境：UNIX、Linux
回避策：0.1.10以降へのバージョンアップ

▽GNU C Library (glibc)──────────────────────
GNU C Library (glibc)は、process_envvars機能が原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/07/04 登録

危険度：中
影響を受けるバージョン：2.6未満
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Apache HTTP Server────────────────────────
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録

危険度：低
影響を受けるバージョン：1.3.37、2.0.59、2.2.4
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽file───────────────────────────────
fileは、file_printf ()機能が原因でヒープオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2007/03/22 登録

危険度：高
影響を受けるバージョン：4.20未満
影響を受ける環境：UNIX、Linux
回避策：4.20へのバージョンアップ

▽wvWare LFO / LVL counters────────────────────
wvWare LFOおよびLVL countersは、細工されたWordドキュメントによって整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2006/10/30 登録

危険度：高
影響を受けるバージョン：1.2.2
影響を受ける環境：UNIX、Linux
回避策：1.2.3以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sudo───────────────────────────────
Sudoは、細工された環境変数、PERLLIB、PERL5LIBおよびPERL5OPTが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコマンドを実行される可能性がある。 [更新]
2005/11/18 登録

危険度：高
影響を受けるバージョン：1.6.8p12未満
影響を受ける環境：Linux
回避策：1.6.8p12以降へのバージョンアップ

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ProFTPD─────────────────────────────
ProFTPD 1.3.1rc3がリリースされた。
http://www.proftpd.org/

▽秀丸エディタ───────────────────────────
秀丸エディタ Ver6.13がリリースされた。
http://hide.maruo.co.jp/

▽ISC DHCP─────────────────────────────
ISC DHCP 3.0.6がリリースされた。
http://www.isc.org/sw/dhcp/

▽Zope 3.x 系───────────────────────────
Zope 3.4.0b1がリリースされた。
http://www.zope.org/

▽Zope 2.10.x 系──────────────────────────
Zope 2.10.4がリリースされた。
http://www.zope.org/

▽Zope 2.9.x 系──────────────────────────
Zope 2.9.8がリリースされた。
http://www.zope.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会　情報通信技術分科会（第49回）議事録
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/bunkakai/pdf/070524_3.pdf

▽トピックス
IPA/ISEC、情報セキュリティ対策ベンチマーク英語版を公開
http://www.ipa.go.jp/security/english/benchmark_system.html

▽トピックス
トレンドマイクロ、ウイルスバスターコーポレートエディション 8.0 再公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=979

▽トピックス
CA、2007 Project & Portfolio Management Summitにおいて最多の受賞およびノミネートを獲得し、業界でのリーダーシップを発揮
http://www.ca.com/jp/press/Release.aspx?CID=147088

▽トピックス
NTTドコモ、「SO903iTV」の一時販売停止のお知らせ
http://www.nttdocomo.co.jp/info/notice/page/070704_00.html

▽トピックス
サイバートラスト、弊社ネットワーク機器のメンテナンスに伴うお問い合わせ、e-メールに関するお願い
http://www.cybertrust.ne.jp/info/2007/070704.html

▽トピックス
キングソフト、「キングソフトオフィス2007」が第9回ベクタープロレジ大賞「文書作成部門賞」にノミネート
http://shop.vector.co.jp/service/special/award/#docu

▽トピックス
キヤノンシステムソリューソンズ、「NOD32アンチウイルス V2.7」シリーズ特別価格にて2007年7月27日(金）より販売開始
http://www.canon-sol.co.jp/topics/20070705nod.html

▽トピックス
ニーモニックセキュリティ、スマートフォンを統合管理するセキュリティスイート『ＭＧＳＳ』を発売
http://www.value-press.com/pressrelease.php?article_id=15590&medium_id=969

▽トピックス
凸版印刷、データセンターTOPICAで「サイボウズ Office セキュアASPサービス」の「セキュアケータイ・オプション」を提供開始
http://www.toppan.co.jp/

▽トピックス
RSAセキュリティ、コンプライアンスおよびセキュリティのための統合ログ管理アプライアンスRSA enVisionを発売
http://japan.rsa.com

▽トピックス
アイティーブーストのレンタルサーバ「エクスビット」「プレミアエクスビット」上でトランスウエア Web メール製品「Active! mail」の提供開始
http://www.transware.co.jp/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2380

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2379

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2378

▽統計・資料
JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計
http://www.nic.ad.jp/ja/stat/ip/20070705.html

▽ウイルス情報
シマンテック、Spyware.DataDoctorKey
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070522-2819-99

▽ウイルス情報
シマンテック、W32.Weakling
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070521-2118-99

▽ウイルス情報
シマンテック、W32.Piffle
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070520-3534-99

▽ウイルス情報
シマンテック、SpyReaper
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070515-0724-99

▽ウイルス情報
シマンテック、W32.Netsky.BG@mm
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070514-0712-99

▽ウイルス情報
シマンテック、Spyware.ISnake
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070510-1358-99

▽ウイルス情報
ソフォス、W32/Tilebot-JY (英語)
http://www.sophos.com/security/analyses/w32tilebotjy.html

▽ウイルス情報
ソフォス、Troj/SCLog-AM (英語)
http://www.sophos.com/security/analyses/trojsclogam.html

▽ウイルス情報
ソフォス、Troj/SCLog-AN (英語)
http://www.sophos.com/security/analyses/trojsclogan.html

▽ウイルス情報
ソフォス、Troj/SCLog-AO (英語)
http://www.sophos.com/security/analyses/trojsclogao.html

▽ウイルス情報
ソフォス、Troj/Dropper-PV (英語)
http://www.sophos.com/security/analyses/trojdropperpv.html

▽ウイルス情報
ソフォス、Troj/Cimuz-CM (英語)
http://www.sophos.com/security/analyses/trojcimuzcm.html

▽ウイルス情報
ソフォス、Troj/Bdoor-AER (英語)
http://www.sophos.com/security/analyses/trojbdooraer.html

▽ウイルス情報
ソフォス、Troj/Agent-FWJ (英語)
http://www.sophos.com/security/analyses/trojagentfwj.html

▽ウイルス情報
ソフォス、Troj/Startp-K (英語)
http://www.sophos.com/security/analyses/trojstartpk.html

▽ウイルス情報
ソフォス、Troj/SCLog-AJ (英語)
http://www.sophos.com/security/analyses/trojsclogaj.html

▽ウイルス情報
ソフォス、Troj/SCLog-AI (英語)
http://www.sophos.com/security/analyses/trojsclogai.html

▽ウイルス情報
ソフォス、Troj/SCLog-AK (英語)
http://www.sophos.com/security/analyses/trojsclogak.html

▽ウイルス情報
ソフォス、Troj/SCLog-AL (英語)
http://www.sophos.com/security/analyses/trojsclogal.html

▽ウイルス情報
ソフォス、Mal/TinyDL-E (英語)
http://www.sophos.com/security/analyses/maltinydle.html

▽ウイルス情報
ソフォス、Troj/Banloa-CC (英語)
http://www.sophos.com/security/analyses/trojbanloacc.html

▽ウイルス情報
ソフォス、Troj/Dropper-PD
http://www.sophos.co.jp/security/analyses/trojdropperpd.html

▽ウイルス情報
ソフォス、W32/Rbot-GRW (英語)
http://www.sophos.com/security/analyses/w32rbotgrw.html

▽ウイルス情報
ソフォス、Troj/SpamToo-AU (英語)
http://www.sophos.com/security/analyses/trojspamtooau.html

▽ウイルス情報
ソフォス、Troj/Istbar-DI (英語)
http://www.sophos.com/security/analyses/trojistbardi.html

▽ウイルス情報
ソフォス、Mal/Goldun-A (英語)
http://www.sophos.com/security/analyses/malgolduna.html

▽ウイルス情報
ソフォス、Mal/Lydra-A (英語)
http://www.sophos.com/security/analyses/mallydraa.html

▽ウイルス情報
ソフォス、Troj/SpamToo-AT
http://www.sophos.co.jp/security/analyses/trojspamtooat.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GWN (英語)
http://www.sophos.com/security/analyses/trojdwnldrgwn.html

▽ウイルス情報
ソフォス、Troj/Agent-FXU (英語)
http://www.sophos.com/security/analyses/trojagentfxu.html

▽ウイルス情報
ソフォス、Troj/Small-EJO (英語)
http://www.sophos.com/security/analyses/trojsmallejo.html

▽ウイルス情報
ソフォス、Troj/PWS-ANY (英語)
http://www.sophos.com/security/analyses/trojpwsany.html

▽ウイルス情報
ソフォス、Troj/Agent-FXV (英語)
http://www.sophos.com/security/analyses/trojagentfxv.html

▽ウイルス情報
ソフォス、Troj/Bancos-BCV (英語)
http://www.sophos.com/security/analyses/trojbancosbcv.html

▽ウイルス情報
ソフォス、Troj/IRCFlood-Q
http://www.sophos.co.jp/security/analyses/trojircfloodq.html

▽ウイルス情報
ソフォス、Troj/ConycSp-AC (英語)
http://www.sophos.com/security/analyses/trojconycspac.html

▽ウイルス情報
ソフォス、Troj/Cimuz-CL (英語)
http://www.sophos.com/security/analyses/trojcimuzcl.html

▽ウイルス情報
ソフォス、Troj/Nonaco-Gen (英語)
http://www.sophos.com/security/analyses/trojnonacogen.html

▽ウイルス情報
マカフィー、Downloader-BDB
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-BDB

▽ウイルス情報
マカフィー、W32/Winko.worm
http://www.mcafee.com/japan/security/virW.asp?v=W32/Winko.worm

▽ウイルス情報
マカフィー、W32/Crimea.dr
http://www.mcafee.com/japan/security/virC.asp?v=W32/Crimea.dr

◆アップデート情報◆
───────────────────────────────────
●Debianがgfaxのアップデートをリリース
───────────────────────────────────
Debianがgfaxのアップデートをリリースした。このアップデートによって、gfaxにおける問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo LinuxがWebminおよびUserminのアップデートをリリース
───────────────────────────────────
Gentoo LinuxがWebminおよびUserminのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Mandriva Linuxがapacheのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがapacheのアップデートをリリースした。このアップデートによって、apacheにおける複数の問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●MIRACLE Linuxが複数のアップデートをリリース
───────────────────────────────────
Miracle Linuxがwv、sudoおよびstunnelのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●SuSE Linuxがfileおよびfreetype2のアップデートをリリース
───────────────────────────────────
SuSE Linuxがfileおよびfreetype2のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

SuSe Security Announcement
http://www.suse.de/de/security/

《ScanNetSecurity》