セキュリティホール情報<2007/10/05> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

セキュリティホール情報<2007/10/05>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽InterBase────────────────────────────
InterBaseは、細工されたattachリクエストを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/05 登録

危険度:
影響を受けるバージョン:8.1.0.257未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sun Java Runtime Environment (JRE)────────────────
Sun Java Runtime Environment (JRE)は、ファイルの取り扱いが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデスクトップアプリケーションのパーミションで任意のシステムファイルを動かされたりコピーされる可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:1.3.1_20未満、1.4.2_15未満、5 Update12未満、
6 Update 2未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Ossigeno CMS───────────────────────────
Ossigeno CMSは、細工されたURLリクエストをfooter.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:2.2a3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Web Templates Management System─────────────────
Web Templates Management Systemは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FeedBurner FeedSmith───────────────────────
FeedBurner FeedSmithは、ユーザ入力を適切にチェックしないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたりキャッシュを汚染される可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:2.2未満
影響を受ける環境:UNIX、Linux、Windows
回避策:2.3以降へのバージョンアップ

▽Boost module for Drupal─────────────────────
Boost module for Drupalは、ディレクトリが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:4.7.x-1、5.x-0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Project issue tracking module for Drupal─────────────
Project issue tracking module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:4.7.x-1、4.7.x-2.x、5.x-1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽DFD Cart─────────────────────────────
DFD Cartは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/05 登録

危険度:中
影響を受けるバージョン:1.1.4
影響を受ける環境:UNIX、Linux、Windows
回避策:1.1.5以降へのバージョンアップ

▽DRBGuestbook───────────────────────────
DRBGuestbookは、jump.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/10/04 登録

危険度:中
影響を受けるバージョン:1.1.13
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pidgin──────────────────────────────
Pidginは、nudge functionalityが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にlibpurpleをクラッシュされる可能性がある。 [更新]
2007/10/02 登録

危険度:低
影響を受けるバージョン:2.2.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.1以降へのバージョンアップ

▽Zomplog─────────────────────────────
Zomplogは、upload_files.phpスクリプトがファイル拡張子を適切にチェックしないことで任意のPHPファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2007/10/02 登録

危険度:中
影響を受けるバージョン:3.8.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽OpenSSL─────────────────────────────
RSAアルゴリズムを使用するOpenSSLは、BSSL_get_shared_ciphers () 機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。 [更新]
2007/10/02 登録

危険度:高
影響を受けるバージョン:0.9.7m未満、0.9.8e未満
影響を受ける環境:UNIX、Linux、Windows
回避策:OpenSSL_0_9_8-stable branchへのバージョンアップ

▽ELinks──────────────────────────────
ELinksは、プロクシに細工されたポストリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/09/26 登録

危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ

▽Google Urchin──────────────────────────
Google Urchinは、session.cgiスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/26 登録

危険度:中
影響を受けるバージョン:5.7.03未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽OpenSSL─────────────────────────────
RSAアルゴリズムを使用するOpenSSLは、BN_from_montgomery () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/08/06 登録

危険度:低
影響を受けるバージョン:0.9.8e以前
影響を受ける環境:UNIX、Linux、Windows
回避策:パッチのインストール

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple QuickTime─────────────────────────
Apple QuickTimeは、細工されたQTLファイルを開くよう誘導されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/10/05 登録

危険度:高
影響を受けるバージョン:7.2
影響を受ける環境:Windows
回避策:7.2以降へのバージョンアップ

▽Alt-N WebAdmin──────────────────────────
Alt-N WebAdminは、useredit_account.wdmスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に他のユーザのアカウントへの無許可のアクセス権を奪取される可能性がある。
2007/10/05 登録

危険度:低
影響を受けるバージョン:3.0.2以前
影響を受ける環境:Windows
回避策:3.0.4以降へのバージョンアップ

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Firebird─────────────────────────────
Firebirdは、細工されたattachリクエストを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/05 登録

危険度:
影響を受けるバージョン:2.0.3.12981未満
影響を受ける環境:UNIX、Linux
回避策:2.0.3.12981へのバージョンアップ

▽X.Org XFS────────────────────────────
X.Org XFSは、swap_char2b () 機能に細工されたリクエストを送信されることが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/10/04 登録

危険度:高
影響を受けるバージョン:X11R7.2-1.0.4
影響を受ける環境:UNIX、Linux
回避策:1.0.5以降へのバージョンアップ

▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris Named Pipesでのエラーが原因でメモリへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/10/04 登録

危険度:低
影響を受けるバージョン:8 x86、8 SPARC、9 x86、9 SPARC、10 x86、
10 SPARC
影響を受ける環境:UNIX、Linux、Sun Solaris
回避策:ベンダの回避策を参照

▽Kerberos─────────────────────────────
Kerberosは、細工されたデータを送信されることなどが原因でスタックオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/09/05 登録

危険度:中
影響を受けるバージョン:krb5-1.4〜krb5-1.6.2
影響を受ける環境:UNIX、Linux
回避策:krb5-1.6.3へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、ATMモジュールでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。
2007/10/05 登録

危険度:低
影響を受けるバージョン:2.4.35.3未満、2.6.20.2未満、2.6.22.7未満
影響を受ける環境:Linux
回避策:2.4.35.3、2.6.22.7および2.6.20.20以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、いくつかのWebCamのpwcドライバが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にUSBサブシステムにアクセスできなくされる可能性がある。 [更新]
2007/10/04 登録

危険度:低
影響を受けるバージョン:2.6.22.6未満
影響を受ける環境:Linux
回避策:2.6.22.9以降へのバージョンアップ

▽Linux kernel───────────────────────────
x86_64システム上で動作するLinux kernelは、コンテンツ切り替えの際にDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータをアクセス不能にされる可能性がある。 [更新]
2007/09/03 登録

危険度:低
影響を受けるバージョン:2.6.18未満
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenOffice.org──────────────────────────
OpenOffice.org 2.3.0日本語版がリリースされた。
http://ja.openoffice.org/news/release_announce_2_3.html

▽PC-BSD──────────────────────────────
PC-BSD 1.4がリリースされた。
http://www.pcbsd.org/

▽Apple Security Update──────────────────────
Apple Security Update for QuickTime 7.2 for Windowsがリリースされた。(日本語)
http://docs.info.apple.com/article.html?artnum=306560-ja

▽Apple Battery Update───────────────────────
Apple Battery Update 1.3がリリースされた。
http://www.apple.com/jp/ftp-info/reference/batteryupdate13.html

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.40.01がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.23-rc9-git2がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「電子自治体の推進に関する懇談会」第2回会合
http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/denshijichi_suisin/071001_1.html

▽トピックス
JVN、Apple QuickTime に任意のコマンドが実行される脆弱性 [更新]
http://jvn.jp/cert/JVNVU%23751808/index.html

▽トピックス
IPA/ISEC、[認証製品リスト] に2件追加
http://www.ipa.go.jp/security/jisec/cert_list.html

▽トピックス
JNSA、情報セキュリティ教育事業者連絡会(ISEPA)のページを公開
http://www.jnsa.org/isepa/index.html

▽トピックス
シマンテック、エンドポイントセキュリティの新製品を発売
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20071004_01

▽トピックス
Dr.WEB、2007年 9月のウイルス・スパムレビュー
http://drweb.jp/news/?20071004

▽トピックス
Ruby、net/httpsライブラリにおける「中間者によるなりすまし攻撃」に対する脆弱性について
http://www.ruby-lang.org/ja/news/2007/10/04/isecpartners-com-2007-006-rubyssl/

▽トピックス
NTTドコモ、「2in1」の機能を拡充 -番号ごとの着信回避機能およびBアドレスで利用するWEBメールの自動端末保存機能を追加-
http://www.nttdocomo.co.jp/info/news_release/page/071004_00.html

▽トピックス
NTT、オープンソース・ソフトウェア(OSS)の普及展開に向けた取り組みについて
http://www.ntt.co.jp/news/news07/0710/071004a.html

▽トピックス
NTTコミュニケーションズ、「Arcstar IP-VPN」における「通信先アドレス制御機能」の提供開始について
http://www.ntt.com/serviceinfo/2007/10/s_1004.html

▽トピックス
和歌山市とマイクロソフトが、学校の情報化に向けた連携事業に合意
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3218

▽トピックス
マイクロソフト、高度IT人材育成の新しい取組み「全国高専キャラバン」
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3216

▽トピックス
ライフボート、Windows PE 2.0に対応したサーバOS対応のバックアップツール『LB Image Backup 8 Server』を10月19日より販売開始
http://www.lifeboat.jp/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2602

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2599

▽統計・資料
JPNIC、gTLDの登録数を更新
http://www.nic.ad.jp/ja/stat/dom/gtld.html

▽統計・資料
JPNIC、JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計を更新
http://www.nic.ad.jp/ja/stat/ip/20071004.html

▽ウイルス情報
ソフォス、Troj/Delf-EYG (英語)
http://www.sophos.com/security/analyses/trojdelfeyg.html

▽ウイルス情報
ソフォス、W32/Dabber-D (英語)
http://www.sophos.com/security/analyses/w32dabberd.html

▽ウイルス情報
ソフォス、Troj/Dload-O (英語)
http://www.sophos.com/security/analyses/trojdloado.html

▽ウイルス情報
ソフォス、Troj/Banloa-EP (英語)
http://www.sophos.com/security/analyses/trojbanloaep.html

▽ウイルス情報
ソフォス、Mal/Emogen-E (英語)
http://www.sophos.com/security/analyses/malemogene.html

▽ウイルス情報
ソフォス、Troj/Agent-GDP (英語)
http://www.sophos.com/security/analyses/trojagentgdp.html

▽ウイルス情報
ソフォス、Troj/Allaple-A (英語)
http://www.sophos.com/security/analyses/trojallaplea.html

▽ウイルス情報
ソフォス、Mal/AmpDial-A (英語)
http://www.sophos.com/security/analyses/malampdiala.html

▽ウイルス情報
ソフォス、Troj/Dorf-V (英語)
http://www.sophos.com/security/analyses/trojdorfv.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEJ (英語)
http://www.sophos.com/security/analyses/trojdloadrbej.html

▽ウイルス情報
ソフォス、W32/Brontok-DO
http://www.sophos.co.jp/security/analyses/w32brontokdo.html

▽ウイルス情報
ソフォス、Mal/PWS-N (英語)
http://www.sophos.com/security/analyses/malpwsn.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEI (英語)
http://www.sophos.com/security/analyses/trojdloadrbei.html

▽ウイルス情報
ソフォス、Troj/Zlob-AEX (英語)
http://www.sophos.com/security/analyses/trojzlobaex.html

▽ウイルス情報
ソフォス、Troj/Agent-GDO (英語)
http://www.sophos.com/security/analyses/trojagentgdo.html

▽ウイルス情報
ソフォス、Troj/DownLd-C (英語)
http://www.sophos.com/security/analyses/trojdownldc.html

▽ウイルス情報
ソフォス、Dial/AmpDil-Gen (英語)
http://www.sophos.com/security/analyses/dialampdilgen.html

▽ウイルス情報
ソフォス、W32/Brontok-CV
http://www.sophos.co.jp/security/analyses/w32brontokcv.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GYB (英語)
http://www.sophos.com/security/analyses/trojdwnldrgyb.html

▽ウイルス情報
ソフォス、Troj/Labrap-B
http://www.sophos.co.jp/security/analyses/trojlabrapb.html

▽ウイルス情報
ソフォス、Troj/ByteVeri-Z (英語)
http://www.sophos.com/security/analyses/trojbyteveriz.html

▽ウイルス情報
ソフォス、W32/Rbot-GUA
http://www.sophos.co.jp/security/analyses/w32rbotgua.html

▽ウイルス情報
ソフォス、Troj/Zlobar-Fam (英語)
http://www.sophos.com/security/analyses/trojzlobarfam.html

▽ウイルス情報
ソフォス、Troj/Small-EKN (英語)
http://www.sophos.com/security/analyses/trojsmallekn.html

▽ウイルス情報
ソフォス、Troj/Fortn-Fam (英語)
http://www.sophos.com/security/analyses/trojfortnfam.html

▽ウイルス情報
ソフォス、W32/Agobot-AIZ
http://www.sophos.co.jp/security/analyses/w32agobotaiz.html

◆アップデート情報◆
───────────────────────────────────
●FreeBSDがopensslのアップデートをリリース
───────────────────────────────────
FreeBSDがopensslのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサーバをクラッシュされる問題が修正される。

FreeBSD Security Information
http://www.freebsd.org/security/

───────────────────────────────────
●Mandriva Linuxがopensslのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがopensslのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサーバをクラッシュされる問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●Gentoo Linuxがlibrcpsecgssのアップデートをリリース
───────────────────────────────────
Gentoo Linuxがlibrcpsecgssのアップデートをリリースした。このアップデートによって、librcpsecgssにおける問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがelinksおよびtzdataのアップデートをリリース
───────────────────────────────────
RedHat Linuxがelinksおよびtzdataのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  8. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. 偽の警告文を表示する詐欺サイトが急増、警察庁を装い罰金を要求するケースも(キヤノンITS)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×