セキュリティホール情報<2007/10/24> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.17(火)

セキュリティホール情報<2007/10/24>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽WebIf──────────────────────────────
WebIfは、cgi-bin/webif.exeスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Hackish CMS───────────────────────────
Hackish CMSは、shoutbox/blocco.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:1.1 BETA
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IBM Lotus Domino─────────────────────────
IBM Lotus Dominoは、IMAPサーバとTCPポート143の間に接点を確立されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。
2007/10/24 登録

危険度:高
影響を受けるバージョン:6.5、7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Lotus Notes client────────────────────────
Lotus Notes clientは、細工されたノートデータベース(.nsf)あるいはノートテンプレート(.ntf)のアタッチメントを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:6.5、7.0、8.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Lotus Notes───────────────────────────
Lotus Notesは、細工されたHTMLメールを送信されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりDos攻撃を受ける可能性がある。
2007/10/24 登録

危険度:高
影響を受けるバージョン:6.5、7.0、8.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Sun Java Runtime Environment (JRE)────────────────
Sun Java Runtime Environment (JRE)は、未知のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。
2007/10/24 登録

危険度:高
影響を受けるバージョン:JDK 5 Update12未満、6 Update 2未満、
Sun JRE 1.3.1_20未満、1.4.2_15未満、
5 Update12未満、6 Update 2未満、
SDK 1.3.1_20未満、1.4.2_15未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM Lotus Notes─────────────────────────
IBM Lotus Notesは、Lotus Notes attachmentを使用した細工されたMicrosoft Word for DOS (.doc)ファイルを閲覧するよう誘導されることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりDos攻撃を受ける可能性がある。
2007/10/24 登録

危険度:高
影響を受けるバージョン:6.5、7.0、8.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PeopleAggregator─────────────────────────
PeopleAggregatorは、細工されたURLリクエストを多数のスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:1.2pre6r53未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHP Project Management──────────────────────
PHP Project Managementは、細工されたURLリクエストを多数のスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:0.8.10未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SocketMail Lite─────────────────────────
SocketMail Liteは、細工されたURLリクエストをfnc-readmail3.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2007/10/23 登録

危険度:中
影響を受けるバージョン:2.2.8
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozilla Firefox、Thunderbird、Seamonkeyは、バージョンアップ版を公開した。このアップデートにより、複数の問題が修正されている。最新版未満のバージョンでは、さまざまな攻撃を受ける可能性がある。 [更新]
2007/10/22 登録

危険度:高
影響を受けるバージョン:Firefox 2.0.0.8未満、
Thunderbird 2.0.0.8未満、
SeaMonkey 1.1.5未満
影響を受ける環境:UNIX、Linux、Windows
回避策:最新版へのバージョンアップ

▽Oracle製品────────────────────────────
オラクルが同社の製品の複数のセキュリティパッチを公開した。このアップデートにより、複数の問題が修正されている。最新版未満のバージョンでは、さまざまな攻撃を受ける可能性がある。 [更新]
2007/10/18 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽libpng──────────────────────────────
libpngは、pngset.cファイルのpng_handle_pCAL()、png_handle_sCAL()、png_push_read_tEXt()、png_handle_iTXt()およびpng_handle_ztXt()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/10/10 登録

危険度:低
影響を受けるバージョン:1.2.21未満
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.21以降へのバージョンアップ

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows Shell User Logon ActiveX control────────
Microsoft Windows Shell User Logon ActiveX controlは、shgina.dll libraryが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。 [更新]
2007/03/06 登録

危険度:中
影響を受けるバージョン:6.0.2900.2180
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Lotus Notes / Domino───────────────────────
Lotus NotesおよびDominoは、Everyoneのアクセス許可がデフォルトで共有されたメモリプロセスに割り当てられることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2007/10/24 登録

危険度:低
影響を受けるバージョン:Domino 6.5、7.0、Notes 6.5、7.0
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Lotus Notes client────────────────────────
Lotus Notes clientは、細工されたSMTPメッセージを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメールクライアントをクラッシュされる可能性がある。
2007/10/24 登録

危険度:低
影響を受けるバージョン:6.5、7.0、8.0
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Xfce Terminal──────────────────────────
Xfce Terminalは、terminal_helper_execute () 機能が原因でシステム上で任意のコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/07/17 登録

危険度:高
影響を受けるバージョン:0.2.6
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Nagios──────────────────────────────
Nagiosは、CGIスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/24 登録

危険度:中
影響を受けるバージョン:2.10未満
影響を受ける環境:Linux
回避策:2.10以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD─────────────────────────────
FreeBSD 7.0-BETA1がリリースされた。
http://www.freebsd.org/

▽Delegate─────────────────────────────
Delegate 9.7.5 (STABLE) がリリースされた。
http://www.delegate.org/delegate/

▽TOMOYO Linux───────────────────────────
TOMOYO Linux 1.5.1がリリースされた。
http://sourceforge.jp/projects/tomoyo/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.23-git19がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会 情報通信政策部会 デジタル・コンテンツの流通の促進等に関する検討委員会(第26回)の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/071029_1.html

▽トピックス
総務省、インターネットの円滑なIPv6移行に関する調査研究会第2回(平成19年10月16日)
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/ipv6/071016_2.html

▽トピックス
@police、Realplayer の脆弱性について(10/23)
http://www.cyberpolice.go.jp/important/2007/20071023_160558.html

▽トピックス
IPA/ISEC、「MD5の安全性の限界に関する調査研究」に関する事前確認公募について
http://www.ipa.go.jp/security/kobo/19fy/md5/index.html

▽トピックス
マクニカネットワークスとマカフィー、情報漏えい対策ソリューション 「McAfee Data Loss Prevention」の取り扱いに基本合意
http://www.mcafee.com/japan/about/prelease/pr_07b.asp?pr=07/10/24-1

▽トピックス
NTTドコモ、「ケータイあんしんパック」を提供
http://www.nttdocomo.co.jp/info/news_release/page/071023_00.html

▽トピックス
NTTドコモ、「メアド変えても転送サービス」の提供および「電話帳お預かりサービス」の機能追加
http://www.nttdocomo.co.jp/info/news_release/page/071023_01.html

▽トピックス
WILLCOM、ウィルコムストアの機能追加にともなうサービス停止のお知らせ(10月31日〜11月1日)
http://www.willcom-inc.com/ja/info/07102401.html

▽トピックス
マイクロソフト、セキュリティ インテリジェンス レポート 第 3 版 (2007 年上半期) を公開
http://www.microsoft.com/japan/security/sir.mspx

▽トピックス
ソフトイーサ、「MobileFree.jp VPN 実験サービス」を開始
http://www.softether.com/jp/news/071024.aspx

▽トピックス
ジャストシステム、日本語入力システム「ATOK 2007 for Mac」の「Mac OS X v10.5 Leopard」への対応について
http://www.justsystems.com/jp/os/macosx/

▽トピックス
トリニティーセキュリティーシステムズ、Webシステム上の機密情報を自動的に暗号化する情報漏えい防止ソリューション「Pirates Buster for WebDocument」を新発売
http://www.trinity-ss.com/

▽トピックス
北陸日本電気ソフトウェア、マスターキーのあるメール暗号化ソフト『UNgoM@il(アンゴウメール)』を発売
http://www.nec.co.jp/

▽トピックス
エントラストジャパン、サポートする認証方式を拡充し、セキュリティのさらなる強化を図った多目的認証サーバーの新バージョン「Entrust(R) IdentityGuard 9.0」 を販売開始
http://japan.entrust.com/

▽トピックス
エントラストジャパン、業界で初めてステップアップ認証に対応し、安定性・可用性をさらに向上 シングルサインオンソリューションの新バージョン「Entrust(R) GetAccess(TM) 8.0」を10月23日より販売開始
http://japan.entrust.com/

▽トピックス
エントラストジャパン、階層別のセキュリティ対策を提供する新戦略「レイヤードセキュリティ戦略」を発表
http://japan.entrust.com/

▽トピックス
デジタルアーツ、ヨドバシカメラ全店で「i-フィルター」のインストールサービスを開始
http://www.daj.jp/company/release/2007/r102301.htm

▽トピックス
ソフトバンクBB、法人向けパソコン資産管理「ISM Client Care」を専用サーバ不要、月額モデルにて「TEKI-PAKI」ASPサービスで提供開始
http://www.softbankbb.co.jp/news/press/2007/p1023_01.html

▽トピックス
日本クレジット産業協会、「個人情報保護法10章 第2版」 発刊
http://www.jccia.or.jp/shuppan.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2659

▽サポート情報
アンラボ、SpyZero 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2658

▽ウイルス情報
シマンテック、Trojan.Nssearch
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-101905-4937-99

▽ウイルス情報
シマンテック、W32.Usbwatch
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-102310-1429-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.163
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-102318-0451-99

▽ウイルス情報
シマンテック、Trojan.Pidief.A
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-102310-3513-99

▽ウイルス情報
ソフォス、Troj/MediaDel-A (英語)
http://www.sophos.com/security/analyses/trojmediadela.html

▽ウイルス情報
ソフォス、Troj/Legmir-ARN (英語)
http://www.sophos.com/security/analyses/trojlegmirarn.html

▽ウイルス情報
ソフォス、Mal/Murlo-B (英語)
http://www.sophos.com/security/analyses/malmurlob.html

▽ウイルス情報
ソフォス、Troj/Psyme-FN (英語)
http://www.sophos.com/security/analyses/trojpsymefn.html

▽ウイルス情報
ソフォス、Troj/Pushdo-Gen
http://www.sophos.co.jp/security/analyses/trojpushdogen.html

▽ウイルス情報
ソフォス、Troj/Flood-II (英語)
http://www.sophos.com/security/analyses/trojfloodii.html

▽ウイルス情報
ソフォス、Mal/Hupig-B (英語)
http://www.sophos.com/security/analyses/malhupigb.html

▽ウイルス情報
ソフォス、Troj/IRCBot-YS (英語)
http://www.sophos.com/security/analyses/trojircbotys.html

▽ウイルス情報
ソフォス、Troj/FakeVir-AK (英語)
http://www.sophos.com/security/analyses/trojfakevirak.html

▽ウイルス情報
ソフォス、Sus/Feebsesk-A (英語)
http://www.sophos.com/security/analyses/susfeebseska.html

▽ウイルス情報
ソフォス、Mal/Behav-154 (英語)
http://www.sophos.com/security/analyses/malbehav154.html

▽ウイルス情報
ソフォス、Mal/BHO-E (英語)
http://www.sophos.com/security/analyses/malbhoe.html

▽ウイルス情報
ソフォス、Mal/BHO-F (英語)
http://www.sophos.com/security/analyses/malbhof.html

▽ウイルス情報
ソフォス、Troj/Reapall-A (英語)
http://www.sophos.com/security/analyses/trojreapalla.html

▽ウイルス情報
ソフォス、Troj/DrpAgent-A (英語)
http://www.sophos.com/security/analyses/trojdrpagenta.html

▽ウイルス情報
ソフォス、W32/Vetor-G
http://www.sophos.co.jp/security/analyses/w32vetorg.html

▽ウイルス情報
ソフォス、W32/Multidr-FS (英語)
http://www.sophos.com/security/analyses/w32multidrfs.html

▽ウイルス情報
ソフォス、W32/Perlovg-B (英語)
http://www.sophos.com/security/analyses/w32perlovgb.html

▽ウイルス情報
ソフォス、Troj/Delbot-AQ (英語)
http://www.sophos.com/security/analyses/trojdelbotaq.html

▽ウイルス情報
ソフォス、W32/Rbot-GUO
http://www.sophos.co.jp/security/analyses/w32rbotguo.html

▽ウイルス情報
ソフォス、Troj/Psyme-FM (英語)
http://www.sophos.com/security/analyses/trojpsymefm.html

▽ウイルス情報
ソフォス、Troj/Nachi-A (英語)
http://www.sophos.com/security/analyses/trojnachia.html

▽ウイルス情報
ソフォス、Troj/DOD-A (英語)
http://www.sophos.com/security/analyses/trojdoda.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GYK (英語)
http://www.sophos.com/security/analyses/trojdwnldrgyk.html

▽ウイルス情報
ソフォス、W32/Agent-GEQ (英語)
http://www.sophos.com/security/analyses/w32agentgeq.html

▽ウイルス情報
ソフォス、Troj/Tansa-A (英語)
http://www.sophos.com/security/analyses/trojtansaa.html

▽ウイルス情報
ソフォス、W32/Sohana-AM
http://www.sophos.co.jp/security/analyses/w32sohanaam.html

▽ウイルス情報
ソフォス、VBS/Dmin-A (英語)
http://www.sophos.com/security/analyses/vbsdmina.html

▽ウイルス情報
ソフォス、Troj/Psyme-FM (英語)
http://www.sophos.com/security/analyses/trojpsymefm.html

◆アップデート情報◆
───────────────────────────────────
●Debianがxfce4-terminalのアップデートをリリース
───────────────────────────────────
Debianがxfce4-terminalのアップデートをリリースした。このアップデートによって、xfce4-terminalにおける問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●RedHat Linuxがlibpngのアップデートをリリース
───────────────────────────────────
RedHat Linuxがlibpngのアップデートパッケージをリリースした。このアップデートによって、アプリケーションをクラッシュされる問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. 偽の警告文を表示する詐欺サイトが急増、警察庁を装い罰金を要求するケースも(キヤノンITS)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×