セキュリティホール情報<2007/11/22> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2007/11/22>

製品・サービス・業界動向 業界動向

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽TalkBack─────────────────────────────
TalkBackは、細工されたURLリクエストをmy-comments-display-tpl.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/22 登録

危険度:中
影響を受けるバージョン:2.2.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽bcoos──────────────────────────────
bcoosは、click.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/22 登録

危険度:中
影響を受けるバージョン:1.0.10
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Feed2JS─────────────────────────────
Feed2JSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/11/22 登録

危険度:中
影響を受けるバージョン:1.9、1.91、1.91b
影響を受ける環境:Mac OS X、Windows
回避策:1.92以降へのバージョンアップ

▽IBM Lotus Domino─────────────────────────
IBM Lotus Dominoは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/11/22 登録

危険度:中
影響を受けるバージョン:6.5.6 FP1未満、7.0、7.0.2、7.0.2 FP1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM Director───────────────────────────
IBM Directorは、CIMサーバがアクティブでない接続を適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを全て消費されたりサーバをクラッシュされる可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:5.20.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FlatNuke─────────────────────────────
FlatNukeは、verify.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のPHPファイルの内容を修正される可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:2.5.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WordPress────────────────────────────
WordPressは、ある特定のケースで任意のユーザアカウントにアクセスされることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のユーザのための正当な認証クッキーを生成される可能性がある。 [更新]
2007/11/21 登録

危険度:低
影響を受けるバージョン:2.3.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHP───────────────────────────────
PHPは、fnmatch()、setlocale()およびglob()機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にフィルタリング機能を回避されて権限を昇格される可能性がある。 [更新]
2007/11/13 登録

危険度:中
影響を受けるバージョン:5.2.5未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.5へのバージョンアップ

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SkyPortal────────────────────────────
SkyPortalは、nc_top.asp、inc_bookmarks.asp、cp_main.asp、inc_profile_functions.aspおよびinc_SUBSCRIPTIONS.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/22 登録

危険度:中
影響を受けるバージョン:RC6
影響を受ける環境:Windows
回避策:公表されていません

▽Ability Mail Server───────────────────────
Ability Mail Serverは、IMAP4コマンドを適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:2.60
影響を受ける環境:Windows
回避策:2.61以降へのバージョンアップ

▽Invensys Wonderware InTouch───────────────────
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。 [更新]
2007/11/20 登録

危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IRC Services───────────────────────────
IRC Servicesは、default_encrypt ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:5.0.62、5.1.6
影響を受ける環境:UNIX、Linux
回避策:5.1.9以降へのバージョンアップ

▽PCRE───────────────────────────────
PCREは、regular expressionsを適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にライブラリをクラッシュされる可能性がある。
2007/11/22 登録

危険度:高
影響を受けるバージョン:6.9未満
影響を受ける環境:UNIX、Linux
回避策:7.4以降へのバージョンアップ

▽PuTTY for Unix──────────────────────────
PuTTY for Unixは、ppk filesのキーを誰でも読み取れることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:0.58
影響を受ける環境:UNIX、Linux
回避策:0.60以降へのバージョンアップ

▽TeX Live─────────────────────────────
TeX Liveは、feynmf.plが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2007/11/19 登録

危険度:中
影響を受けるバージョン:2007
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽libpng──────────────────────────────
libpngは、pngset.cファイルのICC-profile png_set_iCCP機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/11/12 登録

危険度:低
影響を受けるバージョン:1.2〜1.2.20、1.0.29beta1未満
影響を受ける環境:UNIX、Linux
回避策:各ベンダの回避策を参照

▽Xpdf───────────────────────────────
Xpdfは、DCTStream::readProgressiveDataUnit()機能が原因で細工されたPDFファイルを開くよう誘導されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/08 登録

危険度:高
影響を受けるバージョン:3.02、3.02pl1.patch
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、Dos攻撃を受ける未知のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にある特定のプロセスを失敗される可能性がある。
2007/11/22 登録

危険度:低
影響を受けるバージョン:全てのバージョン
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ

▽I Hear U─────────────────────────────
I Hear Uは、ring()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/11/21 登録

危険度:低
影響を受けるバージョン:0.5.6
影響を受ける環境:Linux
回避策:0.5.7以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Samba──────────────────────────────
Samba 3.0.27aがリリースされた。
http://us1.samba.org/samba/

▽GPL Ghostscript─────────────────────────
GPL Ghostscript 8.61がリリースされた。
http://www.cs.wisc.edu/~ghost/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.24-rc3-mm1がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、第2回インターネットガバナンスフォーラムについて
http://www.soumu.go.jp/s-news/2007/071121_3.html

▽トピックス
総務省、情報通信審議会 情報通信政策部会 デジタル・コンテンツの流通の促進等に関する検討委員会(第28回)の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/071127_3.html

▽トピックス
総務省、インターネット上の違法・有害情報への対応に関する検討会(第1回)の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_illegal/071126_1.html

▽トピックス
総務省、「インターネット上の違法・有害情報への対応に関する検討会」の開催
http://www.soumu.go.jp/s-news/2007/071121_2.html

▽トピックス
@police、インターネット治安情勢更新(平成19年10月報を追加)
http://www.cyberpolice.go.jp/detect/

▽トピックス
警察庁、振り込め詐欺(恐喝)の防犯対策を更新
http://www.npa.go.jp/safetylife/seianki31/1_hurikome.htm

▽トピックス
JVN、FileMaker におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN%2355833292/index.html

▽トピックス
ソフォス、法人向け統合セキュリティソリューション「Sophos Email Security and Control」を強化
http://www.sophos.co.jp/email

▽トピックス
au、「au one カレンダー」(旧:Myスケジュール)アプリのバージョンアップ対応のお願い
http://www.au.kddi.com/news/au_top/information/au_info_20071122125905.html

▽トピックス
au、システムメンテナンス工事のお知らせ(11/27-28)
http://www.au.kddi.com/news/au_top/information/au_info_20071121170334.html

▽トピックス
au、ぷりペイドサービス−メンテナンス工事のお知らせ
http://www.au.kddi.com/news/information/au_info_20071121.html

▽トピックス
NTTコミュニケーションズ、「セキュアリモートデスクトップ“MagicConnect”」の海外展開開始について
http://www.ntt.com/release/2007NEWS/0011/1121.html

▽トピックス
ISAO、セキュリティ対策標準装備の高機能メールシステムを中小企業、ISPおよびホスティング事業者向けに販売開始
http://www.isao.co.jp/

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2720

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2719

▽ウイルス情報
シマンテック、ErrorInspector
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-112111-4439-99

▽ウイルス情報
シマンテック、W32.Shangxing.A
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-112111-3531-99

▽ウイルス情報
ソフォス、Troj/LegMa-Gen (英語)
http://www.sophos.com/security/analyses/trojlegmagen.html

▽ウイルス情報
ソフォス、Troj/WowStl-Gen (英語)
http://www.sophos.com/security/analyses/trojwowstlgen.html

▽ウイルス情報
ソフォス、Troj/PWSSa-Gen (英語)
http://www.sophos.com/security/analyses/trojpwssagen.html

▽ウイルス情報
ソフォス、Troj/ServU-FB (英語)
http://www.sophos.com/security/analyses/trojservufb.html

▽ウイルス情報
ソフォス、Troj/Kaiten-W (英語)
http://www.sophos.com/security/analyses/trojkaitenw.html

▽ウイルス情報
ソフォス、Mal/BenDial-A (英語)
http://www.sophos.com/security/analyses/malbendiala.html

▽ウイルス情報
ソフォス、Troj/Singu-BD (英語)
http://www.sophos.com/security/analyses/trojsingubd.html

▽ウイルス情報
ソフォス、Troj/RSTDoor-B (英語)
http://www.sophos.com/security/analyses/trojrstdoorb.html

▽ウイルス情報
ソフォス、Troj/Bdoor-AIL (英語)
http://www.sophos.com/security/analyses/trojbdoorail.html

▽ウイルス情報
ソフォス、W32/Tilebot-KO (英語)
http://www.sophos.com/security/analyses/w32tilebotko.html

▽ウイルス情報
ソフォス、Troj/Bdoor-AIH (英語)
http://www.sophos.com/security/analyses/trojbdooraih.html

▽ウイルス情報
ソフォス、Troj/Bancos-BDM (英語)
http://www.sophos.com/security/analyses/trojbancosbdm.html

▽ウイルス情報
ソフォス、W32/IRCBot-ZE (英語)
http://www.sophos.com/security/analyses/w32ircbotze.html

▽ウイルス情報
ソフォス、W32/SillyFD-K (英語)
http://www.sophos.com/security/analyses/w32sillyfdk.html

▽ウイルス情報
ソフォス、W32/Drowor-A
http://www.sophos.co.jp/security/analyses/w32drowora.html

▽ウイルス情報
ソフォス、Troj/Agent-GGO (英語)
http://www.sophos.com/security/analyses/trojagentggo.html

▽ウイルス情報
ソフォス、Troj/PcClien-KX (英語)
http://www.sophos.com/security/analyses/trojpcclienkx.html

▽ウイルス情報
ソフォス、Troj/WowSta-Gen (英語)
http://www.sophos.com/security/analyses/trojwowstagen.html

▽ウイルス情報
ソフォス、Troj/Renos-AM
http://www.sophos.co.jp/security/analyses/trojrenosam.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BFQ (英語)
http://www.sophos.com/security/analyses/trojdloadrbfq.html

▽ウイルス情報
ソフォス、JS/GlobLink-A (英語)
http://www.sophos.com/security/analyses/jsgloblinka.html

▽ウイルス情報
ソフォス、JS/Framer-A (英語)
http://www.sophos.com/security/analyses/jsframera.html

▽ウイルス情報
ソフォス、Troj/Framer-A (英語)
http://www.sophos.com/security/analyses/trojframera.html

▽ウイルス情報
ソフォス、Troj/Iframe-H (英語)
http://www.sophos.com/security/analyses/trojiframeh.html

▽ウイルス情報
ソフォス、Troj/BHONew-Gen (英語)
http://www.sophos.com/security/analyses/trojbhonewgen.html

▽ウイルス情報
ソフォス、Troj/Dropper-SJ (英語)
http://www.sophos.com/security/analyses/trojdroppersj.html

▽ウイルス情報
ソフォス、Troj/Psyme-FQ (英語)
http://www.sophos.com/security/analyses/trojpsymefq.html

◆アップデート情報◆
───────────────────────────────────
●Debianがkdegraphicsのアップデートをリリース
───────────────────────────────────
Debianがkdegraphicsのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●RedHat Linuxがrhn-client-toolsのアップデートをリリース
───────────────────────────────────
RedHat Linuxがrhn-client-toolsのアップデートパッケージをリリースした。このアップデートによって、rhn-client-toolsにおける問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/

───────────────────────────────────
●Slackwareがlibpng for Slackwareおよびlibpngのアップデートをリリース
───────────────────────────────────
Slackwareがlibpng for Slackwareおよびlibpngのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2007
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  2. Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

    Raspberry PiにKali linuxをセット、「ホワイトハッカ育成ツール」発売(スペクトラム・テクノロジー)

  3. 30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

    30年度サイバーセキュリティ政府予算730億円、防衛省と厚労省が各45億円超(NISC)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. ルートゾーンKSKロールオーバーのプロセス開始、DNSパケットサイズに注意(JPRS)

  6. 新アルゴリズムを開発、古い制御システムでもサイバー攻撃対策が可能に(日立)

  7. Apache Strutsの脆弱性リスクの有無を判断できるツールを無料配布(Black Duck Software)

  8. 顔認証システムの現状、顔写真を使った「なりすまし」も3Dデータ照合で防ぐ

  9. ルートゾーンKSKロールオーバーの「新KSKでの署名開始」を延期(JPRS)

  10. マルウェア侵入の検知を高精度化するAI技術を開発、侵入前後の違いを検知(富士通研究所)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×