セキュリティホール情報＜2008/05/14＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年5月14日（水） 15時15分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽MailGate Email Firewall─────────────────────
MailGate Email Firewallは、statusView.doがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：6.2.2 Build 4123
影響を受ける環境：UNIX、Linux、Windows
回避策：6.3.2以降へのバージョンアップ

▽CaLogic Calendars────────────────────────
CaLogic Calendarsは、細工されたSQLステートメントをuserreg.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.2.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Meto Forum────────────────────────────
Meto Forumは、細工されたSQLステートメントをkategori.asp、admin_kategori.asp、duzenle.aspおよびadmin_oki.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Fusebox─────────────────────────────
Fuseboxは、細工されたURLリクエストをfusebox5.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：5.5.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BLOG Engine plugin for e107───────────────────
BLOG Engine plugin for e107は、細工されたSQLステートメントをcomment.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Web Group Communication Center (WGCC)──────────────
Web Group Communication Center (WGCC)は、profile.php、picturegallery.php、filebase.php、schedule.phpおよびmessage.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.0.3 PreRelease 1未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Zogo-shop plugin for e107────────────────────
Zogo-shop plugin for e107は、細工されたSQLステートメントをproducts.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.16 Beta 13
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽AJ HYIP Acme───────────────────────────
AJ HYIP Acmeは、topic_detail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽EQdkp──────────────────────────────
EQdkpは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.3.2f
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP Classifieds─────────────────────────
PHP Classifiedsは、browse.phpおよびsearch.phpスクリプトに細工されたSQLステートメントを送信されることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WordPress────────────────────────────
WordPressは、vars.phpでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のページ上のセキュリティ制限を回避される可能性がある。
2008/05/14 登録

危険度：低
影響を受けるバージョン：2.2.2ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：2.2.3以降へのバージョンアップ

▽VLC───────────────────────────────
VLCは、検索パスと関係があるエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：高
影響を受けるバージョン：0.8.6eほか
影響を受ける環境：UNIX、Linux、Windows
回避策：0.9.0以降へのバージョンアップ

▽CMS Faethon───────────────────────────
CMS Faethonは、細工されたURLリクエストをheader.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.2 Ultimate
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpInstantGallery────────────────────────
phpInstantGalleryは、index.phpおよびimage.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Build A Niche Store (BANS)────────────────────
Build A Niche Store (BANS)は、searchスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BlogPHP─────────────────────────────
BlogPHPは、認証エラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽CMS Made Simple─────────────────────────
CMS Made Simpleは、javaUpload.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で悪意があるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.2.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ke_stats extension for TYPO3───────────────────
ke_stats extension for TYPO3は、特定されていないスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：0.1.2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：0.1.3以降へのバージョンアップ

▽ActualAnalyzer──────────────────────────
ActualAnalyzerは、view.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：Gold 7.74、Lite 2.78、Pro 6.95、
Server 8.37
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽pbsurvey extension for TYPO3───────────────────
pbsurvey extension for TYPO3は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.2.0未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.2.1以降へのバージョンアップ

▽wt_gallery extension for TYPO3──────────────────
wt_gallery extension for TYPO3は、任意のイメージファイルをダウンロードするときにエラーが発生することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.5.0未満
影響を受ける環境：UNIX、Linux、Windows
回避策：2.6.3以降へのバージョンアップ

▽rlmp_eventdb extension for TYPO3─────────────────
rlmp_eventdb extension for TYPO3は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.1.1未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.1.2以降へのバージョンアップ

▽IBM Lotus Quickr─────────────────────────
IBM Lotus Quickrは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：8.1
影響を受ける環境：UNIX、Windows
回避策：Hotfix 5のインストール

▽Citrix Access Gateway Standard / Advanced Edition────────
Citrix Access Gateway StandardおよびAdvanced Editionは、特定されていないエラーが原因で認証プロセスを回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にネットワークリソースへの無許可のアクセス権を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：4.5 HF2 Advanced、SE 4.5.5、SE 4.5.6、
SE 4.5.7
影響を受ける環境：Linux、Windows
回避策：パッチのインストール

▽Mega File Hosting Script─────────────────────
Mega File Hosting Scriptは、細工されたSQLステートメントをmembers.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Battle.net Clan Script──────────────────────
Battle.net Clan Scriptは、細工されたSQLステートメントをmembers.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.5.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽CyrixMED─────────────────────────────
CyrixMEDは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽RakNet──────────────────────────────
RakNetは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：3.2
影響を受ける環境：UNIX、Linux、Windows
回避策：3.23以降へのバージョンアップ

▽BosNews─────────────────────────────
BosNewsは、index.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2002、2006、2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Lazarus Guestbook────────────────────────
Lazarus Guestbookは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.2、1.2.1、1.3、1.4、1.5、1.5.2、1.5.3、
1.5.4、1.5.5、1.6、1.7、1.7.1、1.7.2
影響を受ける環境：UNIX、Linux、Windows
回避策：1.7.3以降へのバージョンアップ

▽doop CMS─────────────────────────────
doop CMSは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：1.3、1.3.5、1.3.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FlashChat────────────────────────────
FlashChatは、細工されたURLリクエストをconnection.phpあるいはcommon.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：4.7.9
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BIGACE──────────────────────────────
BIGACEは、細工されたURLリクエストをいくつかのスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：2.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽cPanel──────────────────────────────
cPanelは、WHMインタフェースがユーザ入力を適切にチェックしていないことなどが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたりキャッシュを汚染される可能性がある。 [更新]
2008/05/12 登録

危険度：中
影響を受けるバージョン：11.18.3
影響を受ける環境：UNIX、Linux、Windows
回避策：11.18.4以降へのバージョンアップ

▽MySQL──────────────────────────────
MySQLは、データディレクトリとインデックスディレクトリアーギュメントで修正されたMyISAMテーブルを作成することによってセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にfuture tablesへの無許可のアクセス権を奪取される可能性がある。 [更新]
2008/05/09 登録

危険度：中
影響を受けるバージョン：4.1、5.0、5.1、6.0.0
影響を受ける環境：UNIX、Linux、Windows
回避策：4.1.24以降および5.0.60以降へのバージョンアップ

▽Yahoo! Assistant ActiveX Control (yNotifier.dll)─────────
Yahoo! Assistant ActiveX Control (yNotifier.dll)は、細工されたアーギュメントを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/07 登録

危険度：高
影響を受けるバージョン：3.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Common Data Format (CDF)─────────────────────
Common Data Format (CDF)は、細工されたCDFファイルによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/07 登録

危険度：高
影響を受けるバージョン：3.2以前
影響を受ける環境：UNIX、Linux、Windows
回避策：3.2.1以降へのバージョンアップ

▽Kmita Mail────────────────────────────
Kmita Mailは、細工されたURLリクエストをhtmlcode.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/05/07 登録

危険度：中
影響を受けるバージョン：3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Mozilla Firefox / SeaMonkey───────────────────
Mozillaは、FirefoxおよびSeamonkeyのバージョンアップ版を公開した。このアップデートにより、複数の問題が修正される。最新版未満のバージョンでは、さまざまな攻撃を受ける可能性がある。 [更新]
2008/03/26 登録

危険度：高
影響を受けるバージョン：Firefox 2.0.0.13未満、
SeaMonkey 1.1.9未満
影響を受ける環境：UNIX、Linux、Windows
回避策：最新版へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Malware Protection Engine───────────────
多くの製品に搭載されているMicrosoft Malware Protection Engineは、細工されたファイルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にMicrosoft Malware Protection Engineの応答を停止され、自動的に再起動される可能性がある。
2008/05/14 登録

最大深刻度 : 警告
影響を受けるバージョン：Windows Live OneCare、Antigen for Exchange、
Antigen for SMTP Gateway、Windows Defender
Forefront Client Security、
Forefront Security for Exchange Server、
Forefront Security for SharePoint、
Diagnostics and Recovery Toolset 6.0 の
Standalone System Sweeper
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Jet Database Engine──────────────────
Microsoft Jet Database Engineは、細工されたデータベースクエリによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/05/14 登録

最大深刻度 : 緊急
影響を受けるバージョン：4.0
影響を受ける環境：Windows 2000 SP4、XP SP2、Server 2003 SP1
回避策：WindowsUpdateの実行

▽Microsoft Office Publisher────────────────────
Microsoft Office Publisherは、細工されたPublisherファイルや悪意あるWebサイトによってリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが攻撃者に完全に制御される可能性がある。
2008/05/14 登録

最大深刻度 : 緊急
影響を受けるバージョン：Office 2000 SP3、Office XP SP3、
Office 2003 SP2、SP3、
2007 Microsoft Office system、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Word──────────────────────────
Microsoft Wordは、細工されたWordファイルによってリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが攻撃者に完全に制御される可能性がある。
2008/05/14 登録

最大深刻度 : 緊急
影響を受けるバージョン：Office 2000 SP3、Office XP SP3、
Office 2003 SP2、SP3、
2007 Microsoft Office system、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、I2O Utility Filter driver (i2omgmt.sys) IOCTL handlerでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/05/14 登録

危険度：高
影響を受けるバージョン：XP
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Microsoft Windows CE───────────────────────
Microsoft Windows CEは、JPEG processing (GDI+)およびGIF imaging componentsでの特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/05/13 登録

危険度：高
影響を受けるバージョン：5.0
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、DisableCachingOfSSLPages レジストリのキーオプションが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にSSLが有効なWebページのキャッシュの内容を入手される可能性がある。 [更新]
2008/05/13 登録

危険度：低
影響を受けるバージョン：7
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Jet Database Engine──────────────────
Microsoft Jet Database Engine（JET）は、細工されたWordドキュメントによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/03/24 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Windows 2000、XP、Server 2003 SP1
回避策：公表されていません

▽Microsoft Windows────────────────────────
Microsoft Windowsは、AdobeのMacromedia Flash Playerがフラッシュアニメーション（SWF）ファイルを処理する際に複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが完全に制御される可能性がある。 [更新]
2006/11/15 登録

最大深刻度 : 緊急
影響を受けるバージョン：
影響を受ける環境：Windows XP SP2、SP3、Professional x64 Edition
回避策：WindowsUpdateの実行

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Novell Client for Windows────────────────────
Novell Client for Windowsは、LOGINW32.DLLモジュールでのユーザ入力を適切にチェックしていないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/05/14 登録

危険度：高
影響を受けるバージョン：4.91 SP4
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Xen───────────────────────────────
Xenは、hypervisor's para-virtualized framebuffer (PVBF)でのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアプリケーションをクラッシュされるなどの可能性がある。
2008/05/14 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Okyanus Medya──────────────────────────
Okyanus Medyaは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/14 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽rdesktop─────────────────────────────
rdesktopは、xrealloc機能でのsignednessエラーが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/09 登録

危険度：高
影響を受けるバージョン：1.5.0
影響を受ける環境：UNIX、Linux
回避策：CVS revision 1.162 of rdesktop.c以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WordNet─────────────────────────────
WordNetは、コマンドラインオプションを使って過度に長いストリングを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/05/14 登録

危険度：高
影響を受けるバージョン：2.0、2.1、3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenSSL─────────────────────────────
Linux distributions上で動作しているOpenSSLは、乱数ジェネレーターが予測可能な値を出すことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に暗号キーを奪取される可能性がある。
2008/05/14 登録

危険度：低
影響を受けるバージョン：0.9.8g-9
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽XEmacs / GNU Emacs────────────────────────
XEmacsおよびGNU Emacsは、ソースファイルのために高速のロックのファイル（.flc）を処理するときにエラーが発生することでるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のEmacs Lispコードを実行される可能性がある。
2008/05/14 登録

危険度：高
影響を受けるバージョン：XEmacs 21.4、21.5、Emacs 21.3.1
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux kernel───────────────────────────
Linux kernelは、fcntl_setlk()およびclose() calls間のSMP systemでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルをクラッシュされる可能性がある。 [更新]
2008/05/08 登録

危険度：低
影響を受けるバージョン：2.6.24 rc2ほか
影響を受ける環境：Linux
回避策：2.6.25.2以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、プリントサービスでの多数の特定されていないエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/05/13 登録

危険度：高
影響を受けるバージョン：10 SPARC、10 x86、9 SPARC、9 x86、8 SPARC、
8 x86
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX──────────────────────────────
HP-UXは、未知のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/05/13 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：HP/UX
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽fedora──────────────────────────────
fedora 9がリリースされた。
http://www.redhat.com/

▽Opera Mini────────────────────────────
Opera Mini 4.1がリリースされた。
http://www.operamini.com

▽INN───────────────────────────────
INN 2.4.4がリリースされた。
http://www.isc.org/sw/inn/

▽Microsoft Office 2008 for Mac──────────────────
Microsoft Office 2008 for Mac SP1がリリースされた。
http://www.microsoft.com/japan/mac/download/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-rc2-git2がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、地域の安心・安全情報基盤に関する研究会（第２回）
http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/ansin_anzen/080508_1.html

▽トピックス
総務省、情報通信審議会情報通信技術分科会ＩＴＵ−Ｔ部会セキュリティ・言語委員会（第１３回）の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/080520_3.html

▽トピックス
NISC、第6回基本計画検討委員会を開催
http://www.nisc.go.jp/conference/seisaku/kihon/index.html#index06

▽トピックス
@police、マイクロソフト社のセキュリティ修正プログラムについて(MS08-026,027,028,029)(5/14)
http://www.cyberpolice.go.jp/important/2008/20080514_110201.html

▽トピックス
@police、インターネット治安情勢更新(平成20年4月報を追加)(5/13)
http://www.cyberpolice.go.jp/detect/

▽トピックス
JPCERT/CC、2008年5月 Microsoft セキュリティ情報 (緊急 3件含) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080007.txt

▽トピックス
IPA/ISEC、Microsoft Jet Database Engine の脆弱性(MS08-028)について
http://www.ipa.go.jp/security/ciadr/vul/20080514-ms08-028.html

▽トピックス
ソフォス、ソフォスのメール保護ソリューションがプレミアム Checkmark 認証を受賞
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/checkmark.html

▽トピックス
ソフォス、ニュース：ベルギー、中国政府をサイバー諜報行為で非難
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/belgium.html

▽トピックス
ソフォス、ニュース：10代のハッキング犯罪集団ババリアで逮捕
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/hacksector.html

▽トピックス
Dr.WEB、迷惑メール対策製品『メールデーモン』の TurboLinux 11 Server 上での動作検証を実施
http://drweb.jp/news/?20080514

▽トピックス
KDDI、KDDI通信モジュールの新モデルの発売について
http://www.kddi.com/corporate/news_release/2008/0513/index.html

▽トピックス
マイクロソフト、2008 年 5 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-may.mspx

▽トピックス
マイクロソフト、TechNet Webcast: 今月のワンポイントセキュリティ情報
http://www.microsoft.com/japan/technet/community/events/webcasts/security.mspx

▽トピックス
マイクロソフト、ソフトウェア開発製品やアプリケーションデザインツールを学生に無償提供、「Microsoft(R) DreamSpark(TM) (ドリームスパーク)」を5月13日（火）より開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3437

▽トピックス
マイクロソフト、「2007 Microsoft(R) Office system Service Pack 1」日本語版の自動更新を6月17日（火）より開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3438

▽トピックス
マイクロソフト、マイクロソフト、Office 2008 for Mac 向け Service Pack 1 の提供を開始：よりシンプルな作業環境を提供
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3439

▽トピックス
マイクロソフト、.NET Framework 2.0/3.0 SP1 自動更新の延期について
http://www.microsoft.com/japan/msdn/netframework/downloads/20_30_sp1.aspx?rss_fdn=MSDNTopNewInfo

▽トピックス
マイクロソフト、SQL インジェクション攻撃とその対策 [更新]
http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx?rss_fdn=MSDNTopNewInfo

▽トピックス
NEC、、指紋と血管を一度に読み取り可能な非接触型マルチモーダル指認証技術を開発
http://www.nec.co.jp/

▽トピックス
BIGLOBE、フレッツ光対応コースのセキュリティ機能を強化
http://www.biglobe.co.jp/

▽トピックス
ソリトンシステムズ、PCログ収集「InfoTrace」とPC認証「SmartOn」のシンクライアント版を開発
http://www.soliton.co.jp/

▽トピックス
AOSテクノロジーズ、インターネットフィルタリングソフト「Net Nanny 親子インターネットフィルタリング5.0」を発売
http://oyako119.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.275.00 (05/14)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3104

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3103

▽セミナー情報
IPA/ISEC、2008年度情報セキュリティセミナー開催について
http://www.ipa.go.jp/security/event/2008/isec-semi/press.html

▽ウイルス情報
トレンドマイクロ、TROJ_DNSCHANG.CS
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDNSCHANG%2ECS

▽ウイルス情報
日本エフ・セキュア、Trojan-Spy:HTML/Fraud
http://www.f-secure.co.jp/v-descs/v-descs3/Trojan-Spy-HTML-Fraud.htm

▽ウイルス情報
マカフィー、W32/Stayt.a
http://www.mcafee.com/japan/security/virS.asp?v=W32/Stayt.a

▽ウイルス情報
マカフィー、FDoS-BEnergy!740DEC3A
http://www.mcafee.com/japan/security/virF.asp?v=FDoS-BEnergy!740DEC3A

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
Debianがopenssl、linux-2.6およびicedoveのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo LinuxがCommon Data Format libraryのアップデートをリリース
───────────────────────────────────
Gentoo LinuxがCommon Data Format libraryのアップデートをリリースした。このアップデートによって、アプリケーションをクラッシュされる問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがxenのアップデートをリリース
───────────────────────────────────
RedHat Linuxがxenのアップデートをリリースした。このアップデートによって、アプリケーションをクラッシュされる問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/

《ScanNetSecurity》