セキュリティホール情報<2008/05/20> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2008/05/20>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽ScorpNews────────────────────────────
ScorpNewsは、細工されたURLリクエストをexample.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FireFTP─────────────────────────────
FireFTPは、「/../」を含むファイルをダウンロードすることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルに書き込みをされる可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.97.1
影響を受ける環境:UNIX、Linux、Windows
回避策:0.98.20080518以降へのバージョンアップ

▽FicHive─────────────────────────────
FicHiveは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽LulieBlog────────────────────────────
LulieBlogは、voircom.phpおよびvisumedia.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.02
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽TAGWORX─────────────────────────────
TAGWORXは、contact.phpおよびnews.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Content Management System for Phprojekt─────────────
Content Management System for Phprojektは、細工されたURLリクエストをgraphie.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.6.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽C-News──────────────────────────────
C-Newsは、install.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽CMS WebManager-Pro────────────────────────
CMS WebManager-Proは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mypicgallery───────────────────────────
Mypicgalleryは、細工されたリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に新しいadmin accountを作成される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽bcoos──────────────────────────────
bcoosは、highlight.phpスクリプトに「/../」を含む細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0.10、1.0.11、1.0.12、1.0.13、1.0.9
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽EasyCMS─────────────────────────────
EasyCMSは、admin.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアドミニストレーションアクセス権を奪取される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽AlkalinePHP───────────────────────────
AlkalinePHPは、adduser.phpスクリプトに細工されたリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に新しいadmin accountを作成される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.77.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽KuiraniKerim module for PHP-Nuke─────────────────
KuiraniKerim module for PHP-Nukeは、modules.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽testMaker────────────────────────────
testMakerは、export機能でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/05/20 登録

危険度:低
影響を受けるバージョン:3.0p8、3.0p9
影響を受ける環境:UNIX、Linux、Windows
回避策:3.0p10以降へのバージョンアップ

▽Smeego──────────────────────────────
Smeegoは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WR-Meeting────────────────────────────
WR-Meetingは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Webboard─────────────────────────────
Webboardは、showQAnswer.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:4.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Digital Hive───────────────────────────
Digital Hiveは、細工されたURLリクエストをbase_include.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:2.0 RC2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ACGV News────────────────────────────
ACGV Newsは、glossaire.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.9.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽AN Guestbook───────────────────────────
AN Guestbookは、send_email.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:0.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SunShop Shopping Cart──────────────────────
SunShop Shopping Cartは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/05/16 登録

危険度:中
影響を受けるバージョン:3.5.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Multi-Page Comment System────────────────────
Multi-Page Comment System(MPCS)は、セッションハンドリング間でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2008/05/16 登録

危険度:中
影響を受けるバージョン:1.1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows Shell User Logon ActiveX control────────
Microsoft Windows Shell User Logon ActiveX controlは、shgina.dll libraryが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。 [更新]
2007/03/06 登録

危険度:中
影響を受けるバージョン:6.0.2900.2180
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽cPanel──────────────────────────────
cPanelは、細工されたメールアドレスのアカウントを作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2008/05/20 登録

危険度:
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽MeltingIce File System──────────────────────
MeltingIce File Systemは、細工されたHTTPポストリクエストが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽GNU/Gallery───────────────────────────
GNU/Galleryは、細工されたURLリクエストをadmin.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/05/20 登録

危険度:中
影響を受けるバージョン:1.1.1.0
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenSSL─────────────────────────────
Linux distributions上で動作しているOpenSSLは、乱数ジェネレーターが予測可能な値を出すことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に暗号キーを奪取される可能性がある。 [更新]
2008/05/14 登録

危険度:低
影響を受けるバージョン:0.9.8g-9
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JNSA、【速報版】2007年度 情報セキュリティインシデントに関する調査報告書(Ver.1.0)公開
http://www.jnsa.org/result/2007/pol/incident/index.html

▽トピックス
JVN、BGP 実装において細工された BGP UPDATE メッセージを適切に処理できない脆弱性 [更新]
http://jvn.jp/cert/JVNVU929656/index.html

▽トピックス
JVN、Debian および Ubuntu の OpenSSL パッケージに予測可能な乱数が生成される脆弱性
http://jvn.jp/cert/JVNTA08-137A/index.html

▽トピックス
ソフォス、ニュース:国内で初めて逮捕されたウイルス作成者、実刑を免れる
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/japanese-virus.html

▽トピックス
ソフォス、ニュース:フォーミュラワン ドライバー、盗まれたハードドライブ内のデータにより恐喝をうける
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/hard-drive.html

▽トピックス
ソフォス、ポッドキャスト: 脅威が増大する中で安全にウェブを閲覧する方法
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/surfing-podcast.html

▽トピックス
ソフォス、ニュース:ハッカー、チリ人6百万人の機密情報をオンライン上に掲載
http://www.sophos.co.jp/pressoffice/news/articles/2008/05/chile.html

▽トピックス
サイバートラスト、Debian GNU/Linuxに含まれるOpenSSL/OpenSSHの脆弱性への対応に関するお知らせ
http://www.cybertrust.ne.jp/info/2008/080519.html

▽トピックス
au、タイとの国際通信サービスの接続障害について (復旧報)
http://www.kddi.com/corporate/news_release/2008/0519/index.html

▽トピックス
au、システムメンテナンスのお知らせ(5/28)
http://www.au.kddi.com/news/au_top/information/au_info_20080519154331.html

▽トピックス
NTTコミュニケーションズ、タイ向け国際通信サービスの回復について
http://www.ntt.com/release/monthNEWS/detail/20080519_2.html

▽トピックス
NTTコミュニケーションズ、「STREAMWING MediaCastプラン」の提供開始について
http://www.ntt.com/serviceinfo/monthinfo/detail/20080519.html

▽トピックス
日立、企業内のユーザー情報の安全な利用/共有/管理を実現する「Sun Java System Access Manager 8.0」で日立の指静脈認証が利用可能となるソフトウェアを開発
http://www.hitachi.co.jp/New/cnews/month/2008/05/0520b.html

▽トピックス
RSAセキュリティ、京都中央信用金庫がフィッシング対策に「RSA FraudAction」を採用
http://japan.rsa.com/press_release.aspx?id=9402

▽トピックス
Novell、米ノベル、SAPをサポートする最も広範で統合的な アイデンティティ/セキュリティ管理ソリューションを提供
http://www.novell.com/ja-jp/news/press/7c7330ce30eb3001sap309230b530fc30c83059308b670030825e837bc47d7154087684306a-30a230a430f330c630a330c630a3-30bb30ad30e530ea30c630a37ba1740630bd30ea30e530fc30b730e730f3309263d04f9b

▽トピックス
セゾン情報システムズ、ファイル転送ツール最新版「HULFT7」を今秋販売
http://home.saison.co.jp/SIS/

▽トピックス
IDC Japan、国内中堅中小企業のIT市場規模などに関する調査結果を発表
http://www.idcjapan.co.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.285.00 (05/20)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3120

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3119

▽ウイルス情報
トレンドマイクロ、JS_IFRAME.AC
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FIFRAME%2EAC

▽ウイルス情報
トレンドマイクロ、TROJ_AGENT.AORZ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAORZ

▽ウイルス情報
トレンドマイクロ、TROJ_ALUREON.AI
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FALUREON%2EAI

▽ウイルス情報
シマンテック、KvmSecure
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-051910-3915-99

▽ウイルス情報
シマンテック、XPSecurityCenter
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-051910-0118-99

▽ウイルス情報
マカフィー、Generic Adware.a!F1EE19C7
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Adware.a!F1EE19C7

▽ウイルス情報
マカフィー、PWS-LDPinch!cf5fc8ee
http://www.mcafee.com/japan/security/virPQ.asp?v=PWS-LDPinch!cf5fc8ee

▽ウイルス情報
マカフィー、PWS-LDPinch!78482e80
http://www.mcafee.com/japan/security/virPQ.asp?v=PWS-LDPinch!78482e80
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  5. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×