セキュリティホール情報<2008/05/27> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2008/05/27>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽encrypt Anubis Plugin──────────────────────
encrypt Anubis Pluginは、オリジナルファイルのサイズを暗号化しないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題は、リモートの攻撃者に悪用される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:1.3へのバージョンアップ

▽phpRaider────────────────────────────
phpRaiderは、pConfig_auth[phpbb_path]でのパラメータを適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に悪意あるファイルを追加される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Xomol CMS────────────────────────────
Xomol CMSは、index.phpスクリプトに細工されたSQLステートメントを送ることによってSQLインジェクションを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除されるなど様々な可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽plusPHP Short URL Multi-User Script───────────────
plusPHP Short URL Multi-User Scriptは、plus.phpでのパラメータを適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に悪意あるファイルを追加される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PCPIN Chat────────────────────────────
PCPIN Chatは、inc/url_redirection.inc.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:6.x
影響を受ける環境:UNIX、Linux、Windows
回避策:6.11へのバージョンアップ

▽Mambo──────────────────────────────
Mamboは、index.phpスクリプトに細工されたSQLステートメントを送ることによってSQLインジェクションを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除されるなど様々な可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:4.x
影響を受ける環境:UNIX、Linux、Windows
回避策:4.6.4へのバージョンアップ

▽MxBB Portal───────────────────────────
MxBB Portalは、index.phpスクリプトに細工されたSQLステートメントを送ることによってSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:2.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽eMule Plus────────────────────────────
eMule Plusは、未知のセキュリティホールが存在する。尚、これ以上の詳細は公表されていない。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2dへのバージョンアップ

▽Sun Java System Web Server────────────────────
Sun Java System Web Serverは、searchページでのユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/05/26 登録

危険度:
影響を受けるバージョン:6.1 SP9未満、7.0 Update 2未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Starsgames Control Panel─────────────────────
Starsgames Control Panelは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/05/21 登録

危険度:中
影響を受けるバージョン:4.6.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽EntertainmentScript───────────────────────
EntertainmentScriptは、細工されたURLリクエストをpage.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/05/21 登録

危険度:中
影響を受けるバージョン:1.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽libvorbis────────────────────────────
libvorbisは、細工されたOGGファイルを開くよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/15 登録

危険度:高
影響を受けるバージョン:1.2.0未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Core FTP─────────────────────────────
Core FTPは、入力承認エラーが原因でディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルをダウンロードされる可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:2.1 Build 1565
影響を受ける環境:Windows
回避策:2.1 Build 1568へのバージョンアップ

▽ThinkVantage System Update────────────────────
ThinkVantage System Updateは、更新サーバに接続する際にSSL証明書チェーン検証を実行しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるプログラムを実行される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:3.13.0005
影響を受ける環境:Windows
回避策:3.14へのバージョンアップ

▽OneCMS──────────────────────────────
OneCMSは、install_mod.phpが入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるファイルを追加される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:2.5
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SaraB──────────────────────────────
SaraBは、バックアップを作成する際に機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDAR暗号化に使用される暗号を解読される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:0.2.4未満
影響を受ける環境:UNIX、Linux
回避策:0.2.4へのバージョンアップ

▽libpam-pgsql───────────────────────────
libpam-pgsqlは、pam_pgsql.cの "pam_sm_authenticate()" のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に認証を回避される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:0.6.3以前
影響を受ける環境:UNIX、Linux
回避策:0.6.4へのバージョンアップ

▽RoomPHPlanning──────────────────────────
RoomPHPlanningは、resaopen.phpスクリプトに細工されたSQLステートメントを送ることによってSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/05/27 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽mtr───────────────────────────────
ネットワーク診断プログラムであるmtrは、細工されたホスト名を含むDNSサーバに接続するよう誘導されることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/05/21 登録

危険度:高
影響を受けるバージョン:0.72
影響を受ける環境:UNIX、Linux
回避策:0.73以降へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽GnuTLS──────────────────────────────
GnuTLS(Gnu Transport Layer Security Library)は、暗号化されたClient Helloメッセージを送信されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/21 登録

危険度:高
影響を受けるバージョン:2.2.4未満
影響を受ける環境:Linux
回避策:2.2.5以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Ruby 1.8.x 系──────────────────────────
Ruby 1.8.7 preview4がリリースされた。
http://www.ruby-lang.org/

▽Webmin──────────────────────────────
Webmin 1.420がリリースされた。
http://www.webmin.com/

▽Usermin─────────────────────────────
Usermin 1.350がリリースされた。
http://www.webmin.com/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-rc4がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、次世代ネットワークの接続料算定等に関する研究会(第一回)
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/cost_driver/080526_2.html

▽トピックス
IPA、「IT人材育成 iPedia(シリーズ1:産学協同実践的IT教育レポート)」の一般公開について
http://www.ipa.go.jp/about/press/20080526.html

▽トピックス
サイバートラスト、EV SSLサーバ証明書「SureServer EV」の販売においてファーストサーバと協業
http://www.cybertrust.ne.jp/info/2008/080527.html

▽トピックス
NTTドコモ、「IPセントレックスワンナンバー」サービスを提供開始
http://www.nttdocomo.co.jp/info/news_release/page/080526_00.html

▽トピックス
NTTドコモ、日本の非接触IC電子マネーとして初!後払い電子マネー「iD」が海外利用に対応
http://www.nttdocomo.co.jp/info/news_release/page/080526_01.html

▽トピックス
au、au携帯電話「W61SA」の「ケータイアップデート」開始のお知らせ
http://www.au.kddi.com/seihin/information/detail/au_info_20080527.html

▽トピックス
WILLCOM、「次世代PHS」サービスブランドネームがWILLCOM CORE に決定
http://www.willcom-inc.com/ja/corporate/press/2008/05/26/index_02.html

▽トピックス
WILLCOM、ウィルコムのモバイルFeliCa導入について
http://www.willcom-inc.com/ja/info/08052601.html

▽トピックス
NTT西日本、フレッツサービス等の各種割引キャンペーンの期間延長について
http://www.ntt-west.co.jp/news/0805/080526a.html

▽トピックス
KDDI、「KDDI 国内イーサネット専用サービス (帯域保証型) 10Gbps品目」提供エリアの拡大について
http://www.kddi.com/corporate/news_release/2008/0526/index.html

▽トピックス
マイクロソフト、フルフラット・サーフェースに、2モードイルミネーションキーを備えたスマートフォン WILLCOM 03を開発・発売
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3445

▽トピックス
ハイパーギア、企業内検索ソフトに情報漏えい防止機能を追加したセキュリティ製品を販売
http://www.sei-info.co.jp/

▽トピックス
ミラクル・リナックス、Asianux Server 3が、商用で最上位レベルとなるEAL4のセキュリティ認証を取得
http://www.miraclelinux.com/corp/pressroom/details/2008/0527_1.html

▽トピックス
日本セキュアとクオリカ、「和幸」に指紋認証の店舗業務管理システムを導入
http://www.qualica.co.jp/

▽トピックス
コクヨS&T、パソコン内の電子データを完全に抹消するツール「デジタルシュレッダー」を発売
http://www.kokuyo-st.co.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.297.00 (05/27)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3139

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3138

▽セミナー情報
JNSA、7/3「PKI day 2008」セミナーのプログラムを公開し参加申込みの受付を開始
http://www.jnsa.org/seminar/2008/0703/index.html

▽ウイルス情報
シマンテック、Trojan.Spryct
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-052610-4330-99

▽ウイルス情報
日本エフ・セキュア、Backdoor:W32/IRCBot.DDR
http://www.f-secure.co.jp/v-descs/v-descs3/Backdoor_W32_IRCBot_DDR.htm

◆アップデート情報◆
───────────────────────────────────
●Debianがmtrのアップデートをリリース
───────────────────────────────────
Debianがmtrのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxがgnutlsおよびlibvorbisのアップデートをリリース
───────────────────────────────────
Miracle Linuxがgnutlsおよびlibvorbisのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  9. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×