セキュリティホール情報＜2008/07/07＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年7月7日（月） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Novell eDirectory────────────────────────
Novell eDirectoryは、細工されたデータをTCP524ポートに送ることでds.dlmに整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/07/07 登録

危険度：
影響を受けるバージョン：8.8.2、8.7.3.10
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Fujitsu ServerView────────────────────────
Fujitsu ServerViewは、Webインタフェースのエラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に任意のコードを実行される可能性がある。
2008/07/07 登録

危険度：
影響を受けるバージョン：4.60.07
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Opera──────────────────────────────
Operaは、canvas機能でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/07/04 登録

危険度：低
影響を受けるバージョン：9.50以前
影響を受ける環境：UNIX、Linux、Windows
回避策：9.51以降へのバージョンアップ

▽FreeStyleWiki──────────────────────────
FreeStyleWikiは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベ認証資格証明を奪取される可能性がある。 [更新]
2008/07/04 登録

危険度：中
影響を受けるバージョン：3.6.3、3.6.3 dev3
影響を受ける環境：UNIX、Linux、Windows
回避策：fswiki-patch-20080703-2.zipのインストール

▽VLC Media Player─────────────────────────
VLC Media Playerは、過度に長いfmtチャンクを含む細工されたWAVファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/07/03 登録

危険度：高
影響を受けるバージョン：0.8.6h
影響を受ける環境：UNIX、Linux、Windows
回避策：0.8.6i以降へのバージョンアップ

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2008/07/03 登録

危険度：高
影響を受けるバージョン：Firefox 2.0.0.14、SeaMonkey 1.0.9
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Panda ActiveScan─────────────────────────
Panda ActiveScanは、更新機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/07/07 登録

危険度：
影響を受けるバージョン：2.0
影響を受ける環境：Windows
回避策：公表されていません

▽Opera──────────────────────────────
Windows上で動作するOperaは、特定されていないエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/07/04 登録

危険度：高
影響を受けるバージョン：9.50以前
影響を受ける環境：Windows
回避策：9.51以降へのバージョンアップ

▽Momentics────────────────────────────
Momenticsは、過度に長いファイル名を含む細工された.palファイルを開くよう誘導されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/07/03 登録

危険度：高
影響を受けるバージョン：6.3.0、6.3.2
影響を受ける環境：QNX
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽PCRE───────────────────────────────
PCREは、ヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。
2008/07/07 登録

危険度：
影響を受けるバージョン：7.7
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Sco UnixWare───────────────────────────
Sco UnixWareは、ReliantHAパッケージの特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2008/07/07 登録

危険度：
影響を受けるバージョン：7.1.4
影響を受ける環境：UNIX
回避策：ベンダの回避策を参照

▽Mercurial────────────────────────────
Mercurialは、「..」を含む細工されたリクエストをpatch.pyスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上のファイルを改竄される可能性がある。 [更新]
2008/07/04 登録

危険度：中
影響を受けるバージョン：1.0.1
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽秀丸メール────────────────────────────
秀丸メール 5.07がリリースされた。
http://hide.maruo.co.jp/software/hmmtakeout.html

▽XOOPS 2.3.x 系──────────────────────────
XOOPS 2.3.0 Beta 1がリリースされた。
http://xoops.com/

▽PostgresDAC───────────────────────────
PostgresDAC 2.4.2がリリースされた。
http://www.postgresql.org/about/news.976

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-rc9がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「ICT成長力懇談会　最終報告書　“xICT”ビジョン」の公表
http://www.soumu.go.jp/s-news/2008/080703_6.html

▽トピックス
経済産業省、平成19年度情報セキュリティ市場調査報告書の公表について
http://www.meti.go.jp/policy/netsecurity/h19fy_marketresearch.html

▽トピックス
IPA、CRYPTREC Report 2007 を公開
http://www.ipa.go.jp/security/enc/CRYPTREC/fy19/cryptrec20080703_report01.html

▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/

▽トピックス
ACCS、「第16回　親と子の著作権教室」参加者募集開始
http://www2.accsjp.or.jp/seminar/index.html

▽トピックス
トレンドマイクロ、ウイルス検索エンジンサポート終了バージョンのお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1111

▽トピックス
Dr.WEB、2008年 6月のウイルス・スパムレビュー
http://drweb.jp/news/20080704

▽トピックス
au、【お詫び】Ｅメール受信遅延について
http://www.au.kddi.com/news/au_top/information/au_info_20080706230359.html

▽トピックス
マイクロソフト、「HP Integrity NonStop BladeSystem」と「Microsoft(R) SQL Server(R) 2005」を連携させ、世界に先駆け日本市場で、統合オペレーショナル・データ・ストアソリューションで協業
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3485

▽トピックス
OKI、IPv4枯渇対策に向けトランスレータ機能を搭載したセキュリティGWを開発
http://www.oki.com/jp/press/2008/07/z08042.html

▽トピックス
理経、情報漏洩対策ソリューション「Digital Guardian」を河西工業が導入
http://www.rikei.co.jp/new/release_detail/603.html

▽トピックス
NEC、地域金融機関向け「内部統制構築・運用支援ソリューション」を発売
http://www.nec.co.jp/press/ja/0807/0401.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.389.00 (07/07)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3251

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3253

▽ウイルス情報
トレンドマイクロ、BKDR_SDBOT.CTZ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FSDBOT%2ECTZ

▽ウイルス情報
シマンテック、W32.Xpiro
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-070417-2730-99

▽ウイルス情報
マカフィー、Tool-Jailbreak
http://www.mcafee.com/japan/security/virT.asp?v=Tool-Jailbreak

▽ウイルス情報
マカフィー、W32/YahLover.worm!F3BDF3AA
http://www.mcafee.com/japan/security/virXYZ.asp?v=W32/YahLover.worm!F3BDF3AA

▽ウイルス情報
マカフィー、W32/Autorun.worm.dl
http://www.mcafee.com/japan/security/virA.asp?v=W32/Autorun.worm.dl

◆アップデート情報◆
───────────────────────────────────
●Debianがpcre3およびwordpressのアップデートをリリース
───────────────────────────────────
　Debianがpcre3およびwordpressのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Turbolinuxが複数のアップデートをリリース
───────────────────────────────────
　Turbolinuxがbase-vsite、sausalito-paletteおよびbase-sitestatsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Vine Linuxがfirefoxのアップデートをリリース
───────────────────────────────────
　Vine Linuxがfirefoxのアップデートをリリースした。このアップデートによって、firefoxにおける複数の問題が修正される。

Vine Linux 最近発行された Errata
http://www.vinelinux.org/index.html

《ScanNetSecurity》