セキュリティホール情報＜2008/07/16＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年7月16日（水） 15時15分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2008/07/16 登録

危険度：
影響を受けるバージョン：Firefox 3.0.1未満、2.0.0.16未満、
Thunderbird 2.0.0.16未満、
SeaMonkey 1.1.11未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Oracle製品────────────────────────────
Oracleは複数のOracle製品に対するセキュリティアップデートをリリースした。このアップデートにより、複数の問題が修正されている。最新版未満のバージョンでは、さまざまな攻撃を受ける可能性がある。
2008/07/16 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Galatolo WebManager───────────────────────
Galatolo WebManagerは、all.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：1.3a
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽pSys───────────────────────────────
pSysは、細工されたURLリクエストを多数のスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：0.7.0 alpha
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pragyan CMS───────────────────────────
Pragyan CMSは、細工されたURLリクエストをform.lib.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：2.6.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Comdev Web Blogger────────────────────────
Comdev Web Bloggerは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：4.1.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Free Image Hosting Script────────────────────
Free Image Hosting Scriptは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：1.2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽reSIProcate───────────────────────────
reSIProcateは、ドメイン名を取り扱う際のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2008/07/16 登録

危険度：低
影響を受けるバージョン：1.3.2
影響を受ける環境：UNIX、Linux、Windows
回避策：1.3.3以降へのバージョンアップ

▽CodeDB──────────────────────────────
CodeDBは、細工されたURLリクエストをlist.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ITechBids────────────────────────────
ITechBidsは、細工されたSQLステートメントをshop.php、sellers_othersitem.phpおよびclassifieds.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：7.0 Gold
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Maian Search───────────────────────────
Maian Searchは、認証資格を適切にチェックしていないことが原因でセ
キュリティ制限を回避されるセキュリティホールが存在する。この問題が
悪用されると、リモートの攻撃者にシステムへの無許可のアドミニスト
レーションのアクセス権を奪取される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Maian Uploader──────────────────────────
Maian Uploaderは、認証資格を適切にチェックしていないことが原因でセ
キュリティ制限を回避されるセキュリティホールが存在する。この問題が
悪用されると、リモートの攻撃者にシステムへの無許可のアドミニスト
レーションのアクセス権を奪取される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Maian Weblog───────────────────────────
Maian Weblogは、認証資格を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Maian Recipe───────────────────────────
Maian Recipeは、認証資格を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Maian Links───────────────────────────
Maian Linksは、認証資格を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：3.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽jSite──────────────────────────────
jSiteは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：1.0 OE
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽pluck──────────────────────────────
pluckは、細工されたURLリクエストをpredefined_variables.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：4.5.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WebCMS──────────────────────────────
WebCMSは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pidgin──────────────────────────────
Pidginは、細工されたSLPメッセージによって整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/07/10 登録

危険度：
影響を受けるバージョン：2.4.3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.4.3へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft DirectX────────────────────────
Microsoft DirectXは、細工されたファイルが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが完全に制御される可能性がある。 [更新]
2008/06/11 登録

最大深刻度 : 緊急
影響を受けるバージョン：10.0、9.0、8.1、7.0
影響を受ける環境：Windows 2000 SP4、XP SP2、SP3、Server 2003 SP1、
SP2、Vista、SP1、Server 2008
回避策：WindowsUpdateの実行

▽Microsoft DirectX────────────────────────
Microsoft DirectXは、DirectXフォーマットの細工されたファイルを表示することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコードを実行される可能性がある。 [更新]
2007/12/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：10.0、9.0c、8.1、7.0、9.0、9.0b
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WinRemotePC───────────────────────────
WinRemotePCは、無効なパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUおよびメモリリソースをすべて消費される可能性がある。
2008/07/16 登録

危険度：低
影響を受けるバージョン：2008、2008 Lite
影響を受ける環境：Windows
回避策：公表されていません

▽Simple DNS Plus─────────────────────────
Simple DNS Plusは、細工されたUDPリクエストを送ることで特定されていないエラーが発生するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/07/15 登録

危険度：低
影響を受けるバージョン：4.1、5.0
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Pubs Black Cat──────────────────────────
Pubs Black Catは、細工されたSQLステートメントをbrowse.groups.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/07/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Mercurial────────────────────────────
Mercurialは、「..」を含む細工されたリクエストをpatch.pyスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上のファイルを改竄される可能性がある。 [更新]
2008/07/04 登録

危険度：中
影響を受けるバージョン：1.0.1
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽BlueZ──────────────────────────────
BlueZは、Bluetooth Session Description Protocol (SDP) packet parserがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルおよびリモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/07/15 登録

危険度：
影響を受けるバージョン：3.30以前
影響を受ける環境：Linux
回避策：パッチのインストール

▽Linux Kernel───────────────────────────
Linux Kernelは、sctp_getsockopt_local_addrs_old機能での整数オーバーフローによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に利用可能なリソースをすべて消費される可能性がある。 [更新]
2008/07/04 登録

危険度：低
影響を受けるバージョン：2.6.9 rc4ほか
影響を受ける環境：Linux
回避策：2.6.25.10以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、ia32でエミュレーションが適切にメモリを初期化しないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/06/27 登録

危険度：低
影響を受けるバージョン：2.6
影響を受ける環境：Linux
回避策：公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルをハングされる可能性がある。 [更新]
2008/06/26 登録

危険度：低
影響を受けるバージョン：2.6
影響を受ける環境：Linux
回避策：公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたPPP over L2TPパケットを送信されることでDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にカーネルメモリを無効にされる可能性がある。[更新]
2008/06/17 登録

危険度：低
影響を受けるバージョン：2.6.0、2.6.26
影響を受ける環境：Linux
回避策：2.6.26-rc6以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたデータによってDCCPサブシステムでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/06/10 登録

危険度：高
影響を受けるバージョン：2.6.x
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたBERエンコードデータによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/06/10 登録

危険度：高
影響を受けるバージョン：2.4.36.6未満、2.6.25.5未満
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux kernel───────────────────────────
Linux kernelは、未知のセキュリティホールが存在する。尚、これ以上の詳細は公表されていない。 [更新]
2008/05/28 登録

危険度：低
影響を受けるバージョン：2.6.13.4、2.6.22.17、2.6.25未満、2.6.25.2影響を受ける環境：Linux
回避策：2.6.25.4以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、細工されたパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にすべてのメモリリソースを消費される可能性がある。 [更新]
2008/05/16 登録

危険度：低
影響を受けるバージョン：2.6.25.2
影響を受ける環境：Linux
回避策：2.6.25.3以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、AMD64アーキテクチャ上で動作するときに特定されていないエラーが発生するセキュリティホールが存在する。この問題が悪用されると、攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/05/09 登録

危険度：低
影響を受けるバージョン：2.6.18
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Firefox─────────────────────────────
Firefox 2.0.0.16がリリースされた。
http://www.mozilla.org/products/firefox/

▽MySQL 5.1.x 系──────────────────────────
MySQL 5.1.26-rcがリリースされた。
http://www.mysql.com/

▽KDE───────────────────────────────
KDE 4.1 RC1がリリースされた。
http://kde.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-git2がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、個人情報の保護に関する条例の制定状況（平成20年4月1日現在）
http://www.soumu.go.jp/s-news/2008/080715_1.html

▽トピックス
JPCERT/CC、第21回 Annual FIRST Conference 2009の開催地は京都に決定
http://www.jpcert.or.jp/press/2008/PRL080715_FIRST.pdf

▽トピックス
JPNIC、IPアドレス管理業務に関するJPNIC文書公開のお知らせ
http://www.nic.ad.jp/ja/topics/2008/20080715-01.html

▽トピックス
トレンドマイクロ、InterScan for Domino 3.0 Windows版 Patch4 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1106

▽トピックス
NTTドコモ、携帯電話を用いたウェルネスプラットフォームの開発について
http://www.nttdocomo.co.jp/info/news_release/page/080715_00.html

▽トピックス
NTTデータ、「レセプトオンライン接続サービス」を9月より提供開始
http://www.nttdata.co.jp/release/2008/071500.html

▽トピックス
セブン-イレブン・ジャパン、Microsoft(R) Windows Vista(R) および Microsoft Office Professional Plus 2007を導入し、社内システム環境のコンプライアンス対策基盤を整備
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3489

▽トピックス
サイバートラスト、不正アクセスを防ぐ「セキュア　無線LANアクセス認証」を提供開始
http://www.cybertrust.ne.jp/info/2008/080716.html

▽トピックス
バークレイズ銀行、オンラインバンキングのユーザにカスペルスキーのセキュリティソフトウェアを無償提供
http://www.kaspersky.co.jp/news?id=207578679

▽トピックス
日立ソフトとDACS、FISC安全対策基準に基づく自己評価システムを販売開始
http://hitachisoft.jp/news/news513.html

▽トピックス
ソニーとHP、データストレージ分野で協業
http://h50146.www5.hp.com/info/newsroom/pr/fy2008/fy08-143.html

▽トピックス
バッファロー、USBメモリの管理設定ソフト「SecureLock Manager」をバージョンアップ
http://buffalo.jp/products/new/2008/000768.html

▽トピックス
NEC、処理性能を従来機比30％向上したスケーラブルSANストレージ「iStorage Dシリーズ」の新製品を発売
http://www.nec.co.jp/press/ja/0807/1601.html

▽トピックス
富士通四国システムズ、セキュリティ事故を未然防止パソコン診断パッケージ「DOEXPRESS Security」の小中高等学校向けライセンスフリー商品の販売を開始
http://jp.fujitsu.com/group/shikoku/release/20080714.html

▽トピックス
三和シヤッター、データセンターなど向け「サーバールーム用スチールパーティション」を発売
http://www.sanwa-ss.co.jp/news/syusai.php?id=226

▽トピックス
RSAセキュリティ、フィッシングサイトの閉鎖サービスに「検知サービス」を追加
http://japan.rsa.com/

▽トピックス
ネットジャパン、2台のハードディスクを利用したシステム障害復旧ツールの新バージョンを発売
http://www.netjapan.co.jp/nj/press/news_release/power_x/xsd5.php

▽トピックス
ネプロジャパン、機密ファイル管理システム「データクレシス」韓国語版を開発
http://files.nepro.jp/jp/ir/pdf/release90.pdf

▽トピックス
富士通ビジネスシステム、「WEBCON」が「ASP・SaaS安全・信頼性に係る情報開示認定制度」の認定取得
http://www.fjb.fujitsu.com/news/2008/080715.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.409.00 (07/16)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3271

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3270

▽セミナー情報
富士通、情報セキュリティ対策オンラインセミナー
http://jp.fujitsu.com/group/fsas/events/seminar/20080730.html

▽ウイルス情報
トレンドマイクロ、TROJ_PIDIEF.JT
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPIDIEF%2EJT

▽ウイルス情報
シマンテック、Downloader.Diliv
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-071517-2718-99

▽ウイルス情報
シマンテック、Packed.Generic.174
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-071513-0258-99

◆アップデート情報◆
───────────────────────────────────
●Debianがgaimおよびlighttpdのアップデートをリリース
───────────────────────────────────
　Debianがgaimおよびlighttpdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo LinuxがMercurialのアップデートをリリース
───────────────────────────────────
　Gentoo LinuxがMercurialのアップデートをリリースした。このアップデートによって、システム上のファイルを改竄される問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Ubuntu LinuxがLinux kernelのアップデートをリリース
───────────────────────────────────
　Ubuntu LinuxがLinux kernelのアップデートをリリースした。このアップデートによって、Linux kernelにおける複数の問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

《ScanNetSecurity》