セキュリティホール情報＜2008/07/28＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年7月28日（月） 16時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽RealPlayer────────────────────────────
RealPlayerは、Shockwave Flashフレームを適切にチェックしていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/07/28 登録

危険度：高
影響を受けるバージョン：10.5
影響を受ける環境：Mac OS X、Linux、Windows
回避策：ベンダの回避策を参照

▽XRMS CRM─────────────────────────────
XRMS CRMは、細工されたURLリクエストをworkflow - activities.phpスクリプトに送ることなどによって複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行されたりクロスサイトスクリプティングを実行される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Camera Life───────────────────────────
Camera Lifeは、sitemap.xml.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：2.6.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Papoo CMS────────────────────────────
Papoo CMSは、細工されたURLリクエストをibrowser.phpスクリプトに送ることで任意のファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：3.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Live Music Plus─────────────────────────
Live Music Plusは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：3.0.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Wp Downloads Manager module for WordPress────────────
Wp Downloads Manager module for WordPressは、upload.phpスクリプトが適切なチェックを行っていないことが原因で悪意ある.phpファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/07/28 登録

危険度：高
影響を受けるバージョン：0.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Blackboard Academic Suite────────────────────
Blackboard Academic Suiteは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：8.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Lore───────────────────────────────
Loreは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：1.6.3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：1.7.0以降へのバージョンアップ

▽Atom PhotoBlog──────────────────────────
Atom PhotoBlogは、atomPhotoBlog.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/25 登録

危険度：中
影響を受けるバージョン：1.1.5b1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ruby───────────────────────────────
Rubyは、細工されたデータをrb_ary_fill () 機能に送ることで整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。[更新]
2008/07/22 登録

危険度：
影響を受けるバージョン：1.8.7
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2008/07/16 登録

危険度：中
影響を受けるバージョン：Firefox 3.0.1未満、2.0.0.16未満、
Thunderbird 2.0.0.16未満、
SeaMonkey 1.1.11未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2008/07/03 登録

危険度：高
影響を受けるバージョン：Firefox 2.0.0.14、SeaMonkey 1.0.9
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Python──────────────────────────────
Pythonは、PyString_FromStringAndSize ()機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/04/23 登録

危険度：高
影響を受けるバージョン：2.5.2他
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Mozilla Thunderbird / SeaMonkey─────────────────
Mozilla ThunderbirdおよびSeaMonkeyは、メール・ニュースコンポーネントが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/02/27 登録

危険度：高
影響を受けるバージョン：Thunderbird 2.0.0.12未満、
SeaMonkey 1.1.8未満
影響を受ける環境：UNIX、Linux、Windows
回避策：Thunderbird 2.0.0.12以降、SeaMonkey 1.1.8以降へのバージョ
ンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽RealPlayer────────────────────────────
RealPlayerは、ActiveX controlが原因でバッファオーバーフローを引き起こされるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/07/28 登録

危険度：
影響を受けるバージョン：10.5ほか
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Apple iPod touch / Apple iPhone─────────────────
Apple iPod touchおよびApple iPhoneは、runtime garbage collectionを処理する際にJavaScriptCoreでメモリ汚染エラーが発生することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/07/15 登録

危険度：高
影響を受けるバージョン：iPhone 1.0、1.0.1、1.0.2、1.1.1、1.1.2、
1.1.3、1.1.4、iPod touch 1.1、1.1.1、1.1.2、
1.1.3、1.1.4
影響を受ける環境：Apple iPod touch、Apple iPhone
回避策：2.0以降へのバージョンアップ

▽DNSサーバ製品──────────────────────────
Cisco製品をはじめとする複数のDNSサーバ製品は、細工されたDNSクエリによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSキャッシュを汚染される可能性がある。 [更新]
2008/07/09 登録

危険度：中
影響を受けるバージョン：Cisco IOS 12.4XZほか
影響を受ける環境：Cisco製品、Blue Coat ProxyRA
回避策：ベンダの回避策を参照

▽VMware ESX Server────────────────────────
VMware ESX Serverは、aacraidドライバが適切にIOCTLコマンドパーミッションを実証しないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2008/02/22 登録

危険度：
影響を受けるバージョン：3.0.2未満
影響を受ける環境：
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽BIND───────────────────────────────
BINDは、細工されたDNSクエリによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSキャッシュを汚染される可能性がある。 [更新]
2008/07/09 登録

危険度：
影響を受けるバージョン：9.x
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽GNU Coreutils──────────────────────────
GNU Coreutilsは、Pluggable Authentication Module (PAM) のpam_succeed_if() 機能が原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に期限切れあるいはロックされたアカウントに不正にアクセスされる可能性がある。
2008/07/28 登録

危険度：中
影響を受けるバージョン：RedHat Enterprise Linux 4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Squid──────────────────────────────
Squid 3.0 STABLE 8がリリースされた。
http://www.squid-cache.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-git16がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
@police、第25回コラム（タレント山本梓さん）更新(7/25)
http://www.cyberpolice.go.jp/column/column25.html

▽トピックス
NISC、第8回基本計画検討委員会を開催
http://www.nisc.go.jp/conference/seisaku/kihon/index.html#index08

▽トピックス
JVN、Geeklog Forum Plugin におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN60419863/index.html

▽トピックス
IPA/ISEC、「MD5 の安全性の限界に関する調査研究」に関する報告書を公開
http://www.ipa.go.jp/security/fy19/reports/MD5/index.html

▽トピックス
IPA/ISEC、「安全な暗号鍵のライフサイクルマネージメントに関する調査」に関する報告書を公開
http://www.ipa.go.jp/security/fy19/reports/Key_Management/index.html

▽トピックス
ISMS、BCMSユーザーズガイドを発行
http://www.isms.jipdec.jp/bcms/chumon.html

▽トピックス
フィッシング対策協議会、NEWS LETTER No. 4:特定電子メール法・割賦販売法改正とフィッシング
http://www.antiphishing.jp/2008/07/news-letter-no-4.html

▽トピックス
トレンドマイクロ、迷惑メール、不正Webサイト対策を搭載した中小企業向け総合セキュリティ製品「Trend Micro ビジネスセキュリティ（TM） 5.0」を発表
http://jp.trendmicro.com/jp/products/sb/Biz/

▽トピックス
Dr.WEB、配信済み vdb ファイル drw44443.vdb を改訂
http://drweb.jp/news/20080725_2

▽トピックス
Dr.WEB、リンクチェッカーが Firefox 3 をサポート
http://drweb.jp/news/20080725

▽トピックス
au、au携帯電話「W64SA」の「ケータイアップデート」開始のお知らせ
http://www.au.kddi.com/news/au_top/information/au_info_20080725221041.html

▽トピックス
KDDI、「au one net」WEBメールにおける他のお客さま向けメールの閲覧について
http://www.kddi.com/corporate/news_release/2008/0725c/index.html

▽トピックス
NTTコミュニケーションズ、「Biz Communicator」の機能拡充について
http://www.ntt.com/serviceinfo/monthinfo/detail/20080725.html

▽トピックス
マイクロソフト、マイクロソフト製品ならびにサービスにおける外来語カタカナ用語末尾の長音表記の変更について
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3491

▽トピックス
富士通マイクロエレクトロニクス、岩手北部地震の被害状況につきまして
http://jp.fujitsu.com/group/fml/topics/20080725.html

▽トピックス
富士通メディアデバイス、岩手北部地震につきまして
http://jp.fujitsu.com/group/fmd/topics/2008/20080725.html

▽トピックス
ディー・ディー・エス、ライフセンサーとセキュリティに関して技術・販売・資本提携
http://www.dds.co.jp/

▽トピックス
HDE、Linuxディストリビューションと仮想化環境対応のウィルス対策ソフトを発表
http://www.hde.co.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.435.00 (07/28)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT：968 (07/26)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3297

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3298

▽セミナー情報
マイクロソフト、「Windows Mobile 開発者様向け特別セミナー」の開催につきまして
http://www.microsoft.com/japan/windowsmobile/training/seminar.mspx?rss_fdn=MSDNTopNewInfo

▽統計・資料
マイクロソフト、Visual Studio Team System - 実践的ホワイトペーパー公開第 2 弾
http://www.microsoft.com/japan/msdn/teamsystem/?rss_fdn=MSDNTopNewInfo

▽ウイルス情報
トレンドマイクロ、TROJ_FAKECLEAN.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKECLEAN%2EA

▽ウイルス情報
トレンドマイクロ、TROJ_RENOS.ACO
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FRENOS%2EACO

▽ウイルス情報
トレンドマイクロ、BKDR_POISON.GO
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR%5FPOISON%2EGO

▽ウイルス情報
シマンテック、VBS.Repulik.A
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-072712-0844-99

▽ウイルス情報
シマンテック、W32.Azero.A
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-072500-5056-99

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
　Debianがicedove、python2.5、python-dns、ruby1.9およびrefpolicyのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●NetBSDがBINDのアップデートをリリース
───────────────────────────────────
　NetBSDがBINDのアップデートをリリースした。このアップデートによって、DNSキャッシュを汚染される問題が修正される。

Security and NetBSD
http://www.netbsd.org/Security/

───────────────────────────────────
●Turbolinuxがbase-vsiteのアップデートをリリース
───────────────────────────────────
　Turbolinuxがbase-vsiteのアップデートをリリースした。このアップデートによって、base-vsiteにおける問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Ubuntu LinuxがThunderbirdのアップデートをリリース
───────────────────────────────────
　Ubuntu LinuxがThunderbirdのアップデートをリリースした。このアップデートによって、Thunderbirdにおける複数の問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

《ScanNetSecurity》