セキュリティホール情報＜2008/07/29＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを

脆弱性と脅威セキュリティホール・脆弱性

2008年7月29日（火） 16時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━▽Dotclear─────────────────────────────Dotclearは、特定されていないセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。2008/07/29 登録危険度：中影響を受けるバージョン：1.2.1、1.2.2、1.2.3、1.2.4、1.2.5、1.2.6、1.2.7影響を受ける環境：UNIX、Linux、Windows回避策：1.2.8以降へのバージョンアップベンダ：http://www.dotclear.net □ 関連情報:ISS X-Force Database 2008/07/29 登録dotclear-images-upload-unspecified (44039) Dotclear images uploadunspecifiedhttp://xforce.iss.net/xforce/xfdb/44039 CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3232http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3232oss-security Mailing List 2008/07/29 登録CVE request: dotclear < 1.2.8http://www.openwall.com/lists/oss-security/2008/07/14/2▽Zoph───────────────────────────────Zophは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：0.3.3、0.4、0.5、0.5.1、0.6、0.7、0.7.0.1、0.7.0.2、0.7.0.3、0.7.0.4影響を受ける環境：UNIX、Linux、Windows回避策：0.7.0.5以降へのバージョンアップベンダ：http://www.nother.net/zoph/ □ 関連情報:ISS X-Force Database 2008/07/29 登録zoph-multiple-unspecified-sql-injection (44036) Zoph multipleunspecified SQL injectionhttp://xforce.iss.net/xforce/xfdb/44036CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3258http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3258Secunia - Advisories 2008/07/29 登録Zoph Multiple SQL Injection Vulnerabilitieshttp://secunia.com/advisories/31125SecurityFocus 2008/07/29 登録Zoph Multiple SQL Injection Vulnerabilitieshttp://www.securityfocus.com/bid/30298▽Links──────────────────────────────Linksは、特定されていないセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。2008/07/29 登録危険度：中影響を受けるバージョン：2.1 Pre15ほか影響を受ける環境：UNIX、Linux、Windows回避策：2.1以降へのバージョンアップベンダ：http://links.twibright.com/ □ 関連情報:ISS X-Force Database 2008/07/29 登録links-onlyproxies-unspecified (44035) Links only proxiesunspecifiedhttp://xforce.iss.net/xforce/xfdb/44035CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3329http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3329▽MyBB───────────────────────────────MyBBは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン1.2.13ほか影響を受ける環境：UNIX、Linux、Windows回避策：1.2.14以降へのバージョンアップベンダ：http://www.mybboard.net/ □ 関連情報:ISS X-Force Database 2008/07/29 登録mybb-unspecified-xss (44034) MyBB unspecified cross-site scriptinghttp://xforce.iss.net/xforce/xfdb/44034MyBB Community Forums 2008/07/29 登録MyBB 1.2.14 Released - Security & Maintenance Releasehttp://community.mybboard.net/thread-33865.htmlCVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3334http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3334Secunia - Advisories 2008/07/29 登録MyBB "search.php" Cross-Site Scriptinghttp://secunia.com/advisories/31216▽TriO───────────────────────────────TriOは、browse.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：2.1以前影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.willo.com/io/trio.asp □ 関連情報:ISS X-Force Database 2008/07/29 登録trio-browse-sql-injection (44033) TriO browse.php SQL injectionhttp://xforce.iss.net/xforce/xfdb/44033Secunia - Advisories 2008/07/29 登録TriO "id" SQL Injection Vulnerabilityhttp://secunia.com/advisories/31244/▽Moodle──────────────────────────────Moodleは、blogpage.phpおよびreport.phpスクリプトでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2008/07/29 登録危険度：低影響を受けるバージョン：1.6.5影響を受ける環境：UNIX、Linux、Windows回避策：ベンダの回避策を参照ベンダ：http://download.moodle.org/ □ 関連情報:ISS X-Force Database 2008/07/29 登録moodle-blogpage-report-info-disclosure (44032) Moodle blogpage.phpand report.php information disclosurehttp://xforce.iss.net/xforce/xfdb/44032 CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3327http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3327Moodle 2008/07/29 登録MSA-08-0011, Potential webroot disclosures warninghttp://moodle.org/mod/forum/discuss.php?d=101403ProCheckUp 2008/07/29 登録PR08-15, Several Webroot Disclosures on Moodlehttp://www.procheckup.com/Vulnerability_PR08-15.php▽Pixelpost────────────────────────────Pixelpostは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：1.7.1影響を受ける環境：UNIX、Linux、Windows回避策：pp_v1.7.1_securitypatch01のインズトールベンダ：http://www.pixelpost.org/ □ 関連情報:ISS X-Force Database 2008/07/29 登録pixelpost-languagefull-file-include (44031) Pixelpostlanguage_full parameter file includehttp://xforce.iss.net/xforce/xfdb/44031▽SiteAdmin────────────────────────────SiteAdminは、line2.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.as-admin.com/ □ 関連情報:ISS X-Force Database 2008/07/29 登録siteadmin-line2-sql-injection (44030) SiteAdmin line2.php SQLinjectionhttp://xforce.iss.net/xforce/xfdb/44030Secunia - Advisories 2008/07/29 登録SiteAdmin "art" SQL Injection Vulnerabilityhttp://secunia.com/advisories/31240▽PhpTest─────────────────────────────PhpTestは、picture.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：0.6.3影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.scriptgateway.com/scripts/php/tests_and_quizzes/s3762-phptest.html □ 関連情報:ISS X-Force Database 2008/07/29 登録phptest-picture-sql-injection (44029) PhpTest picture.php SQLinjectionhttp://xforce.iss.net/xforce/xfdb/44029SecurityFocus 2008/07/29 登録PhpTest 'picture.php' SQL Injection Vulnerabilityhttp://www.securityfocus.com/bid/30377▽IceBB──────────────────────────────IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：1.0-rc9.2影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://icebb.net/ □ 関連情報:ISS X-Force Database 2008/07/29 登録icebb-url-sql-injection (44028) IceBB url parameter SQL injectionhttp://xforce.iss.net/xforce/xfdb/44028Secunia - Advisories 2008/07/29 登録IceBB "username" SQL Injection Vulnerabilityhttp://secunia.com/advisories/31248/▽Getacoder Clone─────────────────────────Getacoder Cloneは、search_form.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：1.0-rc9.2影響を受ける環境：Linux、Windows回避策：公表されていませんベンダ：http://www.greatclone.com/product_info.php?cPath=24&products_id=79 □ 関連情報:ISS X-Force Database 2008/07/29 登録getacoderclone-searchform-sql-injection (44027) Getacoder Clonesearch_form.php SQL injectionhttp://xforce.iss.net/xforce/xfdb/44027▽Youtuber Clone──────────────────────────Youtuber Cloneは、ugroups.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.greatclone.com/product_info.php?products_id=86 □ 関連情報:ISS X-Force Database 2008/07/29 登録youtuberclone-ugroups-sql-injection (44026) Youtuber Clone ugroups.php SQL injectionhttp://xforce.iss.net/xforce/xfdb/44026Secunia - Advisories 2008/07/29 登録Youtuber Clone "UID" SQL Injection Vulnerabilityhttp://secunia.com/advisories/31238▽GC Auction Platinum───────────────────────GC Auction Platinumは、category.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.greatclone.com/product_info.php?products_id=73 □ 関連情報:ISS X-Force Database 2008/07/29 登録gcauctionplatinum-category-sql-injection (44024) GC AuctionPlatinum category.php SQL injectionhttp://xforce.iss.net/xforce/xfdb/44024Secunia - Advisories 2008/07/29 登録GC Auction Platinum "cate_id" SQL Injectionhttp://secunia.com/advisories/31241▽FizzMedia────────────────────────────FizzMediaは、comment.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：1.51.2影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ： □ 関連情報:ISS X-Force Database 2008/07/29 登録fizzmedia-comment-sql-injection (44023) FizzMedia comment.php SQLinjectionhttp://xforce.iss.net/xforce/xfdb/44029SecurityFocus 2008/07/29 登録FizzMedia 'comment.php' SQL Injection Vulnerabilityhttp://www.securityfocus.com/bid/30374▽Pligg CMS────────────────────────────Pligg CMSは、細工されたSQLステートメントをstory.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：9.9.0 Beta影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.pligg.com/ □ 関連情報:ISS X-Force Database 2008/07/29 登録pliggcms-story-sql-injection (44021) Pligg CMS story.php SQLinjectionhttp://xforce.iss.net/xforce/xfdb/44021▽phpwebnews────────────────────────────phpwebnewsは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：0.2影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ： □ 関連情報:ISS X-Force Database 2008/07/29 登録phpwebnews-indexphp-sql-injection (44020) phpwebnews index.php SQLinjectionhttp://xforce.iss.net/xforce/xfdb/44020 ▽Mobius──────────────────────────────Mobiusは、browse.phpおよびdetail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：1.4.4.1以前影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.willo.com/mimsy_xg/mobius.asp □ 関連情報:ISS X-Force Database 2008/07/29 登録mobius-browse-detail-sql-injection (44019) Mobius browse.php anddetail.php SQL injectionhttp://xforce.iss.net/xforce/xfdb/44019 ▽TalkBack─────────────────────────────TalkBackは、細工されたURLリクエストをhelp.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：2.3.5影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.scripts.oldguy.us/talkback/ □ 関連情報:ISS X-Force Database 2008/07/29 登録talkback-help-file-include (44018) TalkBack help.php file includehttp://xforce.iss.net/xforce/xfdb/44018▽CMScout─────────────────────────────CMScoutは、細工されたURLリクエストをcommon.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：2.05影響を受ける環境：UNIX、Linux、Windows回避策：公表されていませんベンダ：http://www.cmscout.co.za/ □ 関連情報:ISS X-Force Database 2008/07/29 登録cmscout-common-file-include (44017) CMScout common.php fileincludehttp://xforce.iss.net/xforce/xfdb/44017Secunia - Advisories 2008/07/29 登録CMScout "bit" Local File Inclusion Vulnerabilityhttp://secunia.com/advisories/31243/▽Trac───────────────────────────────Tracは、wikiエンジンがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2008/07/29 登録危険度：中影響を受けるバージョン：0.10.4以前影響を受ける環境：UNIX、Linux、Windows回避策：0.10.5以降へのバージョンアップベンダ：http://trac.edgewall.org/ □ 関連情報:ISS X-Force Database 2008/07/29 登録trac-wikiengine-xss (44016) Trac wiki engine cross-site scriptinghttp://xforce.iss.net/xforce/xfdb/44016Trac Project 2008/07/29 登録ChangeLog 0.10.5http://trac.edgewall.org/wiki/ChangeLogCVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3328http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3328Secunia - Advisories 2008/07/29 登録Trac Wiki Engine Cross-Site Scripting Vulnerabilityhttp://secunia.com/advisories/31231/▽reSIProcate───────────────────────────reSIProcateは、細工されたネットワークトラフィックによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。2008/07/29 登録危険度：低影響を受けるバージョン：1.3.3、1.3.2、1.3.1、1.3.0影響を受ける環境：UNIX、Linux、Windows回避策：1.3.4以降へのバージョンアップベンダ：http://www.resiprocate.org/ □ 関連情報:ISS X-Force Database 2008/07/29 登録resiprocate-multiple-unspecified-dos (44015) ReSIProcate multipleunspecified denial of servicehttp://xforce.iss.net/xforce/xfdb/44015ReSIProcate 2008/07/29 登録Release Notes v 1.3.4http://www.resiprocate.org/ReSIProcate_1.3.4_ReleaseCVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3199http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3199Secunia - Advisories 2008/07/29 登録reSIProcate Unspecified Memory Consumption Vulnerabilitieshttp://secunia.com/advisories/31251/▽PunBB──────────────────────────────PunBBは、parser.phpおよびmoderate.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムで任意のSMTPコマンドを実行されたりクッキーベースの認証資格証明を奪取される可能性がある。2008/07/29 登録危険度：高影響を受けるバージョン：1.2.18以前影響を受ける環境：UNIX、Linux、Windows回避策：1.2.19以降へのバージョンアップベンダ：http://punbb.informer.com/ □ 関連情報:ISS X-Force Database 2008/07/29 登録punbb-smtp-command-execution (44010) PunBB SMTP unspecifiedcommand executionhttp://xforce.iss.net/xforce/xfdb/44010ISS X-Force Database 2008/07/29 登録punbb-parser-moderate-xss (44009) PunBB parser.php and moderate.php cross-site scriptinghttp://xforce.iss.net/xforce/xfdb/44009PunBB News 2008/07/29 登録PunBB 1.2.19 releasedhttp://punbb.informer.com/forums/topic/19539/punbb-1219/CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3336http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3336CVE (Common Vulnerabilities and Exposures) 2008/07/29 登録CAN-2008-3335http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2008-3335Secunia - Advisories 2008/07/29 登録PunBB SMTP Command Injection and Cross-Site Scriptinghttp://secunia.com/advisories/31219▽RealPlayer────────────────────────────RealPlayerは、Shockwave Flashフレームを適切にチェックしていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]2008/07/28 登録危険度：高影響を受けるバージョン：10.5影響を受ける環境：Mac OS X、Linux、Windows回避策：ベンダの回避策を参照ベンダ：http://www.real.com/ □ 関連情報:ISS X-Force Database 2008/07/28 登録realplayer-swf-frame-bo (43996) RealPlayer SWF frame bufferoverflowhttp://xforce.iss.net/xforce/xfdb/43996SecurityTracker.com Archives 2008/07/28 登録Alert ID:1020562 RealPlayer Heap Overflow in Processing SWF FileFrames Lets Remote Users Execute Arbitrary Codehttp://www.securitytracker.com/alerts/2008/Jul/1020562.htmlRealNetworks 2008/07/28 登録RealNetworks is making available product upgrades that containsecurity bug fixeshttp://www.service.real.com/realplayer/security/07252008_player/en/RealNetworks 2008/07/28 登録セキュリティ脆弱性に対応するアップデートをリリースhttp://service.real.com/realplayer/security/07252008_player/ja/CVE (Common Vulnerabilities and Exposures) 2008/07/28 登録CAN-2007-5400http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2007-5400Secunia Research 2008/07/28 登録RealNetworks RealPlayer SWF Frame Handling Buffer Overflowhttp://secunia.com/secunia_research/2007-93/advisory/Secunia - Advisories 2008/07/29 追加RealNetworks RealPlayer Multiple Vulnerabilitieshttp://secunia.com/advisories/27620SecurityFocus 2008/07/29 追加RealNetworks RealPlayer SWF File Heap Based Buffer OverflowVulnerabilityhttp://www.securityfocus.com/bid/30370FrSIRT Security Advisory 2008/07/29 追加ADV-2008-2194: RealNetworks RealPlayer Multiple Code ExecutionVulnerabilitieshttp://www.frsirt.com/english/advisories/2008/2194US-CERT Vulnerability Note 2008/07/29 追加VU#298651 RealNetworks RealPlayer Shockwave Flash (SWF) filevulnerabilityhttp://www.kb.cert.org/vuls/id/298651▽XRMS CRM─────────────────────────────XRMS CRMは、細工されたURLリクエストをworkflow - activities.phpスクリプトに送ることなどによって複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行されたりクロスサイトスクリプティングを実行される可能性がある。[更新]2008/07/28 登録

《ScanNetSecurity》