セキュリティホール情報<2008/08/07> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.20(金)

セキュリティホール情報<2008/08/07>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Hitachi JP1/Cm2 Network Node Manager───────────────
Hitachi JP1/Cm2 Network Node Managerは、DoS攻撃を受ける未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/08/07 登録

危険度:低
影響を受けるバージョン:Starter Edition、250、Enterprise、
Starter Edition 250、Unlimited
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hitachi XMAP3──────────────────────────
Hitachi XMAP3は、細工されたリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモート攻撃者に印刷サービスを再起動される可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PHPX───────────────────────────────
PHPXは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:3.5.16
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHPAuction GPL Enhanced─────────────────────
PHPAuction GPL Enhancedは、profile.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:2.5.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽pluck──────────────────────────────
pluckは、footer.php、header.php、header2.phpおよびthemeinstall.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:4.5.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WSN製品─────────────────────────────
WSN Links、Forum、Knowledge BaseおよびGalleryなどのWSN製品は、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:Forum 4.1.43以前、Gallery 4.1.30以前、
Knowledge Base 4.1.36以前、
Links 4.1.44以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IGES CMS─────────────────────────────
IGES CMSは、links.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Plogger─────────────────────────────
Ploggerは、plog-download.phpおよびplog-themes.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽LiteNews─────────────────────────────
LiteNewsは、細工されたクッキーが原因でセキュリティホールが存在する。この問題が悪用されると、リモート攻撃者にセキュリティ制限を回避される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:1.2以前
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Mono───────────────────────────────
Monoは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:1.9.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Crafty Syntax Live Help─────────────────────
Crafty Syntax Live Helpは、livehelp_js.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:2.14.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽LoveCMS─────────────────────────────
LoveCMSは、addblock.php、blocks.phpおよびthemes.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行れる可能性がある。
2008/08/07 登録

危険度:高
影響を受けるバージョン:1.6.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Apache──────────────────────────────
Apacheは、mod_proxy_ftpモジュールがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:2.0.63、2.2.9
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Pidgin──────────────────────────────
Pidginは、悪意あるWebサイトを開くことでman-in-the-middle攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:2.4.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽xine-lib─────────────────────────────
xine-libは、複数のエラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/03/24 登録

危険度:高
影響を受けるバージョン:1.1.11以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Hitachi JP1/HIBUN Advanced Edition────────────────
Hitachi JP1/HIBUN Advanced Editionは、機密情報を奪取される未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/08/07 登録

危険度:低
影響を受けるバージョン:Information Fortress、Cypher
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽R3000 Internet Filter──────────────────────
R3000 Internet Filterは、細工されたHTTP GETパケットを送ることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に限定されたWebサイトへのアクセス権を奪取される可能性がある。
2008/08/07 登録

危険度:中
影響を受けるバージョン:2.0.12.10
影響を受ける環境:R3000 Internet Filter
回避策:公表されていません

▽Xerox Phaser───────────────────────────
Xerox Phaserは、listening portに空のUDPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを再起動される可能性がある。 [更新]
2008/08/06 登録

危険度:低
影響を受けるバージョン:8400
影響を受ける環境:Xerox Phaser
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Hitachi JP1/Cm2/Network Node Manager───────────────
Hitachi JP1/Cm2 Network Node Managerは、DoS攻撃を受ける未知のセキュリティホールが存在する。この問題が悪用されると、リモート攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:Starter Edition、250、Enterprise、
Starter Edition 250、Unlimited
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽JBoss──────────────────────────────
JBossは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/08/06 登録

危険度:低
影響を受けるバージョン:4.2.0.CP03以前
影響を受ける環境:UNIX、Linux
回避策:4.2.0.CP03へのバージョンアップ

▽xine-lib─────────────────────────────
xine-libは、過度に大きいstreamid SDPパラメータを使って細工されたRTSPストリームに接続するよう誘導されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/03/21 登録

危険度:高
影響を受けるバージョン:1.1.10.1未満
影響を受ける環境:UNIX、Linux
回避策:1.1.10.1以降へのバージョンアップ

▽xine-lib─────────────────────────────
xine-libは、細工されたASFヘッダーを解析することでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2008/03/07 登録

危険度:高
影響を受けるバージョン:1.1.10未満
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、seq_oss_synth.c snd_seq_oss_synth_make_info機能でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:2.6.27 rc1
影響を受ける環境:Linux
回避策:2.6.27-rc2以降へのバージョンアップ

▽libxslt─────────────────────────────
libxsltは、exsltCryptoRc4EncryptFunctionおよびexsltCryptoRc4DecryptFunction機能が適切なチェックを行っていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/08/04 登録

危険度:高
影響を受けるバージョン:1.1.24
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、pthread_mutex_reltimedlock_np APIでのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムを停止される可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:build snv_01、build snv_13、build snv_19、
build snv_22、build snv_64、
build snv_89 SPARC、10 SPARC、10 x86
8.0 x86
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、細工されたSMBパケットによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/08/07 登録

危険度:高
影響を受けるバージョン:build snv_95 and prior SPARC、
build snv_95 and prior x86、10 SPARC、
10 x86、9.0 SPARC、9.0 x86、8.0 SPARC、
8.0 x86
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Netra T5220─────────────────────────
Sun Netra T5220は、ファームウェアの特定されていない原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。
2008/08/07 登録

危険度:低
影響を受けるバージョン:7.1.3
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<HP-UX>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX using libc─────────────────────────
HP-UX using libcは、DoS攻撃を受ける未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/08/07 登録

危険度:
影響を受けるバージョン:
影響を受ける環境:HP-UX
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WinRAR──────────────────────────────
WinRAR 3.80 beta 4 日本語版がリリースされた。
http://www.diana.dti.ne.jp/~winrar/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26.2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc2がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
経済産業省、平成20年度「情報セキュリティ監査企業台帳」の公開について
http://www.meti.go.jp/policy/netsecurity/is-kansa/index.html

▽トピックス
経済産業省、平成20年度「システム監査企業台帳」の公開について
http://www.meti.go.jp/policy/netsecurity/sys-kansa/index.html

▽トピックス
ISMS、ISMS/ITSMS認定関連文書を制定
http://www.isms.jipdec.jp/std/nintei2.html

▽トピックス
トレンドマイクロ、仮想化環境を利用し、機能追加と負荷分散へ柔軟に対応 ゲートウェイ向けバーチャルアプライアンス市場へ参入
http://jp.trendmicro.com/jp/about/news/pr/article/20080806032613.html

▽トピックス
マカフィー、Reconnex社買収でデータ・プロテクション市場を再定義
http://www.mcafee.com/japan/about/prelease/pr_08b.asp?pr=08/08/06-1

▽トピックス
WILLCOM、京セラ製「HONEY BEE」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
KDDI、「EZサイト診断サービス」の提供開始について
http://www.kddi.com/corporate/news_release/2008/0806/index.html

▽トピックス
マイクロソフトTechNet、長期休暇の前に〜セキュリティ対策のお願い
http://www.microsoft.com/japan/security/vacation.mspx

▽トピックス
ラトックシステム、USB接続の指紋認証システムセットを発売
http://www.ratocsystems.com/info/news/2008/0807.html

▽トピックス
フェンリル、スパムブログへの対策を強化した超高速クライアント型RSSリーダーを発表
http://www.fenrir.co.jp/news/2008/20080807.html

▽トピックス
大日本印刷、クレジットカードの情報保護に関する業界基準「PCI DSS」の認証取得
http://www.dnp.co.jp/jis/news/2008/080807.html

▽トピックス
KCCS、セキュリティサービス「SecureOWLネットワーク資産&リスク洗い出しサービス」など提供
http://www.kccs.co.jp/press/release/080806.html

▽トピックス
富士通エフサス、大和ハウスの携行PCにハードディスク暗号化ソフトを導入
http://jp.fujitsu.com/group/fsas/release/2008/0806.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.459.00 (08/07)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT:972 (08/06)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3321

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3320

▽ウイルス情報
トレンドマイクロ、TROJ_AGENT.AVSZ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAVSZ

▽ウイルス情報
マカフィー、W32/Sality.ai
http://www.mcafee.com/japan/security/virS.asp?v=W32/Sality.ai

◆アップデート情報◆
──────────────────────────────────
●Gentoo LinuxがlibxsltおよびISC DHCPのアップデートをリリース
───────────────────────────────────
 Gentoo LinuxがlibxsltおよびISC DHCPのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがstraceのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがstraceのアップデートパッケージをリリースした。このアップデートによって、straceにおける問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●Ubuntu Linuxがxine-libのアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがxine-libのアップデートをリリースした。このアップデートによって、xine-libにおける複数の問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  5. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×