セキュリティホール情報＜2008/09/16＞

脆弱性と脅威セキュリティホール・脆弱性

2008年9月16日（火） 16時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽IBM DB2─────────────────────────────
IBM DB2は、未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/09/16 登録

危険度：低
影響を受けるバージョン：Universal Database 9.1 HP-UXほか
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽YourOwnBux────────────────────────────
YourOwnBuxは、認証メカニズムでのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションセクションへの無許可のアクセス権を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽DownlineGoldmine製品───────────────────────
多くのDownlineGoldmine製品は、tr.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽CzarNews─────────────────────────────
CzarNewsは、cn_users.phpスクリプトに細工されたURLリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取されたりシステム上で任意のコードを実行される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.12、1.13、1.13b、1.14、1.20
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Kolab Groupware Server──────────────────────
Kolab Groupware Serverは、ログファイルにパスワードをストアすることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：1.0、1.0 -20040426、1.0.1、1.0.3、1.0.5、
1.0.6、1.0.7、1.0.8
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Avant Browser──────────────────────────
Avant Browserは、細工されたWebサイトを開くことで整数オーバーフローエラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：11.7 build 9
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Kasseler CMS───────────────────────────
Kasseler CMSは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.1.0、1.2.0 Lite、1.2.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Easy Photo Gallery────────────────────────
Easy Photo Galleryは、useradmin.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のユーザを加えたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WebPortal CMS──────────────────────────
WebPortal CMSは、FCKEditorコンポーネントでのファイル拡張子を適切にチェックしていないことが原因で任意のPHPファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：0.7.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Skalinks─────────────────────────────
Skalinksは、register.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のユーザアカウントを作成される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽pLink──────────────────────────────
pLinkは、linkto.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.07
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽pNews──────────────────────────────
pNewsは、newskom.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.03
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Answers module for Drupal────────────────────
Answers module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：5.x-1.x-dev
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Dynamic MP3 Lister────────────────────────
Dynamic MP3 Listerは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽iBoutique────────────────────────────
iBoutiqueは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ruby on Rails──────────────────────────
Ruby on Railsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.1.0、1.1.2、1.1.4、1.1.5、1.2.3、1.2.4、
1.2.6、2.0.2、2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：2.1.1以降へのバージョンアップ

▽Pro2col Stingray FTS───────────────────────
Pro2col Stingray FTSは、verify_login.jspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽QUICO──────────────────────────────
QUICOは、photo.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SPAW Editor PHP Edition─────────────────────
SPAW Editor PHP Editionは、特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：2.0.6、2.0.8
影響を受ける環境：UNIX、Linux、Windows
回避策：2.0.8.1以降へのバージョンアップ

▽TalkBack─────────────────────────────
TalkBackは、細工されたURLリクエストをcomments.phpあるいはhelp.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.3.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ParaNews─────────────────────────────
ParaNewsは、news.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：3.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Linkarity────────────────────────────
Linkarityは、link.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FoT Video scripti────────────────────────
FoT Video scriptiは、izle.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.1 beta
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ananta CMS────────────────────────────
Ananta CMSは、細工されたURLリクエストをconnectors.phpスクリプトに送ることで悪意あるPHPファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のPHPコードを実行される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.0b6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IntegraMOD────────────────────────────
IntegraMODは、Webルートディレクトリ下に不安定にバックアップをストアすることが原因でバックアップフォルダに直接アクセスされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：1.4.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Unreal Engine──────────────────────────
Unreal Engineは、細工されたDLMGRコマンドによってフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/16 登録

危険度：高
影響を受けるバージョン：3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WordPress────────────────────────────
WordPressは、ユーザ入力を適切にチェックしていないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレータのパスワードをリセットされる可能性がある。
2008/09/16 登録

危険度：
影響を受けるバージョン：2.6.1以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.6.1へのバージョンアップ

▽Pligg──────────────────────────────
Pliggは、submit.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/16 登録

危険度：中
影響を受けるバージョン：9.9.5
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽DotNetNuke────────────────────────────
DotNetNukeは、ユーザ入力を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムでアドミニストレーション特典を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：4.8.4以前
影響を受ける環境：UNIX、Linux、Windows
回避策：4.9.0以降へのバージョンアップ

▽pForum──────────────────────────────
pForumは、showprofil.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.30
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽NooMS──────────────────────────────
NooMSは、smileys.phpおよびsearch.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽DeluxeBB─────────────────────────────
DeluxeBBは、tools.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽mailto component for Joomla!───────────────────
mailto component for Joomla!は、偽装されたメールによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にオープンメールリレーに使用される可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：1.5.6以前
影響を受ける環境：UNIX、Linux、Windows
回避策：1.5.7以降へのバージョンアップ

▽D-iscussion Board────────────────────────
D-iscussion Boardは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/09/12 登録

危険度：中
影響を受けるバージョン：3.01
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Sports Clubs Web Panel──────────────────────
Sports Clubs Web Panelは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/09/12 登録

危険度：中
影響を受けるバージョン：0.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phsBlog─────────────────────────────
phsBlogは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/09/12 登録

危険度：中
影響を受けるバージョン：0.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Autodealers CMS─────────────────────────
Autodealers CMSは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/09/12 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽MySQL──────────────────────────────
MySQLは、空のbit-string literalを含む細工されたSQLステートメントを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2008/09/12 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：5.1.26以降および5.0.66以降へのバージョンアップ

▽Joomla!─────────────────────────────
Joomla!は、JRequest::setVarを適切に初期化していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定の変数を改竄される可能性がある。 [更新]
2008/09/11 登録

危険度：高
影響を受けるバージョン：1.5.x〜1.5.7未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.5.7へのバージョンアップ

▽Horde製品────────────────────────────
多くのHorde製品は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/09/11 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Django──────────────────────────────
Djangoは、悪意あるWebサイトを開くことでクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2008/09/08 登録

危険度：中
影響を受けるバージョン：0.91、0.95、0.96
影響を受ける環境：UNIX、Linux、Windows
回避策：最新版へのバージョンアップ

▽myPHPnuke────────────────────────────
myPHPnukeは、細工されたSQLステートメントをprintfeature.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/09/03 登録

危険度：中
影響を受けるバージョン：1.8.8、1.8.8_8、1.8.8_8_final_7
影響を受ける環境：UNIX、Linux、Windows
回避策：1.8.8_8rc2以降へのバージョンアップ

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、SOAPセキュリティヘッダに関連する特定されていないセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/06/05 登録

危険度：低
影響を受けるバージョン：6.10.17ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office─────────────────────────
Microsoft Officeは、細工されたOneNote URLをユーザがクリックした場合にリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが完全に制御される可能性がある。 [更新]
2008/09/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：Office XP SP3、2003 SP2、SP3、
2007 Office System、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows Media Player──────────────────
Microsoft Windows Media Playerは、細工されたオーディオファイルによってリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピューターが完全に制御される可能性がある。 [更新]
2008/09/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：11
影響を受ける環境：Windows XP SP2、SP3、Vista、SP1、Server 2008
回避策：WindowsUpdateの実行

▽Microsoft Windows GDI+──────────────────────
Microsoft Windows GDI+は、細工された画像ファイルを表示することでリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータが完全に制御される可能性がある。 [更新]
2008/09/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：
影響を受ける環境：Windows XP SP2、SP3、Server 2003 SP1、SP2、Vista、SP1、Server 2008
回避策：WindowsUpdateの実行

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Accellion File Transfer Appliance────────────────
Accellion File Transfer Applianceは、細工されたテキストでサポートチケットを作成することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスパムを任意のユーザに送信される可能性がある。
2008/09/16 登録

危険度：
影響を受けるバージョン：FTA_7_0_178
影響を受ける環境：Accellion File Transfer Appliance
回避策：FTA_7_0_189へのバージョンアップ

▽Personal FTP server───────────────────────
Personal FTP serverは、過度に長いファイル名を含む多数のRETRコマンドによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：6.0f
影響を受ける環境：Windows
回避策：公表されていません

▽Baidu Hi─────────────────────────────
Baidu Hiは、細工されたパケットを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/16 登録

危険度：高
影響を受けるバージョン：zh
影響を受ける環境：Windows
回避策：公表されていません

▽Apple iPod touch/ Apple iPhone──────────────────
Apple iPod touchおよびApple iPhoneは、過度に大きいストリングをalert() JavaScript methodに挿入することでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサファリブラウザをクラッシュされる可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：iPhone 1.1.4、2.0、iPod touch 1.1.4、2.0
影響を受ける環境：Apple iPod touch、iPhone
回避策：2.1以降へのバージョンアップ

▽Apple iPhone───────────────────────────
Apple iPhoneは、緊急通報を処理する際のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にpasscodeロックを回避してアプリケーションを起動される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.0.2、2.0.1、2.0
影響を受ける環境：Apple iPhone
回避策：2.1以降へのバージョンアップ

▽Check Point ZoneAlarm Security Suite───────────────
Check Point ZoneAlarm Security Suiteは、適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/16 登録

危険度：高
影響を受けるバージョン：7.0.483.000
影響を受ける環境：Windows
回避策：公表されていません

▽Trend Micro OfficeScan──────────────────────
Trend Micro OfficeScanは、cgiRecvFile.exeサービスが適切なチェックを行っていないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/16 登録

危険度：高
影響を受けるバージョン：Client Server Messaging Security 3.6、3.5、
3.0、2.0
OfficeScan 8.0、7.3 Patch 4、7.0
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽DNSサーバ製品──────────────────────────
Cisco製品をはじめとする複数のDNSサーバ製品は、細工されたDNSクエリによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSキャッシュを汚染される可能性がある。 [更新]
2008/07/09 登録

危険度：中
影響を受けるバージョン：Cisco IOS 12.4XZほか
影響を受ける環境：Cisco製品、Blue Coat ProxyRA
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Horde Turba Contact Manager───────────────────
Horde Turba Contact Managerは、test.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：2.2.1
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽vbLOGIX Tutorials────────────────────────
vbLOGIX Tutorialsは、main.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽PHPortfolio───────────────────────────
PHPortfolioは、photo.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Libxml2─────────────────────────────
Libxml2は、細工されたXML entity nameによってヒープオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/09/12 登録

危険度：高
影響を受けるバージョン：2.7.0以前
影響を受ける環境：UNIX、Linux
回避策：2.7.0へのバージョンアップ

▽GPicView─────────────────────────────
Lightweight X11 Desktop Environment（LXDE）に含まれるGPicViewは、main-win.cスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/09/11 登録

危険度：高
影響を受けるバージョン：0.1.9
影響を受ける環境：UNIX、Linux
回避策：0.1.9-2以降へのバージョンアップ

▽IPsec-Tools───────────────────────────
IPsec-Toolsは、racoonデーモンのメモリリークなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/08/18 登録

危険度：低
影響を受けるバージョン：0.7
影響を受ける環境：UNIX、Linux
回避策：0.7.1以降へのバージョンアップ

▽bzip2──────────────────────────────
bzip2は、細工されたアーカイブを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/03/19 登録

危険度：高
影響を受けるバージョン：1.0.5未満
影響を受ける環境：UNIX、Linux
回避策：1.0.5以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、proc_do_xprt機能が原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/16 登録

危険度：高
影響を受けるバージョン：2.6.26.3
影響を受ける環境：Linux
回避策：公表されていません

▽BitlBee─────────────────────────────
BitlBeeは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られる可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：1.2.1ほか
影響を受ける環境：Linux
回避策：1.2.3以降へのバージョンアップ

▽phpSmartCom───────────────────────────
phpSmartComは、index.phpスクリプトに細工されたURLリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取されたりシステム上で任意のコードを実行される可能性がある。
2008/09/16 登録

危険度：中
影響を受けるバージョン：0.2
影響を受ける環境：Linux
回避策：公表されていません

▽phpVID──────────────────────────────
phpVIDは、細工されたSQLステートメントをgroups.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/09/11 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：Linux
回避策：公表されていません

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP TCP/IP Services for OpenVMS──────────────────
HP TCP/IP Services for OpenVMSは、.planおよび.projectファイルに接続しているリンクをクリックすることでエラーが発生するセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2008/09/16 登録

危険度：低
影響を受けるバージョン：5
影響を受ける環境：HP-UX
回避策：公表されていません

＜Mac OS X＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートによって、ATS、BIND、ClamAV、Directory Services、Finder、ImageIO、Kernel、libresolv、Login Window、mDNSResponder、OpenSSH、QuickDraw Manager、Ruby、SearchKit、System Configuration、System Preferences、Time Machine、VideoConference、Wiki Serverにおけるセキュリティホールが解消される。
2008/09/16 登録

危険度：
影響を受けるバージョン：10.5.5未満ほか
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD 7.x 系──────────────────────────
FreeBSD 7.1がリリースされた。
http://www.freebsd.org/

▽FreeBSD 6.x 系──────────────────────────
FreeBSD 6.4がリリースされた。
http://www.freebsd.org/

▽Delegate─────────────────────────────
Delegate 9.8.5 Betaがリリースされた。
http://www.delegate.org/delegate/

▽Wireshark────────────────────────────
Wireshark 1.1.0がリリースされた。
http://www.wireshark.org/

▽Nmap───────────────────────────────
Nmap 4.76がリリースされた。
http://www.insecure.org/nmap/

▽OpenSSL 0.9.8 系─────────────────────────
OpenSSL 0.9.8iがリリースされた。
http://www.openssl.org/

▽Apple Mac OS X──────────────────────────
Apple Mac OS X 10.5.5がリリースされた。
http://support.apple.com/kb/HT3137

▽Apple Security Update──────────────────────
Apple Security Update 2008-006がリリースされた。
http://support.apple.com/kb/HT3137

▽Apple iPhone───────────────────────────
Apple iPhone v2.1がリリースされた。
http://support.apple.com/kb/HT3129?locale=ja_JP

▽秀丸メール────────────────────────────
秀丸メール 5.09がリリースされた。
http://hide.maruo.co.jp/software/hmmtakeout.html

▽Lunascape────────────────────────────
Lunascape 4.7.4がリリースされた。
http://www.lunascape.jp

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc6-git4がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
@police、マイクロソフト社のセキュリティ修正プログラムについて(MS08-052,053,054,055)(9/13)更新
http://www.cyberpolice.go.jp/important/2008/20080913_164309.html

▽トピックス
JVN、NetBSDの MLD queryパケット処理にサービス運用妨害(DoS)の脆弱性[更新]
http://jvn.jp/cert/JVNVU817940/index.html

▽トピックス
トレンドマイクロ：ブログ、スパムマップ配信国ランキング（2008年8月）
http://blog.trendmicro.co.jp/archives/1782

▽トピックス
KDDI、青少年のお客さまに安心・安全に携帯電話をご利用いただくための取り組みについて
http://www.kddi.com/corporate/news_release/2008/0912b/index.html

▽トピックス
キヤノン、電子文書管理ソフトimageWARE Document Managerをご使用のお客さまへ
http://cweb.canon.jp/e-support/info/080916iw.html

▽トピックス
スマート・セキュリティ・コンソーシアム、自治体・病院・大学職員のセキュリティ意識の向上を目指し「スマート・セキュリティ・フォーラム」を設立
http://www.jri.co.jp/consul/ssf/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.541.00 (09/16)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3438

▽ウイルス情報
シマンテック、Bloodhound.Exploit.206
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-091216-3614-99

▽ウイルス情報
シマンテック、Spyware.XPCMonitor
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-091215-2906-99

▽ウイルス情報
シマンテック、Trojan.Eskiuel
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-091215-0809-99

▽ウイルス情報
シマンテック、AntispywareProXP
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-091212-1053-99

▽ウイルス情報
シマンテック、Spyware.RemoteSpy
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-091210-4552-99

▽ウイルス情報
シマンテック、Spyware.KeyPlusPlus
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-091209-5740-99

▽ウイルス情報
シマンテック、W32.Exiveter
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-091209-5526-99

▽ウイルス情報
シマンテック、Python.Velrag
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-091207-4947-99

◆アップデート情報◆
───────────────────────────────────
●NetBSDがracoon(8)のアップデートをリリース
───────────────────────────────────
　NetBSDがracoon(8)のアップデートをリリースした。このアップデートによって、DoS攻撃を受ける問題が修正される。

Security and NetBSD
http://www.netbsd.org/Security/

───────────────────────────────────
●Turbolinuxがtask-clientのアップデートをリリース
───────────────────────────────────
　Turbolinuxがtask-clientのアップデートをリリースした。このアップデートによって、クライアント環境に必要なパッケージがインストールされる。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Appleがセキュリティアップデートをリリース
───────────────────────────────────
　AppleがMac OS Xのセキュリティアップデートをリリースした。このアップデートによって、複数の問題が修正される。

アップルコンピュータ
http://support.apple.com/kb/HT3137?locale=ja_JP

《ScanNetSecurity》