セキュリティホール情報<2008/09/24> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.09.20(水)

セキュリティホール情報<2008/09/24>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2008/09/24 登録

危険度:
影響を受けるバージョン:Firefox 3.0.2未満、Firefox 2.0.0.17未満、
SeaMonkey 1.0.12未満、Thunderbird 2.0.0.17
未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽DataLife Engine─────────────────────────
DataLife Engineは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:7.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Achievo─────────────────────────────
Achievoは、dispatch.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽fuzzylime (cms)─────────────────────────
fuzzylime (cms)は、usercheck.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:3.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:3.0.3以降へのバージョンアップ

▽xt:Commerce───────────────────────────
xt:Commerceは、shopping_cart.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:3.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽6rbScript────────────────────────────
6rbScriptは、cat.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHP iCalendar──────────────────────────
PHP iCalendarは、index.phpスクリプトでのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意があるファイルをアップロードされる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.24
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Basebuilder───────────────────────────
Basebuilderは、細工されたURLリクエストをmain.inc.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽UNAK-CMS─────────────────────────────
UNAK-CMSは、unak_core.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Availscript Jobs Portal Script──────────────────
Availscript Jobs Portal Scriptは、editlogo.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で任意のPHPファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PhpMyAdmin────────────────────────────
PhpMyAdminは、js_escape.lib.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.11.9.1
影響を受ける環境:UNIX、Linux、Windows
回避策:2.11.9.2以降へのバージョンアップ

▽BLUEPAGE CMS───────────────────────────
BLUEPAGE CMSは、悪意あるPHPSESSID値を含む細工されたWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.4 de、2.5 de
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BlueCUBE CMS───────────────────────────
BlueCUBE CMSは、tienda.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Arcadem─────────────────────────────
Arcademは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.700 Pro、2.705 Pro、2.707 Pro、2.8 Pro、
2.802 Pro
影響を受ける環境:UNIX、Linux、Windows
回避策:2.803以降へのバージョンアップ

▽PHP Pro Bid───────────────────────────
PHP Pro Bidは、categories.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:6.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽DataSpade────────────────────────────
DataSpadeは、Index.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WSN Links────────────────────────────
WSN Linksは、comments.phpスクリプトなどに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.20、2.22、2.23
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Basic PHP Events Lister─────────────────────
Basic PHP Events Listerは、event.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽my_gallery plugin for e107────────────────────
my_gallery plugin for e107は、image_gallery.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:0.9.6.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Explay CMS────────────────────────────
Explay CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたりキャッシュを汚染される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽openElec─────────────────────────────
openElecは、細工されたURLリクエストをform.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:3.01
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Drupal──────────────────────────────
Drupalは、クッキーを適切に処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に正当なユーザのセッションを乗っ取られる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:6.4以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽6rbScript────────────────────────────
6rbScriptは、section.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:3.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PlainCart────────────────────────────
PlainCartは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Oceandir─────────────────────────────
Oceandirは、show_vote.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.9
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Availscript Article Script────────────────────
Availscript Article Scriptは、view.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽UT3 WebAdmin───────────────────────────
UT3 WebAdminは、"ドットドット"シークエンスを含む細工されたURLリクエストをImageServer.uc スクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.4、1.5、1.6
影響を受ける環境:Linux、Windows
回避策:1.7以降へのバージョンアップ

▽Diesel Pay────────────────────────────
Diesel Payは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Diesel Job Site─────────────────────────
Diesel Job Siteは、job-info.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽jPortal─────────────────────────────
jPortalは、humor.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽MyBB───────────────────────────────
MyBBは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.4.1以前
影響を受ける環境:UNIX、Linux、Windows
回避策:1.4.2以降へのバージョンアップ

▽LooYu Web IM───────────────────────────
LooYu Web IMは、newVisitorChat.jsおよびnewCusChat.jsスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:Enterprise、Home Edition、Professional
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHPKB──────────────────────────────
PHPKBは、細工されたSQLステートメントをemail.phpあるいはquestion.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.5 Professional
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽easyLink─────────────────────────────
easyLinkは、detail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽NetArt Media Jobs Portal─────────────────────
NetArt Media Jobs Portalは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽NetArt Media Real Estate Portal─────────────────
NetArt Media Real Estate Portalは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ClanSphere────────────────────────────
ClanSphereは、"getusers"および"listimg"に関連する特定されていないセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:2008、2007.4.4以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2008.2.1以降へのバージョンアップ

▽Advanced Electron Forum─────────────────────
Advanced Electron Forumは、preg_replace () 機能の不安定なコールが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/24 登録

危険度:高
影響を受けるバージョン:1.0.6
影響を受ける環境:UNIX、Linux、Windows
回避策:1.0.7以降へのバージョンアップ

▽ISC BIND─────────────────────────────
ISC BINDは、UDPパケットを適切に処理していないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にUDPクライアントハンドラを応答不能にされる可能性がある。[更新]
2008/09/22 登録

危険度:低
影響を受けるバージョン:9.5.0 P2-W1、9.4.2 P2-W1、9.3.5 P2-W1
影響を受ける環境:UNIX、Linux、Windows
回避策:9.5.0 P2-W2、9.4.2 P2-W2、9.3.5 P2-W2以降へのバージョン
アップ

▽x10 Automatic MP3 Script─────────────────────
x10 Automatic MP3 Scriptは、細工されたURLリクエストをfunction_core.phpおよびlayout_lyrics.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。[更新]
2008/09/19 登録

危険度:中
影響を受けるバージョン:1.5.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽TWiki──────────────────────────────
TWikiは、ユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2008/09/18 登録

危険度:高
影響を受けるバージョン:4.0.0、4.0.1、4.0.2、4.0.3、4.0.4、4.0.6、
4.1.2、4.1.3、4.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:4.2.3以降へのバージョンアップ

▽Python──────────────────────────────
Pythonは、move-faqwiz.shスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/09/17 登録

危険度:中
影響を受けるバージョン:2.3.4、2.3.5、2.3.6、2.4、2.4.1、2.4.2、
2.4.3、2.4.4、2.4.4 r14、2.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Horde製品────────────────────────────
多くのHorde製品は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/09/11 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Django──────────────────────────────
Djangoは、悪意あるWebサイトを開くことでクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2008/09/08 登録

危険度:中
影響を受けるバージョン:0.91、0.95、0.96
影響を受ける環境:UNIX、Linux、Windows
回避策:最新版へのバージョンアップ

▽Wireshark────────────────────────────
Wiresharkは、Tektronix .rf5 filesを取り扱うときに発生するエラーによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2008/09/05 登録

危険度:高
影響を受けるバージョン:1.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:1.0.3以降へのバージョンアップ

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sagem F@st製品──────────────────────────
複数のSagem F@st製品は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを完全にコントロールされる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:2404、1200、1240、1400、1400W、1500、
1500-WG
影響を受ける環境:Sagem F@st製品
回避策:公表されていません

▽Foxmail─────────────────────────────
Foxmailは、過度に長いmailto:パラメータを含む細工されたURLをクリックすることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/24 登録

危険度:高
影響を受けるバージョン:6.5
影響を受ける環境:Windows
回避策:公表されていません

▽Chilkat XML ActiveX control───────────────────
Chilkat XML ActiveX control (ChilkatUtil.dll)は、templateFilenameパラメータに細工されたアーギュメントを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:3.0.3.0
影響を受ける環境:Windows
回避策:公表されていません

▽NMS DVD Burning SDK NMSDVDX.dll ActiveX control─────────
NMS DVD Burning SDK ActiveX control (NMSDVDX.dll)は、細工されたアーギュメントを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.008
影響を受ける環境:Windows
回避策:公表されていません

▽Vignette Content Management───────────────────
Vignette Content Managementは、特定されていないエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションコンフィギュレーションを変更されるなどの可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:7.3.0.5、7.3.1、7.3.1.1、7.4、7.5
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽CCProxy─────────────────────────────
CCProxyは、細工されたCONNECTIONリクエストによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/24 登録

危険度:高
影響を受けるバージョン:6.0
影響を受ける環境:Windows
回避策:公表されていません

▽DESLock+─────────────────────────────
DESLock+は、DLMFENC.sysの多数のエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/24 登録

危険度:高
影響を受けるバージョン:3.2.7
影響を受ける環境:Windows
回避策:公表されていません

▽McAfee SafeBoot Device Encryption────────────────
McAfee SafeBoot Device Encryptionは、プレブート認証の間にキーボードバッファをクリアすることでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:4 build 4750
影響を受ける環境:Windows
回避策:最新版へのバージョンアップ

▽Peachtree Accounting ActiveX control───────────────
Peachtree Accounting ActiveX control (PAWWeb11.ocx)は、ExecutePreferredApplication methodの不安定な使用が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/09/11 登録

危険度:高
影響を受けるバージョン:2004
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Fez───────────────────────────────
Fezは、list.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3、2.0 rc1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽BuzzyWall────────────────────────────
BuzzyWallは、search.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Thyme──────────────────────────────
Thymeは、add_calendars.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Rianxosencabos CMS────────────────────────
Rianxosencabos CMSは、アドミニストレータコントロールパネルを適切に制限していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションアカウントを追加されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:0.9
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽MyFWB──────────────────────────────
MyFWBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux
回避策:1.1以降へのバージョンアップ

▽fhttpd program──────────────────────────
fhttpd programは、Basic認証リクエストを適切に処理していないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:0.4.2
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽strongSwan────────────────────────────
strongSwanは、mpz_export () 機能のNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にIKEv2 charon デーモンをクラッシュされる可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:4.2.6以前
影響を受ける環境:UNIX、Linux
回避策:4.2.7以降へのバージョンアップ

▽ProFTPD─────────────────────────────
ProFTPDは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたりキャッシュを汚染される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:1.3.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽HTTP Anti Virus Proxy──────────────────────
HTTP Anti Virus Proxy(HAVP)は、クライアントのリクエストを処理する際のsockethandler.cppファイルのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なすべてのリソースを消費される可能性がある。 [更新]
2008/08/18 登録

危険度:低
影響を受けるバージョン:0.88
影響を受ける環境:UNIX、Linux
回避策:0.89以降へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽MapCal──────────────────────────────
MapCalは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/24 登録

危険度:中
影響を受けるバージョン:0.1
影響を受ける環境:Linux
回避策:公表されていません

▽JBoss Enterprise Application Platform──────────────
JBoss Enterprise Application Platformは、DownloadServerClassesプロパティの不安定なデフォルトコンフィギュレーションが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバクラスパスから任意のクラスファイルをダウンロードされる可能性がある。
2008/09/24 登録

危険度:低
影響を受けるバージョン:4.3.0 EL5、4.3.0 EL4、4.2.0 EL5、4.2.0 EL4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽BitlBee─────────────────────────────
BitlBeeは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られる可能性がある。 [更新]
2008/09/16 登録

危険度:中
影響を受けるバージョン:1.2.1ほか
影響を受ける環境:Linux
回避策:1.2.3以降へのバージョンアップ

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽QuickTime Player / iTunes────────────────────
QuickTime PlayerおよびiTunesは、過度に長いストリングを含む細工されたファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/09/24 登録

危険度:高
影響を受けるバージョン:iTunes 8.0、QuickTime 7.5.5
影響を受ける環境:Mac OS X
回避策:公表されていません

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Firefox 3.x 系──────────────────────────
Firefox 3.0.2がリリースされた。
http://www.mozilla.org/products/firefox/

▽Firefox 2.x 系──────────────────────────
Firefox 2.0.0.17がリリースされた。
http://www.mozilla.org/products/firefox/

▽Camino──────────────────────────────
Camino 1.6.4がリリースされた。
http://www.mozilla.org/products/camino/

▽libpng──────────────────────────────
libpng 1.2.32がリリースされた。
http://www.libpng.org/pub/png/libpng.html

▽PostgreSQL 8.3.x 系───────────────────────
PostgreSQL 8.3.4がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.2.x 系───────────────────────
PostgreSQL 8.2.10がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.1.x 系───────────────────────
PostgreSQL 8.1.14がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.0.x 系───────────────────────
PostgreSQL 8.0.18がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 7.4.x 系───────────────────────
PostgreSQL 7.4.22がリリースされた。
http://www.postgresql.org/

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.48.01がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽XOOPS 2.3.x 系──────────────────────────
XOOPS 2.3.0がリリースされた。
http://xoops.com/

▽iPhone Configuration Utility───────────────────
iPhone Configuration Utility 1.0.1 for Mac OS Xがリリースされた。
http://www.apple.com/jp/ftp-info/reference/iphoneconfigurationutility101formacosx.html

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc7がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc7-git1がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JVN、Apple 製品における複数の脆弱性に対するアップデート [更新]
http://jvn.jp/cert/JVNTA08-260A/index.html

▽トピックス
IPA/ISEC、NIST SP800-83 マルウェアによるインシデントの防止と対応のためのガイド の翻訳を公開
http://www.ipa.go.jp/security/publications/nist/index.html

▽トピックス
G DATA、大人気ハリウッドスターに注目するサイバー犯罪業界
http://gdata.co.jp/press/archives/2008/09/post_42.htm

▽トピックス
intego:セキュリティ・メモ、QuickTimeにバグが見つかる:攻撃に利用される可能性あり
http://www.intego.com/jp/news/ism0804.asp

▽トピックス
WILLCOM、サーバーメンテナンスにともなうウィルコムストアサービス停止のお知らせ(9月29日〜30日)
http://www.willcom-inc.com/ja/info/08092402.html

▽トピックス
WILLCOM、ウィルコムサービスセンター自動音声メンテナンスのお知らせ(9月29日〜30日)
http://www.willcom-inc.com/ja/info/08092403.html

▽トピックス
日本ユニシス、「統合ID管理ソリューション」を拡充
http://www.unisys.co.jp/news/NR_080924_security.html

▽トピックス
ソフトバンクグループ6社、「ECサイト運営支援ソリューション」を開発
http://www.softbankbb.co.jp/ja/news/press/2008/20080924_01/index.html

▽トピックス
丸紅インフォテック、グローバルサインとコードサイニング証明書の販売契約を締結
http://www.m-infotec.co.jp/newsrelease/index62.html

▽トピックス
セキュアブレイン、スルガ銀行がフィッシング対策ソリューション「PhishWall」を採用
http://www.securebrain.co.jp/news/080924_pw_suruga.html

▽トピックス
日立、CPUを搭載しないメモリチップ単体で「電子署名」機能を組み込む技術を開発
http://www.hitachi.co.jp/New/cnews/month/2008/09/0922a.html

▽トピックス
米インテル、セキュリティーと自動保守機能強化した「インテル vProテクノロジー」を発表
http://www.intel.co.jp/jp/intel/pr/press2008/080922.htm

▽トピックス
ワダックスのレンタルサーバー@Next Style全サービスで、CLOUDMARKを搭載したアンチスパム「Active! hunter」の提供を開始
http://www.wadaxinc.co.jp/news/08092401.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.559.00 (09/24)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT:978 (09/21)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3454

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3453

▽ウイルス情報
シマンテック、Packed.Generic.188
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-092317-1145-99

▽ウイルス情報
シマンテック、Packed.Generic.187
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-092215-3430-99

▽ウイルス情報
日本エフ・セキュア、Worm:W32/AutoRun.GM
http://www.f-secure.co.jp/v-descs/v-descs3/Worm_W32_AutoRun.GM.htm

▽ウイルス情報
マカフィー、FakeAlert-AB!AC029714
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-AB!AC029714

▽ウイルス情報
マカフィー、Generic PUP.x!D4A8950A
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!D4A8950A

▽ウイルス情報
マカフィー、Generic PUP.x!9E7E39B2
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!9E7E39B2

▽ウイルス情報
マカフィー、Generic PUP.x!87DA709E
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!87DA709E

▽ウイルス情報
マカフィー、Generic PUP.z
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.z

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
 Debianがhorde3、phpmyadminおよびpython-djangoのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
 Gentoo Linuxがed、bitlbee、Rおよびnewsbeuterのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがfirefoxのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがfirefoxのアップデートパッケージをリリースした。このアップデートによって、firefoxにおける問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

    Wi-Fiルータを攻撃し、Androidユーザを感染させるトロイの木馬を発見(カスペルスキー)

  2. Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

    Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)

  3. 自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

    自動車ハッキングのリスク 本当のところ - 名古屋大学 高田教授に聞く

  4. Apache Struts 2 において REST プラグインの実装不備により任意のコードが実行されてしまう脆弱性(Scan Tech Report)

  5. Git における値検証不備を悪用して任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. 富士ゼロックスが提供する複数の製品に任意コード実行の脆弱性(JVN)

  7. 「WannaCry」や「Mirai」の亜種や別種によるアクセスが増加(警察庁)

  8. NTT西日本の「フレッツ接続ツール」に任意コード実行の脆弱性(JVN)

  9. 幅広い環境が影響を受けるBluetoothの脆弱性「BlueBorne」に注意喚起(JPCERT/CC)

  10. Microsoft Windows の GDI に Palette オブジェクトにおける整数オーバーフローにより管理者権限で任意のコードが実行可能となる脆弱性(Scan Tech Report)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×