セキュリティホール情報<2008/10/20> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

セキュリティホール情報<2008/10/20>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽TCPスタックインプリメンテーション────────────────
複数のTCPスタックインプリメンテーションは、細工されたデータによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションなどを応答不能にされる可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽iGaming CMS───────────────────────────
iGaming CMSは、search.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:2.0 Alpha 1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Node Clone module for Drupal───────────────────
Node Clone module for Drupalは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題は、リモートの攻撃者に悪用される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:5.x-1.5、5.x-2.5、6.x-1.0 beta2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽WebGUI──────────────────────────────
WebGUIは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:7.5.25
影響を受ける環境:UNIX、Linux、Windows
回避策:7.5.26以降へのバージョンアップ
ベンダ:http://www.webgui.org/

□ 関連情報:

ISS X-Force Database 2008/10/20 登録
webgui-passwordrecovery-weak-security (45945) WebGUI password
recovery feature weak security
http://xforce.iss.net/xforce/xfdb/45945

ISS X-Force Database 2008/10/20 登録
webgui-unspecified1-xss (45944) WebGUI unspecified cross-site
scripting
http://xforce.iss.net/xforce/xfdb/45944

WebGUI Bug Tracker 2008/10/20 登録
8790, Email based password recovery allows resetting any users
email
http://www.webgui.org/bugs/tracker/8790

WebGUI Advisories 2008/10/20 登録
WebGUI 7.5.26 (stable) Released
http://www.webgui.org/getwebgui/advisories/webgui-7.5.26-stable-released

Secunia - Advisories 2008/10/20 登録
WebGUI Security Bypass and Cross-Site Scripting
http://secunia.com/advisories/32295

▽Mantis──────────────────────────────
Mantisは、manage_proj_page.phpスクリプトがユーザ入力を適切にチェッ
クしていないことが原因でセキュリティホールが存在する。この問題が悪
用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行さ
れる可能性がある。
2008/10/20 登録

危険度:高
影響を受けるバージョン:1.1、1.1.1、1.1.2、1.1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WEB//NEWS────────────────────────────
WEB//NEWSは、search.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。 [更新]
2008/10/17 登録

危険度:中
影響を受けるバージョン:1.4
影響を受ける環境:UNIX、Linux、Windows
回避策:1.4.1a以降へのバージョンアップ

▽PokerMax Poker League──────────────────────
PokerMax Poker Leagueは、ValidUserAdminクッキーパラメータを修正することでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションのアクセス権を奪取される可能性がある。[更新]
2008/10/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Easy-CafeEngine─────────────────────────
Easy-CafeEngineは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/10/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、細工されたWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に情報を漏えいされる可能性がある。 [更新]
2008/10/15 登録

最大深刻度 : 緊急
影響を受けるバージョン:5.01、6、6 SP1、7
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IBM ENOVIA SmarTeam───────────────────────
IBM ENOVIA SmarTeamは、Workflowプロセスビューを使用してセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に限定されたドキュメントオブジェクトを閲覧される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:5
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Hummingbird HostExplorer─────────────────────
Hummingbird HostExplorerは、細工されたWebページを開くことでHummingbird.XWebHostCtrl.1 ActiveX コントロール(hclxweb.dll)がスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2008/10/20 登録

危険度:高
影響を受けるバージョン:6.2、8.0
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Habari──────────────────────────────
Habariは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:0.5.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Content Plus───────────────────────────
Content Plusは、特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:2.1.1
影響を受ける環境:UNIX、Linux
回避策:2.2.0以降へのバージョンアップ

▽Libxml2─────────────────────────────
Libxml2は、細工されたXMLドキュメントによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリとCPUリソースを過度に消費される可能性がある。 [更新]
2008/08/22 登録

危険度:低
影響を受けるバージョン:2.6.31
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽IPsec-Tools───────────────────────────
IPsec-Toolsは、racoonデーモンのメモリリークなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/08/18 登録

危険度:低
影響を受けるバージョン:0.7
影響を受ける環境:UNIX、Linux
回避策:0.7.1以降へのバージョンアップ

▽bzip2──────────────────────────────
bzip2は、細工されたアーカイブを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/03/19 登録

危険度:高
影響を受けるバージョン:1.0.5未満
影響を受ける環境:UNIX、Linux
回避策:1.0.5以降へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Habari──────────────────────────────
Habariは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:0.5.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Content Plus───────────────────────────
Content Plusは、特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2008/10/20 登録

危険度:中
影響を受けるバージョン:2.1.1
影響を受ける環境:UNIX、Linux
回避策:2.2.0以降へのバージョンアップ

▽Libxml2─────────────────────────────
Libxml2は、細工されたXMLドキュメントによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリとCPUリソースを過度に消費される可能性がある。 [更新]
2008/08/22 登録

危険度:低
影響を受けるバージョン:2.6.31
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽IPsec-Tools───────────────────────────
IPsec-Toolsは、racoonデーモンのメモリリークなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/08/18 登録

危険度:低
影響を受けるバージョン:0.7
影響を受ける環境:UNIX、Linux
回避策:0.7.1以降へのバージョンアップ

▽bzip2──────────────────────────────
bzip2は、細工されたアーカイブを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/03/19 登録

危険度:高
影響を受けるバージョン:1.0.5未満
影響を受ける環境:UNIX、Linux
回避策:1.0.5以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Squid──────────────────────────────
Squid 2.6 STABLE22がリリースされた。
http://www.squid-cache.org/

▽Lunascape────────────────────────────
Lunascape 4.8.0 正式版がリリースされた。
http://www.lunascape.jp

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27.2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-git8がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.4.x 系──────────────────────
Linux kernel 2.4.36.8がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律施行令(案)に対する意見募集
http://www.soumu.go.jp/s-news/2008/081017_8.html

▽トピックス
警察庁、電子政府利用促進週間について
http://www.npa.go.jp/shinseisys/index.html

▽トピックス
JVN、Movable Type におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN81490697/index.html

▽トピックス
JVN、hisa_cart における情報漏えいの脆弱性
http://jvn.jp/jp/JVN67334580/index.html

▽トピックス
IPA、「第4回IPA情報セキュリティ標語・ポスター」の入選作品決定
http://www.ipa.go.jp/about/press/20081017.html

▽トピックス
IPA、「2008年度日本OSS貢献者賞」の受賞者を選定
http://www.ipa.go.jp/about/press/20081017-2.html

▽トピックス
IPA/ISEC、「情報セキュリティ産業の構造に関する基礎調査」の公募(企画競争)について
http://www.ipa.go.jp/security/kobo/20fy/sangyo/index.html

▽トピックス
ソフォス、Adobe Systems 社の Web サイト上に深刻な Web マルウェアを検知
http://www.sophos.co.jp/pressoffice/news/articles/2008/10/adobe-infection.html

▽トピックス
ソフォス:ブログ、Badsrc マルウェアによる深刻な被害
http://www.sophos.co.jp/pressoffice/news/articles/2008/10/slb-1863-Badsrc.html

▽トピックス
ソフォス:ブログ、攻撃された?ええ、多分。
http://www.sophos.co.jp/pressoffice/news/articles/2008/10/slb-1858-MySpace.html

▽トピックス
ソフォス:ブログ、アンジェリーナ・ジョリーを詐称するマルウェアキャンペーン
http://www.sophos.co.jp/pressoffice/news/articles/2008/10/slb-1856-anjelinamalware.txt

▽トピックス
Dr.WEB、配信済み vdb ファイル drw43322.vdb, drw4339y.vdb, drw433a7.vd を改訂
http://drweb.jp/news/20081020.html

▽トピックス
サイバートラスト、Trusted Web シール障害のお詫び
http://www.cybertrust.ne.jp/info/2008/081017.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.605.00 (10/20)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3523

▽サポート情報
アンラボ、V3 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3522

▽統計・資料
JPCERT/CC、制御システムセキュリティイベント (MOF 2008、PCSF 2008)講演資料を掲載
http://www.jpcert.or.jp/ics/community.html

▽ウイルス情報
トレンドマイクロ、TROJ_AGENT.BRQ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EBRQ

▽ウイルス情報
トレンドマイクロ、TROJ_BANKER.EDN
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FBANKER%2EEDN

▽ウイルス情報
トレンドマイクロ、WORM_AUTORUN.ASL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FAUTORUN%2EASL

▽ウイルス情報
トレンドマイクロ、WORM_ONLINEG.AFU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FONLINEG%2EAFU

▽ウイルス情報
トレンドマイクロ、VBS_PSYME.DJY
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS%5FPSYME%2EDJY

▽ウイルス情報
シマンテック、AntivirusPlasma
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-101710-1015-99

▽ウイルス情報
マカフィー、Generic PUP.x!950EAFC0
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!950EAFC0

▽ウイルス情報
マカフィー、Generic PUP.x!92773562
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!92773562

▽ウイルス情報
マカフィー、Generic PUP.x!736F1308
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!736F1308

▽ウイルス情報
マカフィー、Generic PUP.x!06F91978
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!06F91978

▽ウイルス情報
マカフィー、Generic Downloader.x!68E386BD
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Downloader.x!68E386BD

▽ウイルス情報
マカフィー、Adware-Cinmus!FDE974A3
http://www.mcafee.com/japan/security/virA.asp?v=Adware-Cinmus!FDE974A3

▽ウイルス情報
マカフィー、Adware-Cinmus!A39C7525
http://www.mcafee.com/japan/security/virA.asp?v=Adware-Cinmus!A39C7525

▽ウイルス情報
マカフィー、Adware-Fastlook!39E39576
http://www.mcafee.com/japan/security/virA.asp?v=Adware-Fastlook!39E39576

▽ウイルス情報
マカフィー、Adware-Fastlook!A2E29364
http://www.mcafee.com/japan/security/virA.asp?v=Adware-Fastlook!A2E29364

▽ウイルス情報
マカフィー、Adware-TryMedia!2ED8567C
http://www.mcafee.com/japan/security/virA.asp?v=Adware-TryMedia!2ED8567C

◆アップデート情報◆
───────────────────────────────────
●Debianがopenvpnおよびmozillaのアップデートをリリース
───────────────────────────────────
 Debianがopenvpnおよびmozillaのアップデートをリリースした。このアップデートによって、機密情報を奪取される問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxがipsec-toolsおよびncpfsのアップデートをリリース
───────────────────────────────────
 Miracle Linuxがipsec-toolsおよびncpfsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●SuSE LinuxがSecurity Summary Reportをリリース
───────────────────────────────────
 SuSE LinuxがSecurity Summary Reportをリリースした。Summary Reportには、複数の問題の修正が含まれる。


SuSe Security Announcement
http://www.suse.de/de/security/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

    「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  4. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  7. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×