セキュリティホール情報＜2008/11/07＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年11月7日（金） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Adobe Flash Player────────────────────────
Adobe Flash Playerは、細工されたFlash ActionScript attributeを作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にHTML injection攻撃を受ける可能性がある。
2008/11/07 登録

危険度：
影響を受けるバージョン：9.0.124.0以前
影響を受ける環境：UNIX、Linux、Windows
回避策：9.0.151.0へのバージョンアップ

▽Smarty──────────────────────────────
Smartyは、_expand_quoted_text()機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/11/07 登録

危険度：高
影響を受けるバージョン：2.6.9
影響を受ける環境：UNIX、Linux、Windows
回避策：2.6.20-1以降へのバージョンアップ

▽Arab Portal───────────────────────────
Arab Portalは、「/../」を含む細工されたURLリクエストをmod.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：2.1 ar
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Nice PHP FAQ Script───────────────────────
Nice PHP FAQ Scriptは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Photo Gallery──────────────────────────
Photo Galleryは、gallery_category.php、gallery_photo.phpおよびindex.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre ADS Portal──────────────────────────
Pre ADS Portalは、adminhome.phpスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Real Estate Listings─────────────────────
Pre Real Estate Listingsは、login.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Job Board──────────────────────────
Pre Job Boardは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Classified Listings PHP───────────────────
Pre Classified Listings PHPは、adminnameおよびadminidクッキーパラメータを修正されることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセス権を奪取される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Small ShoutBox module for phpBB2─────────────────
Small ShoutBox module for phpBB2は、shoutbox_view.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Multi Vendor Shopping Malls─────────────────
Pre Multi Vendor Shopping Mallsは、adminnameおよびadminidクッキーパラメータを修正されることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセス権を奪取される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Podcast Portal────────────────────────
Pre Podcast Portalsは、Tour.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Pre Simple CMS──────────────────────────
Pre Simple CMSは、adminlogin.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Airline Ticket──────────────────────────
Airline Ticketは、info.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Taxi Calc Dist──────────────────────────
Taxi Calc Distは、login.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP Auto Listings────────────────────────
PHP Auto Listingstは、moreinfo.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Drinks──────────────────────────────
Drinksは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Dada Mail Manager component for Joomla!─────────────
Dada Mail Manager component for Joomla!は、細工されたURLリクエストをconfig.dadamail.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：2.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Content Construction Kit module for Drupal────────────
Content Construction Kit（CCK）module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：6.x-2.0 rc6以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽VLC Media Player─────────────────────────
VLC Media Playerは、細工されたCUEイメージファイルによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/11/07 登録

危険度：高
影響を受けるバージョン：0.9.5以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Adobe ColdFusion─────────────────────────
Adobe ColdFusionは、特定されていないエラーが原因でsandboxセキュリティを回避し権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に限定されたファイルに無許可のアクセスを実行される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：7.0.2、8.0、8.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Adobe Acrobat / Adobe Reader───────────────────
Adobe AcrobatおよびAdobe Readerは、細工されたPDFファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/11/05 登録

危険度：高
影響を受けるバージョン：Acrobat 8.1.2、Acrobat Reader 8.1.2
影響を受ける環境：UNIX、Windows
回避策：ベンダの回避策を参照

▽Article Publisher Pro──────────────────────
Article Publisher Proは、細工されたSQLステートメントをcontact_author.phpおよびadmin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/11/04 登録

危険度：中
影響を受けるバージョン：1.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Typo───────────────────────────────
Typoは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/10/31 登録

危険度：中
影響を受けるバージョン：5.1.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenOffice────────────────────────────
OpenOfficeは、細工されたStarOffice/StarSuiteドキュメントを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/10/30 登録

危険度：高
影響を受けるバージョン：2.0、2.0.2、2.0.3、2.0.4、2.1、2.2、2.3、
2.4、2.4.1
影響を受ける環境：UNIX、Linux、Windows
回避策：2.4.2以降へのバージョンアップ

▽MySQL──────────────────────────────
MySQLは、ある特定の特典チェックを回避されることでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2008/10/07 登録

危険度：中
影響を受けるバージョン：5.0.9ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.67以降へのバージョンアップ

▽Tcl/Tk──────────────────────────────
Tcl/Tkは、tkImgGIF.cのReadImage () 機能が適切なチェックを行っていないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/02/07 登録

危険度：高
影響を受けるバージョン：8.5.1未満
影響を受ける環境：UNIX、Linux、Windows
回避策：8.5.1以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows Media Player──────────────────
Microsoft Windows Media Playerは、細工されたMIDIおよびDATファイルを開くことでDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2008/11/07 登録

危険度：低
影響を受けるバージョン：9、10、11
影響を受ける環境：Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun System Firmware───────────────────────
Sun System Firmwareは、未知のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2008/11/07 登録

危険度：低
影響を受けるバージョン：6.6.3、6.6.4、6.6.5、7.1.3、7.1.3.d、
7.1.3.e
影響を受ける環境：Sun System Firmware
回避策：ベンダの回避策を参照

▽Valgrind / Lynx─────────────────────────
ValgrindおよびLynxは、特定されていないセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2008/11/07 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽Cisco IOS / CatOS────────────────────────
Cisco IOSおよびCatOSは、細工されたVLAN Trunking Protocol (VTP)パケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを無反応にされる可能性がある。 [更新]
2008/11/06 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Cisco IOS、CatOS
回避策：ベンダの回避策を参照

▽Cisco PIX / ASA─────────────────────────
Cisco PIXおよびASAは、細工されたパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを再起動される可能性がある。 [更新]
2008/10/23 登録

危険度：中
影響を受けるバージョン：Adaptive Security Appliance 8.0、8.1
影響を受ける環境：Cisco ASA device
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽News And Article System─────────────────────
News And Article Systemは、article_details.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Membership System────────────────────────
Membership Systemは、index.phpおよびcustomer_login.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Events Calendar─────────────────────────
Events Calendarは、index.phpおよびcalendar_details.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽libcdaudio────────────────────────────
libcdaudioは、過度に大きい量のデータを送信されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりライブラリをクラッシュされる可能性がある。
2008/11/07 登録

危険度：高
影響を受けるバージョン：0.99.10、0.99.11、0.99.12 p2、0.99.12、
0.99.4、0.99.5、0.99.6、0.99.7、0.99.8、
0.99.9
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽YourFreeWorld Reminder Service Script──────────────
YourFreeWorld Reminder Service Scriptは、tr.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2008/11/06 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽YourFreeWorld Autoresponder Hosting Script────────────
YourFreeWorld Autoresponder Hosting Scriptは、tr.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2008/11/06 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽YourFreeWorld Scrolling Text Ads Script─────────────
YourFreeWorld Scrolling Text Ads Scriptは、tr.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2008/11/06 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Nagios──────────────────────────────
Nagiosは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されたり、攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。 [更新]
2008/11/06 登録

危険度：中
影響を受けるバージョン：3.0.4ほか
影響を受ける環境：UNIX、Linux
回避策：3.0.5以降へのバージョンアップ

▽Symantec Veritas File System (VxFS)───────────────
Symantec Veritas File System (VxFS)は、qioadminユーティリティでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/10/22 登録

危険度：低
影響を受けるバージョン：3.2、3.3.3、3.4、3.5、4.1、5.0
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Netpbm──────────────────────────────
Netpbmは、細工されたGIFファイルを作成されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/02/12 登録

危険度：
影響を受けるバージョン：10.27未満
影響を受ける環境：UNIX、Linux
回避策：10.27以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽dtc-common────────────────────────────
dtc-commonは、accesslog.phpおよびsa-wrapperスクリプトが不安定な一時ディレクトリを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：0.29.6
影響を受ける環境：Linux
回避策：0.29.10-1以降へのバージョンアップ

▽Mgt───────────────────────────────
Mgtは、不安定なmailgoテンポラリーファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：2.31
影響を受ける環境：Linux
回避策：公表されていません

▽emacs-jabber───────────────────────────
emacs-jabberは、emacs-jabberスクリプトが不安定な一時ディレクトリを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：0.7.91
影響を受ける環境：Linux
回避策：0.7.91-2以降へのバージョンアップ

▽gccxml──────────────────────────────
gccxmlは、find_flagsスクリプトが不安定な一時ディレクトリを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：0.9.0
影響を受ける環境：Linux
回避策：公表されていません

▽xcal───────────────────────────────
xcalは、pscalスクリプトが不安定な一時ディレクトリを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2008/11/07 登録

危険度：中
影響を受けるバージョン：4.1
影響を受ける環境：Linux
回避策：4.1-19以降へのバージョンアップ

▽Enscript─────────────────────────────
Enscriptは、未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/11/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：Linux
回避策：パッチのインストール

▽PTK───────────────────────────────
PTKは、細工されたファイル名を含むファイルを閲覧することでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2008/11/07 登録

危険度：高
影響を受けるバージョン：0.1、0.2、1.0
影響を受ける環境：Linux
回避策：1.0.1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたESSIDを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/11/06 登録

危険度：
影響を受けるバージョン：2.6
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Novell Access Manager Identity Server──────────────
Novell Access Manager Identity Serverは、X509 certificate validation processが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に無資格でログオンされる可能性がある。 [更新]
2008/11/06 登録

危険度：中
影響を受けるバージョン：3
影響を受ける環境：Linux
回避策：公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたhfsplusファイルシステムをマウントされることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。[更新]
2008/11/05 登録

危険度：高
影響を受けるバージョン：2.6.9 finalほか
影響を受ける環境：Linux
回避策：2.6.28-rc1以降へのバージョンアップ

▽libspf2─────────────────────────────
libspf2は、細工されたDNS TXT recordsを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/10/24 登録

危険度：高
影響を受けるバージョン：1.2.1、1.2.2、1.2.3、1.2.4、1.2.5、1.2.6、
1.2.7
影響を受ける環境：Linux
回避策：1.2.8以降へのバージョンアップ

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP Tru64─────────────────────────────
HP Tru64は、AdvFS "showfile" commandが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2008/11/07 登録

危険度：
影響を受けるバージョン：5.1B-3、5.1B-4
影響を受ける環境：HP Tru64
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽秀丸エディタ───────────────────────────
秀丸エディタ Ver7.10がリリースされた。
http://hide.maruo.co.jp/

▽パスワード総合管理────────────────────────
パスワード総合管理 Ver2.07がリリースされた。
http://hide.maruo.co.jp/software/pwinte.html

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、新たな「国別トップレベルドメイン」の導入についての検討開始
http://www.soumu.go.jp/s-news/2008/081105_2.html

▽トピックス
総務省、情報通信審議会　情報通信政策部会インターネット基盤委員会（第11回）開催案内
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/081110_1.html

▽トピックス
JVN、EC-CUBE における SQL インジェクションの脆弱性
http://jvn.jp/jp/JVN19072922/index.html

▽トピックス
JVN、sISAPILocation における HTTP ヘッダ書き換え回避の脆弱性
http://jvn.jp/jp/JVN67060882/index.html

▽トピックス
IPA/ISEC、「EC-CUBE」におけるセキュリティ上の弱点（脆弱性）の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2008/200811_EC-CUBE.html

▽トピックス
NISC、第14回基本計画検討委員会を開催
http://www.nisc.go.jp/conference/seisaku/kihon/index.html#index14

▽トピックス
迷惑メール相談センター、『撃退！チェーンメール』データ公開　更新
http://www.dekyo.or.jp/soudan/chain/report/index.html

▽トピックス
迷惑メール相談センター、『迷惑メール対策』メール利用上の注意　更新
http://www.dekyo.or.jp/soudan/taisaku/u4-1.html

▽トピックス
トレンドマイクロ、定期サーバメンテナンスのお知らせ（2008年11月14日）
http://www.trendmicro.co.jp/support/news.asp?id=1164

▽トピックス
トレンドマイクロ：ブログ、次期大統領オバマ氏演説ビデオへの誘導メール：実はトロイの木馬
http://blog.trendmicro.co.jp/archives/2132

▽トピックス
トレンドマイクロ：ブログ、脆弱性（MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認
http://blog.trendmicro.co.jp/archives/2115

▽トピックス
ソフォス、[グラハム・クルーリーの Blog] ゲストブログ：ハッカーはiPhone を狙うか？
http://www.sophos.co.jp/pressoffice/news/articles/2008/11/gcb-1103-osxmalware.html

▽トピックス
キヤノンITソリューションズ、電子メールによるお問い合わせについて
http://canon-its.jp/supp/c_news.html

▽トピックス
WILLCOM、シャープ製「WILLCOM 03」「Advanced/W-ZERO3[es]」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
NTT、オプソースとSaaSに関する戦略的提携
http://www.ntt.co.jp/news/news08/0811/081106b.html

▽トピックス
NTT東日本、フレッツ光ネクストを利用した遠隔保健指導トライアルの実施について
http://www.ntt-east.co.jp/release/0811/081106a.html

▽トピックス
マイクロソフト、上勝町とマイクロソフトがICTの利活用による地域振興に関する活動実績と今後の計画を発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3576

▽トピックス
マイクロソフト：ブログ、2008年11月のセキュリティリリース予定
http://blogs.technet.com/jpsecurity/archive/2008/11/07/3148853.aspx

▽トピックス
NEC、世界最軽量の超小型モバイルサーバを活用した「現場可視化ソリューション」を販売開始
http://www.nec.co.jp/press/ja/0811/0702.html

▽トピックス
イー・アクセス、通信障害の発生及び復旧について
http://www.eaccess.net/cgi-bin/press.cgi?id=816

▽トピックス
日立、指静脈認証システムが「auショップ」などの顧客管理システムに採用
http://www.hitachi.co.jp/New/cnews/month/2008/11/1107a.html

▽トピックス
ホットリンク、排除率9割以上の高性能スパムブログ排除技術を開発
http://www.hottolink.co.jp/entry298.html

▽トピックス
ヤフー、「Yahoo !ウォレット」が情報セキュリティ基準「PCI DSS」認定を取得
http://pr.yahoo.co.jp/release/2008/1107a.html

▽トピックス
ミック経済研究所、「個人認証型セキュリティソリューション市場の現状と将来展望 2008」を発刊
http://www.mic-r.co.jp

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.641.00 (11/07)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3587

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3589

▽ウイルス情報
マカフィー、Generic PWS.y!6F939359
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PWS.y!6F939359

▽ウイルス情報
マカフィー、Generic PUP.x!C6D4EB23
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!C6D4EB23

▽ウイルス情報
マカフィー、Generic PUP.x!C6D4EB23
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20PUP.x!C6D4EB23

◆アップデート情報◆
───────────────────────────────────
●Debianがmysql-dfsg-5.0のアップデートをリリース
───────────────────────────────────
　Debianがmysql-dfsg-5.0のアップデートをリリースした。このアップデートによって、セキュリティ制限を回避される問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Ubuntu Linuxが複数のアップデートをリリース
───────────────────────────────────
　Ubuntu Linuxがlinux-ubuntu-modules-2.6.22/24、netpbm、tkのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

《ScanNetSecurity》