以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━▽MyBB───────────────────────────────MyBBは、細工されたリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:1.4.3影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽enVision─────────────────────────────enVisionは、Webコンソールでの特定されていないエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:3.5.0、3.5.1、3.5.2、3.7.0影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽WordPress────────────────────────────WordPressは、feed.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:2.6.2ほか影響を受ける環境:UNIX、Linux、Windows回避策:2.6.5以降へのバージョンアップ▽Jamit Job Board─────────────────────────Jamit Job Boardは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:3.4.10影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Video Girls BiZ─────────────────────────Video Girls BiZは、view_snaps.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Download Manager module for LoveCMS───────────────Download Manager module for LoveCMSは、index.phpスクリプトがファイル拡張子を適切にチェックしないことでPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:1.0影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽SimpleBlog────────────────────────────SimpleBlogは、ダイレクトリクエストを送ることでデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2008/11/27 登録危険度:低影響を受けるバージョン:3.0影響を受ける環境:Windows回避策:公表されていません▽SimpleBlog────────────────────────────SimpleBlogは、ダイレクトリクエストを送ることでデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2008/11/27 登録危険度:低影響を受けるバージョン:3.0影響を受ける環境:Windows回避策:公表されていません<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽I-O DATA HDL-F──────────────────────────I-O DATA HDL-Fは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されたり、リモートの攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:ja影響を受ける環境:I-O DATA HDL-F回避策:ベンダの回避策を参照▽HeXHub──────────────────────────────HeXHubは、特定されていないエラーによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2008/11/27 登録危険度:高影響を受けるバージョン:5.01g Firewall 1.08、5.01i Firewall 1.08、5.01j Firewall 1.09、5.02b Firewall 1.09影響を受ける環境:Windows回避策:5.02c Firewall 1.09以降へのバージョンアップ<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽VideoScript───────────────────────────VideoScriptは、homeset.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2008/11/27 登録危険度:高影響を受けるバージョン:4.0.1.50、4.0.1.55影響を受ける環境:UNIX、Linux回避策:公表されていません<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽VMBuilder────────────────────────────VMBuilderは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題は攻撃者に悪用される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:6.06 LTS、7.10、8.04 LTS、8.10影響を受ける環境:Linux回避策:ベンダの回避策を参照▽yast2-backup───────────────────────────yast2-backupは、細工されたシェルを引用することによってセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。2008/11/27 登録危険度:高影響を受けるバージョン:影響を受ける環境:Linux回避策:ベンダの回避策を参照▽ICY BOX NAS───────────────────────────ICY BOX NASは、多数のスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2008/11/27 登録危険度:中影響を受けるバージョン:2.3.2 IB.2.RS.1影響を受ける環境:Linux回避策:公表されていません▽GnuTLS──────────────────────────────GnuTLS(Gnu Transport Layer Security Library)は、X.509 certificate chain validationでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。 [更新]2008/11/11 登録危険度:中影響を受けるバージョン:2.6.0影響を受ける環境:Linux回避策:2.6.1以降へのバージョンアップ▽GNU Coreutils──────────────────────────GNU Coreutilsは、Pluggable Authentication Module (PAM) のpam_succeed_if() 機能が原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に期限切れあるいはロックされたアカウントに不正にアクセスされる可能性がある。 [更新]2008/07/28 登録危険度:中影響を受けるバージョン:RedHat Enterprise Linux 4影響を受ける環境:Linux回避策:ベンダの回避策を参照<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽KDE───────────────────────────────KDE 4.2 Beta 1がリリースされた。http://kde.org/ ▽XOOPS 2.3.x 系──────────────────────────XOOPS 2.3.2がリリースされた。http://xoops.com/ <セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━▽トピックス総務省、インターネット上の違法・有害情報への対応に関する検討会(第9回)配付資料 http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_illegal/081126_2.html▽トピックス総務省、インターネット上の違法・有害情報への対応に関する検討会(第8回)議事要旨http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_illegal/pdf/080926_3.pdf▽トピックス警察庁、振り込め詐欺被害者が現金等を送付した住所の公表についてhttp://www.npa.go.jp/pressrelease/souni/furikome_jyusyo.pdf▽トピックス警察庁、インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律の一部を改正する法律に関し国家公安委員会が定める処分基準案に対する意見の募集結果についてhttp://search.e-gov.go.jp/servlet/Public?ANKEN_TYPE=3&CLASSNAME=Pcm1090&KID=120080022&OBJCD=&GROUP=▽トピックス警察庁、「振り込め詐欺(恐喝)」の認知・検挙状況等について(平成20年1〜10月)http://www.npa.go.jp/sousa/souni7/furikome_H20_1-10.pdf▽トピックス@police、マイクロソフト社のセキュリティ修正プログラムについて(MS07-005,006,007,008,009,010,011,012,013,014,015,016)(11/26)更新http://www.cyberpolice.go.jp/important/2008/20081126_194534.html▽トピックスJVN、CGI RESCUE 製簡易BBS2000 におけるディレクトリトラバーサルの脆弱性 [更新]http://jvn.jp/jp/JVN86833991/index.html▽トピックスJVN、アイ・オー・データ製 HDL-F シリーズにおけるクロスサイトリクエストフォージェリの脆弱性http://jvn.jp/jp/JVN70599814/index.html▽トピックストレンドマイクロ、ウイルスバスター コーポレートエディション 8.0 Service Pack1 適用済版公開のお知らせhttp://www.trendmicro.co.jp/support/news.asp?id=1174 ▽トピックストレンドマイクロ、InterScan Messaging Security Suite 7.0 Windows版Critical Patch (Build 62481) 公開のお知らせhttp://www.trendmicro.co.jp/support/news.asp?id=1173 ▽トピックストレンドマイクロ:ブログ、脆弱性 (MS08-067:CVE-2008-4250)を悪用したワームの流通を確認http://blog.trendmicro.co.jp/archives/2184 ▽トピックスシマンテック、ノートン・アンチウイルス 2009 ゲーム エディションを発表http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20081127_01 ▽トピックスCA、米大手調査会社、CAのEITMソリューションがROIの向上に貢献すると報告(米CA発プレスリリース和訳)http://www.ca.com/jp/press/release.aspx?cid=193389 ▽トピックスIntego、INTEGOがVIRUSBARRIER X5をアップデートhttp://www.intego.com/jp/news/pr123.asp▽トピックスG DATA、偽FedExに次いで、偽UPSメールが出回るhttp://gdata.co.jp/press/archives/2008/11/fedexups.htm▽トピックスNTTドコモ、「ドコモオンラインショップ」をリニューアル-新シリーズを始めとした携帯電話がインターネットで購入可能に-http://www.nttdocomo.co.jp/info/news_release/page/081126_01.html▽トピックスKDDI、「KDDI Global Powered Ethernet」の提供対地拡大についてhttp://www.kddi.com/corporate/news_release/2008/1126a/index.html▽トピックスKDDI、「海外エリアネットワーク マネージドパッケージ」の提供エリア拡大についてhttp://www.kddi.com/corporate/news_release/2008/1126/index.html▽トピックスマイクロソフト、ActiveX の Kill Bit の累積的なセキュリティ更新プログラムを公開http://www.microsoft.com/japan/technet/security/advisory/953839.mspx▽トピックスLunascape、【復旧報告】LunaIDの登録、および「Gaia」の一部機能がご利用できない件についてhttp://lunapedia.lunascape.jp/index.php?title=%E3%80%90%E5%BE%A9%E6%97%A7%E5%A0%B1%E5%91%8A%E3%80%91LunaID%E7%99%BB%E9%8C%B2%E3%80%81%E3%80%8CGaia%E3%80%8D%E4%B8%80%E9%83%A8%E6%A9%9F%E8%83%BD%E3%81%8C%E3%81%94%E5%88%A9%E7%94%A8%E3%81%A7%E3%81%8D%E3%81%AA%E3%81%84%E4%BB%B6%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6 ▽トピックス富士ゼロックス、基幹業務出力での情報漏えい抑止に貢献するモノクロプリンター3機種発売http://www.fujixerox.co.jp/release/2008/1126_dp5060.html▽トピックスアイティフォー、強力な情報漏えい対策製品「DLPアプライアンス」を販売開始http://www.itfor.co.jp/ne/news/2008/nr081127.html▽トピックスSTマイクロ、電子政府の安全性を強化する先進的IDカード・コントローラを発表http://www.st-japan.co.jp/data/press/p2338s.html▽サポート情報トレンドマイクロ、ウイルスパターンファイル:5.679.00 (11/27)http://jp.trendmicro.com/jp/support/download/pattern/index.html▽サポート情報アンラボ、V3 / SpyZero 定期アップデート情報http://japan.ahnlab.com/news/view.asp?seq=3685▽サポート情報トレンドマイクロ、マルウェアDCT:992 (11/26)http://jp.trendmicro.com/jp/support/download/pattern/index.html▽サポート情報アンラボ、V3 緊急アップデート情報http://japan.ahnlab.com/news/view.asp?seq=3686▽イベント情報JPCERT/CCほか、「SecurityDay 2008」開催http://www.jpcert.or.jp/event/sec2008-seminar.html▽ウイルス情報シマンテック、Adware.OneStephttp://www.symantec.com/business/security_response/writeup.jsp?docid=2008-112613-5052-99▽ウイルス情報シマンテック、Packed.Generic.199http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-112606-0117-99▽ウイルス情報シマンテック、Packed.Generic.198http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-112605-5241-99▽ウイルス情報シマンテック、Packed.Generic.197http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-112605-4618-99▽ウイルス情報シマンテック、AntiSpywareGuardhttp://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2008-112519-5339-99◆アップデート情報◆───────────────────────────────────●MIRACLE Linuxがcoreutilsのアップデートをリリース─────────────────────────────────── Miracle Linuxがcoreutilsのアップデートをリリースした。このアップデートによって、ロックされたアカウントに不正にアクセスされる問題が修正される。 Miracle Linux アップデート情報 http://www.miraclelinux.com/support/update/list.php?category=1───────────────────────────────────●Turbolinuxが複数のアップデートをリリース─────────────────────────────────── Turbolinuxがbase-email-am、starsuite、base-xoops、base-pukiwiki、base-apache-bandwidthおよびthunderbirdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 Turbolinux Security Center http://www.turbolinux.co.jp/security/ ───────────────────────────────────●Ubuntu LinuxがGnuTLSおよびThunderbirdのアップデートをリリース─────────────────────────────────── Ubuntu LinuxがGnuTLSおよびThunderbirdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 Ubuntu Linux http://www.ubuntu.com/
