セキュリティホール情報＜2008/12/10＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2008年12月10日（水） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽PayPal eStores──────────────────────────
PayPal eStoresは、ダイレクトリクエストをNewPass1あるいはNewPass2パラメータに送信されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽XAMPP──────────────────────────────
XAMPPは、xamppsecurity.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に認証されたクライアントのIPアドレスを偽装される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.6.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP Multiple Newsletters─────────────────────
PHP Multiple Newslettersは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：2.7
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ProQuiz─────────────────────────────
ProQuizは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PostEcards────────────────────────────
PostEcardsは、postcards.mdbファイルを適切にチェックしていないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/12/10 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Netref──────────────────────────────
Netrefは、fiche_product.phpおよびpresentation.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PunBB──────────────────────────────
PunBBは、users.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.3.0、1.3.1、1.3.1.7
影響を受ける環境：UNIX、Linux、Windows
回避策：1.3.2以降へのバージョンアップ

▽SIU Guarani───────────────────────────
SIU Guaraniは、verMensajes.phpおよびautentificarse.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：es
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Secure Downloads module for vBulletin──────────────
Secure Downloads module for vBulletinは、fileinfo.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：2.2.0r
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Google Gears───────────────────────────
Google Gearsは、allowCrossOrigin ()機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスドメインセキュリティ制限を回避される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：0.1、0.2、0.3、0.4、0.5
影響を受ける環境：UNIX、Linux、Windows
回避策：0.5.4.2以降へのバージョンアップ

▽PHPmyGallery───────────────────────────
PHPmyGalleryは、細工されたURLリクエストをcommon-tpl-vars.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.0 beta 2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PhpMyAdmin────────────────────────────
PhpMyAdminは、tbl_structure.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されたり、攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：3.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TagBoard module for phpBB────────────────────
TagBoard module for phpBBは、tag_board.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PhPepperShop───────────────────────────
PhPepperShopは、kontakt.php、index.php、shop_kunden_mgmt.phpおよびSHOP_KONFIGURATION.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/12/09 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽QMail Mailing List Manager────────────────────
QMail Mailing List Managerは、qmail.mdbファイルを適切にチェックしていないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/12/09 登録

危険度：低
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽w3blabor cms───────────────────────────
w3blabor cmsは、細工されたURLリクエストをmodul.inc.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/12/09 登録

危険度：中
影響を受けるバージョン：3.0.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽DesignWorks───────────────────────────
DesignWorksは、細工された.cctファイルを送信されることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/12/09 登録

危険度：高
影響を受けるバージョン：4.3.1 Professional
影響を受ける環境：UNIX、Windows
回避策：公表されていません

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、特定されていないセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/12/09 登録

危険度：低
影響を受けるバージョン：7.0
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Amaya──────────────────────────────
Amayaは、TtaWCToMBstring ()機能が原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/12/09 登録

危険度：高
影響を受けるバージョン：10.1
影響を受ける環境：UNIX、Linux、Windows
回避策：9.5以降へのバージョンアップ

▽Sun Java Runtime Environment───────────────────
Sun Java Runtime Environment (JRE)は、複数のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/12/04 登録

危険度：高
影響を受けるバージョン：JRE 6 Update 11以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽IBM Rational ClearQuest─────────────────────
IBM Rational ClearQuestは、メンテナンスツールで接続プロフィールを編集するときに暗号化されていないデータをストアすることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースパスワードなどの機密情報を奪取される可能性がある。[更新]
2008/12/03 登録

危険度：低
影響を受けるバージョン：7.0、7.0.0.0、7.0.0.1、7.0.0.3、7.0.1、
7.0.1.1、7.0.1.2、7.0.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office SharePoint Server────────────────
Microsoft Office SharePoint Serverは、攻撃者がSharePointのサイトにて管理用のURLを直接参照し、認証を無視した場合、特権が昇格されるセキュリティホールが存在する。この問題が悪用されると、サービス拒否または情報の漏えいが引き起こされる可能性がある。
2008/12/10 登録

最大深刻度 : 重要
影響を受けるバージョン：Microsoft Office SharePoint Server 2007、
SP1、Microsoft Search Server 2008
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Windows Mediaコンポーネント（Windows Media Player、Windows Media Format ランタイムおよび Windows Media サービス）が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピューターを完全に制御される可能性がある。
2008/12/10 登録

最大深刻度 : 重要
影響を受けるバージョン：Windows Media Player 6.4、Windows Media
Format ランタイム 7.1、Windows Media
Format ランタイム 9.0、Windows Media
Format ランタイム 9.5、Windows Media
Format ランタイム 11、Windows Media
サービス
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Windows Searchが原因で、ユーザが特別な細工がされた検索ファイルがWindowsエクスプローラで開かれ、保存された場合、またはユーザが特別な細工がされた検索URLをクリックした場合、リモートでコードが実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータを完全に制御される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：Vista、SP1、Server 2008
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Office Excel──────────────────────
Microsoft Office Excelは、特別な細工がされたExcelファイルをユーザが表示した場合、リモートでコードが実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータを完全に制御される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 SP3、XP SP3、2003 SP3、2007、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、特別な細工がされたWebページをユーザが表示した場合にセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコードを実行される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：5.01、6、SP1、7
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Office Word / Outlook─────────────────
Microsoft Office Word / Outlookは、特別な細工がされたWordまたはリッチテキスト形式（RTF）ファイルををユーザが表示した場合、リモートでコードが実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータを完全に制御される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 SP3、XP SP3、2003 SP3、2007、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Office Word / Outlook─────────────────
Microsoft Office Word / Outlookは、特別な細工がされたWordまたはリッチテキスト形式（RTF）ファイルををユーザが表示した場合、リモートでコードが実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータを完全に制御される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 SP3、XP SP3、2003 SP3、2007、SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Visual Basic──────────────────────
Microsoft Visual Basic 6.0ランタイム拡張ファイルのActiveXコントロールは、ユーザが特別に細工されたコンテンツが含まれるWebサイトを閲覧することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコードを実行される可能性がある。
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン：Visual Studio .NET 2002 SP1ほか
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft WordPad────────────────────────
Microsoft WordPadは、細工されたWord97ファイルを作成されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/12/10 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft SQL Server 2000────────────────────
Microsoft SQL Server 2000は、細工されたアーギュメントを送信されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/12/10 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Microsoft SQL Server 2000
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽DD-WRT──────────────────────────────
DD-WRTは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されたり、リモートの攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：v24 sp1
影響を受ける環境：DD-WRT
回避策：公表されていません

▽Thread-IT Message Board / Thread-ITSQL──────────────
Thread-IT Message BoardおよびThread-ITSQLは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：Thread-IT Message Board 1.6、
Thread-ITSQL 2.0
影響を受ける環境：Windows
回避策：公表されていません

▽Neostrada Livebox ADSL Router──────────────────
Neostrada Livebox ADSL Routerは、細工されたパケットを含むHTTPリクエストを送信されることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にLivebox HTTPサービスをクラッシュされる可能性がある。
2008/12/10 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Neostrada Livebox ADSL Router
回避策：公表されていません

▽Aruba Mobility Controller────────────────────
Aruba Mobility Controllerは、細工されたEAPフレームを送信されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。
2008/12/10 登録

危険度：低
影響を受けるバージョン：3.3.1.6ほか
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Poll Pro─────────────────────────────
Poll Proは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：Windows
回避策：公表されていません

▽3CX Phone System─────────────────────────
3CX Phone Systemは、login.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：6.0.806.0 Free、6.1793 Free
影響を受ける環境：Windows
回避策：7.0以降へのバージョンアップ

▽eXPert PDF EditorX ActiveX control────────────────
eXPert PDF EditorX ActiveX control (VSPDFEditorX.ocx)は、細工されたWebページへ誘導されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のファイルを上書きされる可能性がある。
2008/12/10 登録

危険度：高
影響を受けるバージョン：1.0.200.0
影響を受ける環境：Windows
回避策：公表されていません

▽BMC PATROL────────────────────────────
BMC PATROLは、TCPポート3181に細工されたデータを送信されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/12/09 登録

危険度：高
影響を受けるバージョン：3.7.30以前
影響を受ける環境：BMC PATROL
回避策：3.7.30へのバージョンアップ

▽Professional Download Assistant─────────────────
Professional Download Assistantは、downloads.mdbを適切にチェックしていないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/12/09 登録

危険度：中
影響を受けるバージョン：0.1
影響を受ける環境：Windows
回避策：公表されていません

▽Linksys WVC54GC─────────────────────────
Linksys WVC54GCは、UDPポート916に細工されたパケットを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/12/09 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Linksys WVC54GC
回避策：1.25以降へのバージョンアップ

▽Novell NetWare──────────────────────────
Novell NetWareは、OES2 Linux serverのインストール後にApacheAdminコンソールのパスワード要請に失敗することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にApacheAdminコンソールへのアクセス制限を回避されApache Webサーバを改竄される可能性がある。 [更新]
2008/12/08 登録

危険度：中
影響を受けるバージョン：6.5 SP7、SP6、SP5
影響を受ける環境：Novell NetWare
回避策：ベンダの回避策を参照

▽Null FTP Server─────────────────────────
Null FTP Serverは、特定のFTPサイトコマンドを処理する際のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。[更新]
2008/12/08 登録

危険度：高
影響を受けるバージョン：1.1.0.7
影響を受ける環境：Windows
回避策：1.1.0.8以降へのバージョンアップ

▽Orb───────────────────────────────
Orbは、細工されたHTTPリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2008/12/05 登録

危険度：低
影響を受けるバージョン：2.01.0017、2.01.0020
影響を受ける環境：Windows
回避策：2.01.0025以降へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WebCAF──────────────────────────────
WebCAFは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.1、1.3、1.4
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Compiz Fusion──────────────────────────
Compiz Fusionは、Expo pluginでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：0.7.8
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽D-Bus──────────────────────────────
D-Busは、interprocessメッセージを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2008/12/09 登録

危険度：中
影響を受けるバージョン：1.2.1
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Nagios──────────────────────────────
Nagiosは、外部コマンドと関係がある特定されていないセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/12/05 登録

危険度：中
影響を受けるバージョン：3.0.5ほか
影響を受ける環境：UNIX、Linux
回避策：3.0.6以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Moodle──────────────────────────────
Moodleは、多数のスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：1.9.2ほか
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
64-bitマシン上で動作するLinux Kernelは、arch/mips/kernel/scall64-o32.Sで区域外アレイアクセスによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。
2008/12/10 登録

危険度：低
影響を受けるバージョン：2.6.9 finalほか
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Vinagre─────────────────────────────
Vinagreは、細工された.vncファイルを開くことでフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2008/12/09 登録

危険度：高
影響を受けるバージョン：0.5、2.24.0
影響を受ける環境：Linux
回避策：0.5.2および2.24.2以降へのバージョンアップ

▽Tor───────────────────────────────
Torは、権限の適用に失敗することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。 [更新]
2008/12/08 登録

危険度：高
影響を受けるバージョン：0.2.0.31
影響を受ける環境：Linux
回避策：0.2.0.32以降へのバージョンアップ

▽GnuTLS──────────────────────────────
GnuTLS（Gnu Transport Layer Security Library）は、X.509 certificate chain validationでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。 [更新]
2008/11/11 登録

危険度：中
影響を受けるバージョン：2.6.0
影響を受ける環境：Linux
回避策：2.6.1以降へのバージョンアップ

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP DECnet-Plus──────────────────────────
HP DECnet-Plusは、特定されていない原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にSYSNAME特典なしでOSIT$NAMESテーブルを修正される可能性がある。
2008/12/10 登録

危険度：中
影響を受けるバージョン：8.3 OpenVMS Alpha
影響を受ける環境：HP OpenVMS
回避策：8.3 ECO03以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、OpenSSL PKCS#11エンジンでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/12/09 登録

危険度：低
影響を受けるバージョン：10 x86、10 SPARC
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Lunascape────────────────────────────
Lunascape 5.0.0 alpha3がリリースされた。
http://www.lunascape.jp

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.28-rc7-git7がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
@police、マイクロソフト社のセキュリティ修正プログラムについて(MS08-070,071,072,073,074,075,076,077)(12/10)
http://www.cyberpolice.go.jp/important/2008/20081210_110605.html

▽トピックス
JPCERT/CC、経営リスクと情報セキュリティ〜CSIRT：緊急対応体制が必要な理由〜を公開
http://www.jpcert.or.jp/csirt_material/files/csirt_for_management_layer.pdf

▽トピックス
JVN、Java における複数の脆弱性に対するアップデート
http://jvn.jp/tr/TRTA08-340A/index.html

▽トピックス
JVN、Microsoft Windows Server サービスにバッファオーバーフローの脆弱性
http://jvn.jp/tr/TRTA08-297A/index.html

▽トピックス
IAjapan、インターネット協会の名前を利用した悪質な「詐欺的商法」に注意しましょう
http://www.iajapan.org/hotline/chuui200409.html

▽トピックス
トレンドマイクロ、年末年始の営業に関するご案内
http://www.trendmicro.co.jp/support/news.asp?id=1178

▽トピックス
トレンドマイクロ、InterScan WebManager 6.0用 Service Pack 1 及び、SSL Access Controller (Build0114)公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1180

▽トピックス
エフセキュア、三京化成株式会社、プロテクションサービスビジネスの導入でPCセキュリティの効率化を実現
http://www.f-secure.co.jp/news/200812101/

▽トピックス
WILLCOM、アスモ製「WILLCOM 9（WS018KE）」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
WILLCOM、センターメンテナンスのお知らせ（12月16日）
http://www.willcom-inc.com/ja/info/08120903.html

▽トピックス
WILLCOM、電気通信事業の変更登録について
http://www.willcom-inc.com/ja/corporate/press/2008/12/09/index.html

▽トピックス
NTT東日本、接続料金改定の認可申請について
http://www.ntt-east.co.jp/release/0812/081209b.html

▽トピックス
NTT西日本、接続料金改定の認可申請について
http://www.ntt-west.co.jp/news/0812/081209a.html

▽トピックス
NTTコミュニケーションズ、SaaSビジネス展開に向けた共同技術検証の実施について
http://www.ntt.com/release/monthNEWS/detail/20081209.html

▽トピックス
マイクロソフト、マイクロソフト社の「Microsoft(R) Office SharePoint(R) Server 2007」上で稼動するワークフローソフトウェア「OpenCube(R)WorkFlow R/1 for Office SharePoint Server 2007」の発売開始について
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3595

▽トピックス
マイクロソフト、2008 年 12 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms08-dec.mspx

▽トピックス
マイクロソフト：ブログ、2008年最後のセキュリティリリース(2008年12月)
http://blogs.technet.com/jpsecurity/archive/2008/12/10/3165894.aspx

▽トピックス
ラックとRSAセキュリティ、フィッシングサイト閉鎖サービス「RSA FraudAction」で協業
http://japan.rsa.com/press_release.aspx?id=9817

▽トピックス
F5ネットワークス、スマートフォンをサポートする「F5 FirePass」の新バージョンを発売
http://www.f5networks.co.jp/press/release/2008/1210.html

▽トピックス
IDC Japan、国内通信事業者のセキュリティサービス市場規模予測を発表
http://www.idcjapan.co.jp/Press/Current/20081209Apr.html

▽トピックス
静岡県中小企業団体中央会、遠隔バックアップサービス「用心坊」の紹介を開始
http://www.siz-sba.or.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.697.00 (12/10)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3730

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3731

▽統計・資料
JPNIC、gTLDの登録数を更新
http://www.nic.ad.jp/ja/stat/dom/gtld.html

◆アップデート情報◆
───────────────────────────────────
●SuSE LinuxがSecurity Summary Reportをリリース
───────────────────────────────────
　SuSE LinuxがSecurity Summary Reportをリリースした。Summary Reportには、複数の問題の修正が含まれる。

SuSe Security Announcement
http://www.suse.de/de/security/

───────────────────────────────────
●Ubuntu Linuxが複数のアップデートをリリース
───────────────────────────────────
　Ubuntu LinuxがGnuTLS、VinagreおよびCompizのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

《ScanNetSecurity》