セキュリティホール情報<2008/12/18> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.21(土)

セキュリティホール情報<2008/12/18>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Opera──────────────────────────────
Operaは、細工されたfile: URLによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/12/18 登録

危険度:
影響を受けるバージョン:9.63以前
影響を受ける環境:UNIX、Linux、Windows
回避策:9.63へのバージョンアップ

▽TangoCMS─────────────────────────────
TangoCMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:2.0、2.0.1、2.0.2、2.0.3、2.0.4、2.0.5、
2.0.6、2.1.0、2.1.1、2.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.0以降へのバージョンアップ

▽Your Own Shop──────────────────────────
Your Own Shopは、細工されたHTTPリクエストを送ることで悪意があるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Your Own Shop──────────────────────────
Your Own Shopは、細工されたHTTPリクエストを送ることで悪意があるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽phpcksec─────────────────────────────
phpcksecは、phpcksec.phpスクリプトにダイレクトリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/12/18 登録

危険度:低
影響を受けるバージョン:0.2.0
影響を受ける環境:UNIX、Windows
回避策:公表されていません

▽Shopsystem Exclusiv Plus─────────────────────
Shopsystem Exclusiv Plusは、images.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で悪意あるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pro Resim Galerisi────────────────────────
Pro Resim Galerisiは、細工されたSQLステートメントをGalerisi resim.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Joomla!─────────────────────────────
Joomla!は、WebアプリケーションがSSLだけを使うように設定されるときに正当なユーザのセッションを乗っ取られるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセスを実行される可能性がある。
2008/12/18 登録

危険度:低
影響を受けるバージョン:1.5.8
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2008/12/17 登録

危険度:高
影響を受けるバージョン:Firefox 3.0.5未満、Firefox 2.0.0.19未満、
SeaMonkey 1.0.14未満、Thunderbird 2.0.0.19
未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽BabbleBoard───────────────────────────
BabbleBoardは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。 [更新]
2008/12/17 登録

危険度:中
影響を受けるバージョン:1.1.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽JEUS───────────────────────────────
JEUS(Java Enterprise-User Solution)は、細工されたURLリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/12/15 登録

危険度:低
影響を受けるバージョン:3.3.7.15、4.0、4.1、4.2 Final、5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Little CMS color engine─────────────────────
Little CMS color engineは、細工されたファイルが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/12/09 登録

危険度:高
影響を受けるバージョン:1.07、1.08、1.09、1.10、1.11、1.12、1.13、
1.14、1.15
影響を受ける環境:UNIX、Linux、Windows
回避策:1.16以降へのバージョンアップ

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、XMLタグを処理するときに発生するエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/12/11 登録

危険度:高
影響を受けるバージョン:7
影響を受ける環境:Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽MIME対応製品───────────────────────────
複数のMIME対応製品は、細工されたメールによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にCPUリソースを過度に消費される可能性がある。
2008/12/18 登録

危険度:低
影響を受けるバージョン:1.3.0
影響を受ける環境:Windows
回避策:公表されていません

▽Gnews Publisher .NET───────────────────────
Gnews Publisher .NETは、細工されたSQLステートメントをauthors.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

▽Liberum Help Desk────────────────────────
Liberum Help Deskは、Webルートにストアされたhelpdesk2000.mdbファイルを適切に制限していないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にパスワードなどの機密情報を奪取される可能性がある。
2008/12/18 登録

危険度:中
影響を受けるバージョン:0.97.3
影響を受ける環境:Windows
回避策:公表されていません

▽BP Blog─────────────────────────────
BP Blogは、WebルートにストアされたBlog.mdbファイルを適切に制限していないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にパスワードなどの機密情報を奪取される可能性がある。
2008/12/18 登録

危険度:低
影響を受けるバージョン:6.0、7.0、8.0、9.0
影響を受ける環境:Windows
回避策:公表されていません

▽Nukedit─────────────────────────────
Nukeditは、Webルートにストアされたdbsite.mdbファイルを適切に制限していないことが原因でデータベースファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にパスワードなどの機密情報を奪取される可能性がある。
2008/12/18 登録

危険度:低
影響を受けるバージョン:4.9.8
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽JasPer──────────────────────────────
JasPerは、細工されたパケットイメージファイルによって整数オーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題は、リモートの攻撃者に悪用される可能性がある。 [更新]
2008/10/06 登録

危険度:高
影響を受けるバージョン:1.900.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Adobe Flash Player for Linux───────────────────
Adobe Flash Player for Linuxは、細工されたSWFファイルによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/12/18 登録

危険度:
影響を受けるバージョン:10.0.12.36、9.0.151.0以前
影響を受ける環境:Linux
回避策:10.0.15.3へのバージョンアップ

▽Barracuda Spam Firewall─────────────────────
Barracuda Spam Firewallは、細工されたSQLステートメントをindex.cgiスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/12/17 登録

危険度:中
影響を受けるバージョン:600 3.5.11.020
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ISC BIND 9.6.x 系────────────────────────
ISC BIND 9.6.0 rc2がリリースされた。
http://www.isc.org/sw/bind/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.28-rc8-git6がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、インターネット政策懇談会(第8回)配付資料
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_policy/081217_2.html

▽トピックス
総務省、インターネット政策懇談会(第7回)議事要旨
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/internet_policy/pdf/081024_3.pdf

▽トピックス
警察庁、「振り込め詐欺(恐喝)」の認知・検挙状況等について(平成20年1〜11月)
http://www.npa.go.jp/sousa/souni7/furikome_H20_1-11.pdf

▽トピックス
@police、マイクロソフト社のセキュリティ修正プログラムについて(MS08-078)(12/18)
http://www.cyberpolice.go.jp/important/2008/20081218_100815.html

▽トピックス
JPCERT/CC、Microsoft Internet Explorer の脆弱性 (MS08-078) に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080023.txt

▽トピックス
JVN、Microsoft Internet Explorer のデータバインディング処理における脆弱性
http://jvn.jp/cert/JVNTA08-352A/index.html

▽トピックス
JVN、Microsoft Internet Explorer のデータバインディング処理における脆弱性
http://jvn.jp/cert/JVNVU493881/index.html

▽トピックス
JVN、futomi's CGI Cafe 製高機能アクセス解析CGI におけるセッションID が推測可能な脆弱性 [更新]
http://jvn.jp/jp/JVN07468800/index.html

▽トピックス
JPRS、L-RootにIPv6アドレスが追加されました
http://www.iana.org/reports/2008/l-root-ipv6.html

▽トピックス
トレンドマイクロ:ブログ、依然猛威を振るい続けるUSBワーム、今一度脅威の再認識を
http://blog.trendmicro.co.jp/archives/2334

▽トピックス
シマンテック、「オンライン詐欺に関する実態調査」結果を発表クレジットカードによるオンライン決済が進む
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20081217_01

▽トピックス
CA、PPM Summitにおいて10回連続で「最優秀」賞を受賞
http://www.ca.com/jp/press/release.aspx?cid=194891

▽トピックス
NTTドコモ、【お詫び】山形県全域および福島県の一部地域でFOMAサービスがご利用いただけなかった状況について
http://www.nttdocomo.co.jp/info/notice/page/081217_00_m.html

▽トピックス
WILLCOM、東芝製「WILLCOM LU(WS023T)」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
WILLCOM、PHS回線の不正契約に対する取り組みについて
http://www.willcom-inc.com/ja/info/08121702.html

▽トピックス
NTT東日本、「フレッツ 光ネクスト」に対応した「フレッツ・セッションプラス」の提供開始について
http://www.ntt-east.co.jp/release/0812/081217a.html

▽トピックス
NTT西日本、「フレッツ 光ネクスト」に対応した「フレッツ・セッションプラス」の提供開始について
http://www.ntt-west.co.jp/news/0812/081217a.html

▽トピックス
マイクロソフト、中堅・中小企業向けの統合サーバーソリューション「Windows(R) Essential Business Server 2008」および「Windows Small Business Server 2008」日本語版を提供開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3603

▽トピックス
マイクロソフト、Microsoft(R) Office 製品と Java Servlet 環境の相互運用性を実現するソリューションを共同開発
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3602

▽トピックス
マイクロソフト:ブログ、Internet Explorerのセキュリティ更新プログラム提供開始
http://blogs.technet.com/jpsecurity/archive/2008/12/18/3170501.aspx

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.715.00 (12/18)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT:998 (12/17)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3754

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3755

▽統計・資料
総務省、ブロードバンドサービスの契約数等(平成20年9月末)
http://www.soumu.go.jp/s-news/2008/081217_3.html

▽ウイルス情報
マカフィー、W32/Autorun.worm.zf.gen
http://www.mcafee.com/japan/security/virA.asp?v=W32/Autorun.worm.zf.gen

◆アップデート情報◆
───────────────────────────────────
●Ubuntu Linuxが複数のアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがshadow、libvirt、Firefox、LittleCMS、Gadu、Firefox、Firefoxおよびxulrunnerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  8. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  9. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×