セキュリティホール情報<2008/12/26> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.23(月)

セキュリティホール情報<2008/12/26>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽PHP───────────────────────────────
PHPは、imageRotate ()機能が適切にclrBackパラメータをチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に機密情報を奪取される可能性がある。
2008/12/26 登録

危険度:
影響を受けるバージョン:5.2.8以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WEC Discussion Forum extension for TYPO3─────────────
WEC Discussion Forum extension for TYPO3は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/12/24 登録

危険度:中
影響を受けるバージョン:1.6.0、1.6.1、1.6.2、1.6.3、1.7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2008/12/17 登録

危険度:高
影響を受けるバージョン:Firefox 3.0.5未満、Firefox 2.0.0.19未満、
SeaMonkey 1.0.14未満、Thunderbird 2.0.0.19
未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽VLC Media Player─────────────────────────
VLC Media Playerは、細工されたメディアファイルによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/12/03 登録

危険度:高
影響を受けるバージョン:0.9〜0.9.6
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽OpenSSH / multiple SSH Tectia製品────────────────
OpenSSHおよび多くのSSH Tectia製品は、SSHセッション中のエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/11/18 登録

危険度:低
影響を受けるバージョンOpenSSH 4.7p1、Tectia Server 6.0.4ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Ampache─────────────────────────────
Ampacheは、gather-messages.shスクリプトでのエラーが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/08/29 登録

危険度:中
影響を受けるバージョン:3.4.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft SQL Server───────────────────────
Microsoft SQL Serverは、細工されたデータを送信されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/12/24 登録

危険度:高
影響を受けるバージョン:2000 SP4、2005 SP2
影響を受ける環境:Microsoft SQL Server
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Trend Micro HouseCall ActiveX control──────────────
Trend Micro HouseCall ActiveX controlは、custom update serverを指定するよう誘導されることでインプリメンテーションエラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/12/24 登録

危険度:高
影響を受けるバージョン:6.51.0.1028、6.6.0.1278
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS───────────────────────────────
CUPSは、cupsImageReadPNG () 機能が適切なチェックを行っていないことが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2008/12/03 登録

危険度:高
影響を受けるバージョン:Apple CUPS 1.3.9以前、CUPS 1.2.9以前
影響を受ける環境:UNIX、Linux
回避策:1.3.10以降へのバージョンアップ

▽imlib2──────────────────────────────
imlib2は、細工されたXPMファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/11/21 登録

危険度:高
影響を受けるバージョン:1.4.2
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽GNU Enscript───────────────────────────
GNU Enscriptは、read_special_escape ()機能が原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュ可能性がある。 [更新]
2008/10/23 登録

危険度:高
影響を受けるバージョン:1.6.1、1.6.4 beta
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Enscript─────────────────────────────
Enscriptは、未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/11/07 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:パッチのインストール

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Kerberos資格更新マネージメントのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にKerberosサーバへの認証を不能にされる可能性がある。[更新]
2008/12/15 登録

危険度:低
影響を受けるバージョン:9、10、OpenSolaris build snv_95 SPARCほか
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD 7.x 系──────────────────────────
FreeBSD 7.1-RC2がリリースされた。
http://www.freebsd.org/

▽TOMOYO Linux───────────────────────────
TOMOYO Linux 1.6.5-20081225がリリースされた。
http://sourceforge.jp/projects/tomoyo/

▽秀丸メール────────────────────────────
秀丸メール 5.13がリリースされた。
http://hide.maruo.co.jp/software/hmmtakeout.html

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「インターネット政策懇談会」報告書素案の公表及び本案に対する意見の募集
http://www.soumu.go.jp/s-news/2008/081225_21.html

▽トピックス
JVN、Microsoft Internet Explorer のデータバインディング処理における脆弱性 [更新]
http://jvn.jp/cert/JVNTA08-352A/index.html

▽トピックス
JVN、Mayaa におけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN17298485/index.html

▽トピックス
JVN、BlackJumboDog における認証回避の脆弱性
http://jvn.jp/jp/JVN98063934/index.html

▽トピックス
JVN、Microsoft SQL Server の sp_replwritetovarbin 拡張ストアド プロシージャの処理における脆弱性
http://jvn.jp/cert/JVNVU696644/index.html

▽トピックス
JPRS、2008年のドメイン名重要ニュースを掲載
http://jpinfo.jp/news/2008/important.html

▽トピックス
CA、年末年始の弊社休業日のお知らせ
http://www.ca.com/jp/press/release.aspx?cid=194674

▽トピックス
マカフィー、コンシューマセキュリティスイートのSDカード版の販売を開始
http://www.mcafee.com/japan/about/prelease/pr_08b.asp?pr=08/12/25-1

▽トピックス
G DATA、サポートセンター年末年始休業のご案内
http://gdata.co.jp/press/archives/2008/12/post_48.htm

▽トピックス
ソフトバンクモバイル、「S!ループ」および「S!ミュージックコネクト」のサービス終了について
http://broadband.mb.softbank.jp/corporate/release/pdf/20081225j.pdf

▽トピックス
NTTコミュニケーションズ、ホットスポット 「海外ローミング(中国移動)」の商用サービス開始について
http://www.ntt.com/serviceinfo/monthinfo/detail/20081225.html

▽トピックス
NTTコミュニケーションズ、インマルサット衛星通信サービスのアクセス番号の統一のお知らせ
http://www.ntt.com/aboutus/information/info_20081224.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.731.00 (12/26)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT:1000 (12/25)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3773

◆アップデート情報◆
───────────────────────────────────
●MIRACLE Linuxがenscriptおよびcupsのアップデートをリリース
───────────────────────────────────
 Miracle Linuxがenscriptおよびcupsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●Turbolinuxが複数のアップデートをリリース
───────────────────────────────────
 Turbolinuxがa2ps、TLAS3-cmu、kernelおよびfirefoxのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Turbolinux Security Center
http://www.turbolinux.co.jp/security/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

    「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  3. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  4. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  7. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  8. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  9. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×