セキュリティホール情報<2009/01/30> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.19(火)

セキュリティホール情報<2009/01/30>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Python──────────────────────────────
Pythonは、sys.pathをセットする際のPySys_SetArgv ()機能のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のPythonコードを実行される可能性がある。
2009/01/30 登録

危険度:高
影響を受けるバージョン:2.5.4ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Personal Site Manager──────────────────────
Personal Site Managerは、default_headerクッキーを修正されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセス権を奪取される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:0.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ultraseek────────────────────────────
Ultraseekは、cs.htmlスクリプトでのopen redirect vulnerabilityによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にフィッシング攻撃を受ける可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽HP OpenView Select Access────────────────────
HP OpenView Select Accessは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:6.1、6.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽htmLawed─────────────────────────────
htmLawedは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:1.1.2、1.1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:1.1.4以降へのバージョンアップ

▽Amaya──────────────────────────────
Amayaは、HTMLタグを処理するときにEndOfXmlAttributeValue ()、EndOfStartGI ()およびProcessStartGI ()機能が適切なチェックを行わないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/01/30 登録

危険度:高
影響を受けるバージョン:9.4、9.5、10.0.1、10.1、11.0
影響を受ける環境:UNIX、Linux、Windows
回避策:11.1以降へのバージョンアップ

▽PHP iCalendar──────────────────────────
PHP iCalendarは、index.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:2.24ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽smartSite CMS──────────────────────────
smartSite CMSは、細工されたSQLステートメントをarticles.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽winetricks────────────────────────────
winetricksは、x_showmenu.txtスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:20081217
影響を受ける環境:Linux、Windows
回避策:20081223以降へのバージョンアップ

▽Max.Blog─────────────────────────────
Max.Blogは、細工されたSQLステートメントをoffline_auth.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:1.0.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Active Price Comparison─────────────────────
Active Price Comparisonは、細工されたSQLステートメントをlinks.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:4.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SocialEngine───────────────────────────
SocialEngineは、blog.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Community CMS──────────────────────────
Community CMSは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:0.1、0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽GraphicsMagick──────────────────────────
GraphicsMagickは、細工されたBMPイメージファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2009/01/29 登録

危険度:低
影響を受けるバージョン:1.3.4以前
影響を受ける環境:UNIX、Linux、Windows
回避策:1.3.5以降へのバージョンアップ

▽Horde製品────────────────────────────
複数のHorde製品は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:3.2、3.2.1、3.2.2、3.2.3、3.3、
Groupware 1.1.1、1.1.2、1.1.3、1.1.4、1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Sun Java System Access Manager──────────────────
Sun Java System Access Managerは、正当なユーザ名を認証する際のログインモジュールのエラーが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。 [更新]
2009/01/29 登録

危険度:低
影響を受けるバージョン:6.3、7.0、7.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽GameScript────────────────────────────
GameScriptは、games.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:4.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pixie CMS────────────────────────────
Pixie CMSは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。[更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHP-CMS─────────────────────────────
PHP-CMSは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Max.Blog─────────────────────────────
Max.Blogは、細工されたSQLステートメントをshow_post.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:1.0.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Flax Article Manager───────────────────────
Flax Article Managerは、profile.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。[更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽eSystem─────────────────────────────
eSystemは、細工されたSQLステートメントをlogon.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽CA製品──────────────────────────────
多くのCA製品は、ウイルス対策エンジンに細工されたアーカイブファイルを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:Anti-Spyware、BrightStor ARCserve Backup、
eTrust Antivirusほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽SiteXS CMS────────────────────────────
SiteXS CMSは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:0.1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽GLinks──────────────────────────────
GLinksは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Wazzum Dating Software──────────────────────
Wazzum Dating Softwareは、細工されたSQLステートメントをprofile_view.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ClickAuction───────────────────────────
ClickAuctionは、細工されたSQLステートメントをlogin_check.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SHOP-INET────────────────────────────
SHOP-INETは、細工されたSQLステートメントをshow_cat2.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Script Toko Online────────────────────────
Script Toko Onlineは、細工されたSQLステートメントをshop_display_products.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:5.01
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Script Toko Online────────────────────────
Script Toko Onlineは、細工されたSQLステートメントをshop_display_products.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:5.01
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WB News─────────────────────────────
WB Newsは、いくつかのスクリプトに細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/01/27 登録

危険度:中
影響を受けるバージョン:2.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sun Java System Application Server────────────────
Sun Java System Application Serverは、特定されていない原因によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWeb-INFとMETA-INFディレクトリでコンフィギュレーション・ファイルを閲覧される可能性がある。 [更新]
2009/01/23 登録

危険度:低
影響を受けるバージョン:8.1 Enterprise、8.1 Platform、8.2 Platform、8.2 Enterprise
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PhpMyAdmin────────────────────────────
PhpMyAdminは、tbl_structure.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されたり、攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。 [更新]
2008/12/10 登録

危険度:中
影響を受けるバージョン:3.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sun Java Runtime Environment───────────────────
Sun Java Runtime Environment (JRE)は、複数のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/12/04 登録

危険度:高
影響を受けるバージョン:JRE 6 Update 11以前
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、WebサービスセキュリティがCertificate Revocation Lists (CRL)を適切に処理していないことが原因でセキュリティホールが存在する。この問題はリモートの攻撃者に悪用される可能性がある。 [更新]
2008/10/22 登録

危険度:低
影響を受けるバージョン:6.1W
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、PropFilePasswordEncoderユーティリティに特定されていないセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/07/22 登録

危険度:
影響を受けるバージョン:5.1.1.19未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、SOAPセキュリティヘッダに関連する特定されていないセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/06/05 登録

危険度:低
影響を受けるバージョン:6.10.17ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、HTMLフォームデータを解析するときにDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なリソースを全て消費される可能性がある。
2009/01/30 登録

危険度:低
影響を受けるバージョン:7
影響を受ける環境:Windows
回避策:公表されていません

▽Microsoft Office Excel──────────────────────
Microsoft Office Excelは、特別な細工がされたExcelファイルをユーザが表示した場合、リモートでコードが実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に影響を受けるコンピュータを完全に制御される可能性がある。 [更新]
2008/12/10 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 SP3、XP SP3、2003 SP3、2007、SP1
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WOW - Web On Windows ActiveX Control───────────────
WOW - Web On Windows ActiveX Controlは、WriteIniFileString()およびShellExecute()が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/01/30 登録

危険度:高
影響を受けるバージョン:2
影響を受ける環境:Windows
回避策:公表されていません

▽WinFTP Server──────────────────────────
WinFTP Serverは、過度に長いストリングを含む細工されたリストコマンドを送信されることによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。 [更新]
2009/01/28 登録

危険度:高
影響を受けるバージョン:2.3.0
影響を受ける環境:Windows
回避策:公表されていません

▽SAP NetWeaver──────────────────────────
SAP NetWeaverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽FlexCell Grid ActiveX control──────────────────
FlexCell Grid ActiveX control (FlexCell.ocx)は、悪意があるウェブサイトに誘導されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:5.6.9、5.7.0.2
影響を受ける環境:Windows
回避策:公表されていません

▽Sony Ericsson mobile phones───────────────────
多数のSony Ericsson mobile phonesは、細工されたWAPプッシュパケットを送信されることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを不能にされる可能性がある。 [更新]
2009/01/27 登録

危険度:低
影響を受けるバージョン:K530i、K610i、K618i、K660i、K810i、W660i、
W880i、W910i、Z610i
影響を受ける環境:Nokia Multimedia Player
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FFmpeg──────────────────────────────
FFmpegは、libavformat/4xm.cでfourxm_read_header ()機能でsignednessエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりメモリを不能にされる可能性がある。
2009/01/30 登録

危険度:高
影響を受けるバージョン:0.8.7 r1ほか
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Horde IMP Webmail Client─────────────────────
Horde IMP Webmail Clientは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:4.0〜4.3.2
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Ganglia─────────────────────────────
Gangliaは、過度に長いデータを含む細工されたリクエストを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/01/19 登録

危険度:高
影響を受けるバージョン:2.0.1〜3.1.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽OpenSSL EVP_VerifyFinal─────────────────────
OpenSSL EVP_VerifyFinal ()機能やOpenSSL DSA_verify機能を搭載する多くのアプリケーションは、適切なチェックを行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデジタル署名検査を回避される可能性がある。 [更新]
2009/01/13 登録

危険度:中
影響を受けるバージョン:eidlib 2.6.0、Gale 0.99以前、
BIND 9.6.0以前、NTP 4.2.4p4以前、
OpenSSL 0.9.8h以前、Sun Grid Engine 5.3、
Lasso 2.2.1-0以前、ZXID 0.9以前
影響を受ける環境:UNIX、Linux
回避策:各ベンダの回避策を参照

▽NTP───────────────────────────────
NTPは、OpenSSL EVP_VerifyFinal ()機能の結果を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデジタル署名検査を回避される可能性がある。[更新]
2009/01/08 登録

危険度:
影響を受けるバージョン:4.2.4p5 (production)以前、
4.2.5p150 (development)以前
影響を受ける環境:UNIX、Linux
回避策:4.2.4p6 (production)および4.2.5p153 (development)へのバー
ジョンアップ

▽Libxml2─────────────────────────────
Libxml2は、細工されたXML entity nameによってヒープオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/09/12 登録

危険度:高
影響を受けるバージョン:2.7.0以前
影響を受ける環境:UNIX、Linux
回避策:2.7.0へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽No-IP Dynamic Update Client───────────────────
No-IP Dynamic Update Clientは、ホストにステータス更新を行なうとき資格適切に提出しないことが原因でアプリケーションへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/01/30 登録

危険度:低
影響を受けるバージョン:2.1.9
影響を受ける環境:Linux
回避策:公表されていません

▽Red Hat Certificate Server────────────────────
Red Hat Certificate Serverは、Token Processing System (TPS) componentが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:7.3
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Zinf───────────────────────────────
Zinfは、過度に長いアーギュメントを含む細工された.m3u playlistファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/01/30 登録

危険度:高
影響を受けるバージョン:2.2.1
影響を受ける環境:Linux
回避策:公表されていません

▽ITLPoll─────────────────────────────
ITLPollは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/01/28 登録

危険度:中
影響を受けるバージョン:2.7
影響を受ける環境:Linux
回避策:公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、LibataがSG_IOリクエストの最小タイムアウトを設定していないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/01/05 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.27rc8-git5
影響を受ける環境:Linux
回避策:2.6.27.9以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、drivers/watchdog/ib700wdt.c.のibwdt_ioctl function() のエラーが原因でバッファアンダーフローを引き起こされるセキュリティホールが存在する。この問題は、ローカルの攻撃者に悪用される可能性がある。 [更新]
2009/01/05 登録

危険度:中
影響を受けるバージョン:2.6.0〜2.6.28rc5
影響を受ける環境:Linux
回避策:2.6.28-rc1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、drivers/watchdog/ib700wdt.c.のibwdt_ioctl function() のエラーが原因でバッファアンダーフローを引き起こされるセキュリティホールが存在する。この問題は、ローカルの攻撃者に悪用される可能性がある。 [更新]
2009/01/05 登録

危険度:中
影響を受けるバージョン:2.6.0〜2.6.28rc5
影響を受ける環境:Linux
回避策:2.6.28-rc1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを接続不能にされる可能性がある。 [更新]
2008/12/04 登録

危険度:低
影響を受けるバージョン:2.6.28 rc1、2.6.28 rc2、2.6.28 rc3、
2.6.28 rc4、2.6.28 rc5
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを接続不能にされる可能性がある。 [更新]
2008/12/04 登録

危険度:低
影響を受けるバージョン:2.6.28 rc1、2.6.28 rc2、2.6.28 rc3、2.6.28 rc4、2.6.28 rc5
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、hfs_cat_find_brec() が適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/11/17 登録

危険度:高
影響を受けるバージョン:2.6.7 rc1以前
影響を受ける環境:Linux
回避策:2.6.27.6以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたhfsplusファイルシステムをマウントされることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。[更新]
2008/11/05 登録

危険度:高
影響を受けるバージョン:2.6.9 finalほか
影響を受ける環境:Linux
回避策:2.6.28-rc1以降へのバージョンアップ

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Fire Server─────────────────────────
Sun Fire Serverは、Embedded Lights Out Manager (ELOM) softwareが原因でネットワークへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスプロセッサ(SP)で任意のコマンドを実行される可能性がある。
2009/01/30 登録

危険度:中
影響を受けるバージョン:Fire X2100M2 Server 3.19、
Fire X2200M2 Server 3.19
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris Internet Protocol (ip(7P)) Kernel Module───────
Sun Solaris Internet Protocol (ip(7P)) Kernel Moduleは、細工されたIP-in-IPパケットを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。
2009/01/30 登録

危険度:低
影響を受けるバージョン:10 SPARCほか
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、autofsカーネルモジュールでのエラーによってセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/01/28 登録

危険度:高
影響を受けるバージョン:10 SPARCほか
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、pseudo-terminalドライバ (pty(7D)) モジュールの競合条件が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/01/26 登録

危険度:低
影響を受けるバージョン:OpenSolaris build_snv_99 SPARC以前、
Solaris 10、9、8
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、libikeライブラリのパケットを適切に処理していないことが原因でin.ikedデーモンにDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2009/01/26 登録

危険度:低
影響を受けるバージョン:OpenSolaris build_snv_99 SPARC以前、
Solaris 10、9
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、libikeライブラリのパケットを適切に処理していないことが原因でin.ikedデーモンにDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2009/01/26 登録

危険度:低
影響を受けるバージョン:OpenSolaris build_snv_99 SPARC以前、
Solaris 10、9
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、ASP・SaaS利用等を踏まえた次世代データセンタへ向けたシンポジウムの開催
http://www.soumu.go.jp/s-news/2009/090129_3.html

▽トピックス
IPA、2008年度 下期 「未踏IT人材発掘・育成事業」 採択プロジェクトの決定について
http://www.ipa.go.jp/about/press/20090130.html

▽トピックス
JVN、Apple QuickTime における複数の脆弱性に対するアップデート[更新]
http://jvn.jp/cert/JVNTA09-022A/index.html

▽トピックス
JVN、Microsoft Windows 自動実行機能の無効化における注意点 [更新]
http://jvn.jp/cert/JVNTA09-020A/index.html

▽トピックス
シマンテック、堅調な 2009 年度第 3 四半期決算を発表
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20090129_01

▽トピックス
Panda、2008年に企業に到達したメールのうち、悪意のないものはわずか8.4%
http://pandasoftware.jp/scripts/panda/vb_bridge4.dll?VBPROG=user_call&IF=LIST&ID=799098698899&PG=news_detail.xsl&CATNUM=4

▽トピックス
カスペルスキー、Kaspersky Internet Security 2009、ComputerBild の比較テストで第1位に
http://www.kaspersky.co.jp/news?id=207578725

▽トピックス
アンラボ、2/6(金)設立記念日の休業のご案内
http://japan.ahnlab.com/news/view.asp?seq=3858

▽トピックス
WILLCOM、自動音声ガイダンス・Webサービスメンテナンスのお知らせ(2月5日)
http://www.willcom-inc.com/ja/info/09012903.html

▽トピックス
NTT東日本、お客様のビジネスの効率化をサポートするIP-PBX「Netcommunity SYSTEM EP 73(I)」の販売開始について
http://www.ntt-east.co.jp/release/0901/090129b.html

▽トピックス
NTT東日本、「ひかり電話」サービスにおける「無線LAN内蔵ひかり電話対応ルータ」のレンタル提供開始について
http://www.ntt-east.co.jp/release/0901/090129a.html

▽トピックス
NTT西日本、お客様のビジネスの効率化をサポートするIP-PBX「Netcommunity SYSTEM EP 73(I)」の販売開始について
http://www.ntt-west.co.jp/news/0901/090129b.html

▽トピックス
NTT西日本、フレッツサービス等の各種割引キャンペーンの期間延長について
http://www.ntt-west.co.jp/news/0901/090129a.html

▽トピックス
NTTコムウェア、RFIDを利用したオフィス入退室管理システムを3万人規模で導入開始
http://www.nttcom.co.jp/news/pr09012901.html

▽トピックス
BSA、組織内違法コピーの実態と通報体験談を掲載した情報サイト「違法告発.com(145982(イホウコクハツ).com)」を1月29日に公開
http://www.bsa.or.jp/press/release/2009/0129_02.html

▽トピックス
日立、「セキュアクライアントソリューション」に「統合型」メニューを追加し強化
http://www.hitachi.co.jp/New/cnews/month/2009/01/0130.html

▽トピックス
住友商事子会社、「上長承認機能」を追加した企業向けファイル送信・共有サービスを提供
http://www.wamnet.co.jp/wamnet/news/news.php?news=80

▽トピックス
凸版印刷、ICカードを利用した「ハードディスク暗号化ソリューション」を発売
http://www.toppan.co.jp/news/newsrelease857.html

▽トピックス
デジタルアーツ、パナソニックの「レッツノート」シリーズに「i-フィルター」を標準搭載
http://www.daj.jp/company/release/2009/r012901.htm

▽トピックス
ビーグッド・テクノロジー、IT全般統制ツール「Tripwire Enterprise 7 日本語版」の販売とサポート
http://www.begood-tech.com/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.803.00 (01/30)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3861

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3860

▽ウイルス情報
シマンテック、Bloodhound.PDF.7
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-012907-5752-99

◆アップデート情報◆
───────────────────────────────────
●Debianがmoinのアップデートをリリース
───────────────────────────────────
 Debianがmoinのアップデートをリリースした。このアップデートによって、クロスサイトスクリプティング攻撃を受ける問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●SuSE LinuxがkernelおよびIBM Java 5のアップデートをリリース
───────────────────────────────────
 SuSE LinuxがkernelおよびIBM Java 5のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


SuSe Security Announcement
http://www.suse.de/de/security/

───────────────────────────────────
●Turbolinuxがturbonetmanおよびphpmyadminのアップデートをリリース
───────────────────────────────────
 Turbolinuxがturbonetmanおよびphpmyadminのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●RedHat Linuxがntpのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがntpのアップデートパッケージをリリースした。このアップデートによって、デジタル署名検査を回避される問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●Ubuntu LinuxがLinux kernelのアップデートをリリース
───────────────────────────────────
 Ubuntu LinuxがLinux kernelのアップデートをリリースした。このアップデートによって、Linux kernelにおける複数の問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

    複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  4. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  5. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  6. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  7. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  8. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  9. アップルがSafari、macOS、iOSなどのアップデートを公開、適用を呼びかけ(JVN)

  10. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×