セキュリティホール情報＜2009/02/03＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年2月3日（火） 15時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽PerlSoft Gastebuch────────────────────────
PerlSoft Gastebuchは、admincenter.cgiのloginname1パラメータへの書き込みを適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽E-Php B2B Trading Marketplace Script───────────────
E-Php B2B Trading Marketplace Scriptは、signin.phpおよびgen_confirm.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Oracle Forms───────────────────────────
Oracle Formsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：Developer Suite 10g、E-Business Suite 11i
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Oracle Application Server────────────────────
Oracle Application Serverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：10g
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ImageField module for Drupal───────────────────
ImageField module for Drupalは、アップロードされたイメージを適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者にサーバ上で任意のPHPコードを実行されるなどの可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：5.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ReVou Twitter Clone───────────────────────
ReVou Twitter Cloneは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BPAutoSales───────────────────────────
BPAutoSalesは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除されるなど様々な可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、特定されていないエラーによって任意のファイルを検索されるセキュリティホールが存在する。この問題は攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/02 登録

危険度：
影響を受けるバージョン：6.0.x
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽RealVNC─────────────────────────────
RealVNCは、サーバによって供給されたRFBプロトコルデータのチェック時にエラーが発生することでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/01/15 登録

危険度：高
影響を受けるバージョン：4.1.2 Free、4.1.2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：4.1.3以降へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽VMware ESX Server────────────────────────
VMware ESX Serverは、細工されたVMDKデルタディスクをロードされることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：ESX 3.5、ESXi 3.5
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Xerox WorkCentre / Pro──────────────────────
Xerox WorkCentreおよびProは、特定されていないパラメータへの入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：WorkCentre 5687ほか、
WorkCentre Pro 275ほか
影響を受ける環境：Xerox WorkCentre
回避策：最新版へのアップデート

▽Google Chrome──────────────────────────
Google Chromeは、ユーザ入力を適切にチェックしていないことなどが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されるなどの可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：Windows
回避策：1.0.154.46へのバージョンアップ

▽Novell GroupWise─────────────────────────
Novell GroupWiseは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されるなど様々な可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：8.x、7.x、6.x
影響を受ける環境：Windows
回避策：パッチのインストール

▽SalesCart────────────────────────────
SalesCartは、online/menu.aspおよびaffiliate/cmenu.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽Synactis ALL In-The-Box ActiveX control─────────────
Synactis ALL In-The-Box ActiveX controlは、0バイトのファイル名が原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のファイルを上書きされる可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：Windows
回避策：公表されていません

▽Enomaly ECP───────────────────────────
Enomaly ECPは、0バイトのファイル名が原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のファイルを上書きされる可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：Windows
回避策：2.1.1以降へのバージョンアップ

▽D-Link DIR-300──────────────────────────
D-Link DIR-300は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されるなど様々な可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：D-Link DIR-300
回避策：ベンダの回避策を参照

▽PSCS VPOP3 Email Server─────────────────────
PSCS VPOP3 Email Serverは、悪意があるメールメッセージを開くことでセキュリティホールが存在する。この問題が悪用されると、攻撃者にinsertion攻撃を受ける可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：Windows
回避策：2.6.0iへのバージョンアップ

▽Free Download Manager──────────────────────
Free Download Managerは、細工されたtorrentファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるなど複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者に様々な攻撃を受ける可能性がある。
2009/02/03 登録

危険度：
影響を受けるバージョン：3.x、2.x
影響を受ける環境：Windows
回避策：3.0 build 848へのアップデート

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、svc_listen機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/12/09 登録

危険度：低
影響を受けるバージョン：2.6.0
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris IP(7p) インプリメンテーションが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/02/02 登録

危険度：
影響を受けるバージョン：8、9、10
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜BSD＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenBSD─────────────────────────────
OpenBSDは、細工されたアップデートによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にBGPセッションを終了される可能性がある。 [更新]
2009/02/02 登録

危険度：
影響を受けるバージョン：4.3、4.4
影響を受ける環境：OpenBSD
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Bugzilla 3.3.x 系────────────────────────
Bugzilla 3.3.2がリリースされた。
http://www.bugzilla.org/news/

▽Bugzilla 3.2.x 系────────────────────────
Bugzilla 3.2.1がリリースされた。
http://www.bugzilla.org/news/

▽Bugzilla 3.0.x 系────────────────────────
Bugzilla 3.0.7がリリースされた。
http://www.bugzilla.org/news/

▽Bugzilla 2.22.x 系────────────────────────
Bugzilla 2.22.7がリリースされた。
http://www.bugzilla.org/news/

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.50.00 RC5がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽TOMOYO Linux───────────────────────────
TOMOYO Linux 1.6.6-20090202がリリースされた。
http://sourceforge.jp/projects/tomoyo/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.28.3がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
IPA/ISEC、オンラインゲームを楽しむ前に−３つのセキュリティポイントを掲載
http://www.ipa.go.jp/security/personal/onlinegame/

▽トピックス
IPA/ISEC、CRYPTRECシンポジウム2009を開催
http://www.ipa.go.jp/security/event/2008/crypt-sympo2009/

▽トピックス
JPNIC、IPレジストリシステムおよびJPIRRシステム
2月の定期メンテナンスに伴うサービス一時停止のお知らせ
http://www.nic.ad.jp/ja/topics/2009/20090202-01.html

▽トピックス
フィッシング対策協議会、NEWS LETTER No. 14:インターネットバンキングだけではありません〜フィッシング詐欺で偽装されるブランドに見る日本の特異性　〜
http://www.antiphishing.jp/column/column361.html

▽トピックス
トレンドマイクロ、メンテナンスに伴うサポートセンター受付フォーム停止のお知らせ（2009年2月4日）
http://www.trendmicro.co.jp/support/news.asp?id=1201

▽トピックス
エフセキュア、近鉄ケーブルネットワーク（KCN）が「エフセキュアプロテクションサービスコンシューマ」を採用
http://www.f-secure.co.jp/news/200902021/

▽トピックス
Dr.WEB、配信済み vdb ファイル drw44447.vdb を改訂
http://drweb.jp/news/20090202_2.html

▽トピックス
Dr.WEB、Dr.Web デーモン ver. 4.44.1 の一部 OS 用パッケージの不備について
http://drweb.jp/news/20090202.html

▽トピックス
au、システムメンテナンスのお知らせ(2/9)
http://www.au.kddi.com/news/au_top/information/au_info_20090203100949.html

▽トピックス
au、au携帯電話の「ケータイアップデート」についてのお知らせ
http://www.au.kddi.com/seihin/up_date/kishubetsu/au_info_20090203.html

▽トピックス
NTT東日本、「フレッツ光ネクスト」ご契約者向け「フレッツ・スポット」の提供開始について
http://www.ntt-east.co.jp/release/0902/090202b.html

▽トピックス
NTT東日本、「ひかりソフトフォン」の提供開始について
http://www.ntt-east.co.jp/release/0902/090202a.html

▽トピックス
NTT西日本、「ひかりソフトフォン」の提供開始について
http://www.ntt-west.co.jp/news/0902/090202b.html

▽トピックス
NTTデータ、オープンソース運用管理ツール「Hinemos」の信頼性を向上させるHinemos HA オプションを提供開始
http://www.nttdata.co.jp/release/2009/013001.html

▽トピックス
マイクロソフト、マイクロソフトが支援するITベンチャー企業が決定
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3620

▽トピックス
日本ユニシス、企業の国際会計基準対応強化/内部統制対応強化を背景に、決算開示に関するICTホスティングサービスを販売開始
http://www.unisys.co.jp/news/nr_090203_ict.html

▽トピックス
IIJ、Webアクセス環境のセキュリティを最適化する「IIJセキュアWebゲートウェイサービス」を開始
http://www.iij.ad.jp/news/pressrelease/2009/0203.html

▽トピックス
日立電子サービスと日立電線がITにおける内部統制の支援ソリューションにおいて協業
http://www.hitachi-densa.co.jp/news/2008/20090203.html

▽トピックス
フィードパス、SaaS 型「サイボウズ Office 8」「サイボウズデヂエ 8」を提供開始
http://group.cybozu.jp/news/09020203.html

▽トピックス
デジタルアーツ、IIJの企業向けWebフィルタリングサービスに「i-FILTER」を提供
http://www.daj.jp/company/release/2009/r020301.htm

▽トピックス
ソニー、小型かつ高速で高精度を実現した指静脈認証技術「mofiria」を開発
http://www.sony.co.jp/SonyInfo/News/Press/200902/09-016/index.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.811.00 (02/03)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3869

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3868

▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.BUZ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDROPPER%2EBUZ

▽ウイルス情報
トレンドマイクロ、WORM_SILLY.KAX
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FSILLY%2EKAX

◆アップデート情報◆
───────────────────────────────────
●Debianがvnc4のアップデートをリリース
───────────────────────────────────
　Debianがvnc4のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●SuSE LinuxがSecurity Summary Reportどをリリース
───────────────────────────────────
　SuSE LinuxがSecurity Summary Reportをリリースした。Summary Reportには、複数の問題の修正が含まれる。

SuSe Security Announcement
http://www.suse.de/de/security/

《ScanNetSecurity》