セキュリティホール情報＜2009/02/04＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozillaは、Firefox、Thunderbird、SeaMonkeyのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2009/02/04 登録

危険度：
影響を受けるバージョン：Firefox 3.0.6未満、
Thunderbird 2.0.0.21未満、
SeaMonkey 1.1.15未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Simple Machines Forum──────────────────────
Simple Machines Forumは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：1.1.7
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Bugzilla─────────────────────────────
Bugzillaは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：2.22.7へのバージョンアップ

▽CMS from Scratch─────────────────────────
CMS from Scratchは、fckeditor/editor/filemanager/connectors/php/upload.php スクリプトの上の正しくないアクセス制限が原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にセキュリティ制限を回避される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Whole Hog Software製品──────────────────────
Whole Hog Software製品は、細工されたSQLステートメントを送ることなどが原因でSQLインジェクションやセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除されるなど様々な可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：Password Protect: Enhanced 1.x、
Ware Support 1.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Clickcart────────────────────────────
Clickcartは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：6.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽GBook──────────────────────────────
GBookは、includes/header.phpスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にローカルおよびリモートリソースから任意のファイルを追加される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Online Grades──────────────────────────
Online Gradesは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SMA-DB──────────────────────────────
SMA-DBは、startpage.phpの入力を適切に処理していないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：0.3.12
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FlatnuX CMS───────────────────────────
FlatnuX CMSは、"Job"フィールドの入力を適切に処理していないことが原因でスクリプトを挿入されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザのブラウザ上で任意のコードを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：2009-02-03
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpSlash─────────────────────────────
phpSlashは、入力を適切にチェックしていないことが原因で任意のファイルをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpSlash─────────────────────────────
phpSlashは、細工された"fields"パラメータをindex.phpに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のPHPコードを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：0.8.1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Vivvo CMS────────────────────────────
Vivvo CMSは、"404 Page Not Found"を処理する際にURL入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：4.1.0以前
影響を受ける環境：UNIX、Linux、Windows
回避策：4.1.1以降へのバージョンアップ

▽HP OpenView Select Access────────────────────
HP OpenView Select Accessは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/01/30 登録

危険度：中
影響を受けるバージョン：6.1、6.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Kaspersky Anti-Virus───────────────────────
Kaspersky Anti-Virusは、Klim5.sysでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：2008
影響を受ける環境：Windows
回避策：公表されていません

▽Elecard AVC HD Player──────────────────────
Elecard AVC HD Playerは、細工された.M3Uファイルによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：5.5.90116
影響を受ける環境：Windows
回避策：公表されていません

▽D-Link DVG-2001S─────────────────────────
D-Link DVG-2001Sは、細工されたWebページを開くことなどによって複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやクロスサイトrequest forgeryを実行される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：ファームウェア1.00.007
影響を受ける環境： D-Link DVG-2001S
回避策：公表されていません

▽VMware ESX Server────────────────────────
VMware ESX Serverは、細工されたVMDKデルタディスクをロードされることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。 [更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：ESX 3.5、ESXi 3.5
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Google Chrome──────────────────────────
Google Chromeは、ユーザ入力を適切にチェックしていないことなどが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されるなどの可能性がある。 [更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：Windows
回避策：1.0.154.46へのバージョンアップ

▽Novell GroupWise─────────────────────────
Novell GroupWiseは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されるなど様々な可能性がある。[更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：8.x、7.x、6.x
影響を受ける環境：Windows
回避策：パッチのインストール

▽Synactis ALL In-The-Box ActiveX control─────────────
Synactis ALL In-The-Box ActiveX controlは、0バイトのファイル名が原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のファイルを上書きされる可能性がある。 [更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：Windows
回避策：公表されていません

▽PSCS VPOP3 Email Server─────────────────────
PSCS VPOP3 Email Serverは、悪意があるメールメッセージを開くことでセキュリティホールが存在する。この問題が悪用されると、攻撃者にinsertion攻撃を受ける可能性がある。 [更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：Windows
回避策：2.6.0iへのバージョンアップ

▽Free Download Manager──────────────────────
Free Download Managerは、細工されたtorrentファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるなど複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者に様々な攻撃を受ける可能性がある。 [更新]
2009/02/03 登録

危険度：
影響を受けるバージョン：3.x、2.x
影響を受ける環境：Windows
回避策：3.0 build 848へのアップデート

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽BIND───────────────────────────────
BINDは、OpenSSL EVP_VerifyFinal ()機能の結果を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデジタル署名検査を回避される可能性がある。[更新]
2009/01/08 登録

危険度：
影響を受けるバージョン：9.4.3以前
影響を受ける環境：UNIX、Linux
回避策：9.3.6-P1、9.4.3-P1、9.5.1-P1、9.6.0-P1へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽xterm──────────────────────────────
xtermは、特定のエスケープシーケンスを含む細工されたテキストファイルを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/01/05 登録

危険度：高
影響を受けるバージョン：patch 237
影響を受ける環境：Linux
回避策：公表されていません

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX IPv6 Neighbor Discovery Protocol──────────────
HP-UX IPv6 Neighbor Discovery Protocolは、ある特定のケースで目標ルータのルーティングデータを修飾されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを停止されたりルータからネットワークトラフィックにアクセスされる可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：B.11.11、B.11.23、B.11.31
影響を受ける環境：HP/UX
回避策：パッチのインストール

▽HP NonStop Server────────────────────────
HP NonStop Serverは、DNSキャッシュ汚染を受けるセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：6.x
影響を受ける環境：HP/UX
回避策：G06.29.02へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris IP(7p) インプリメンテーションが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/02/02 登録

危険度：
影響を受けるバージョン：8、9、10
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX IPv6 Neighbor Discovery Protocol──────────────
HP-UX IPv6 Neighbor Discovery Protocolは、ある特定のケースで目標ルータのルーティングデータを修飾されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを停止されたりルータからネットワークトラフィックにアクセスされる可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：B.11.11、B.11.23、B.11.31
影響を受ける環境：HP/UX
回避策：パッチのインストール

▽HP NonStop Server────────────────────────
HP NonStop Serverは、DNSキャッシュ汚染を受けるセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/02/04 登録

危険度：
影響を受けるバージョン：6.x
影響を受ける環境：HP/UX
回避策：G06.29.02へのバージョンアップ

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Samba──────────────────────────────
Samba 3.2.8がリリースされた。
http://us1.samba.org/samba/

▽Firefox 3.x 系──────────────────────────
Firefox 3.0.6がリリースされた。
http://www.mozilla.org/products/firefox/

▽Bugzilla 3.3.x 系────────────────────────
Bugzilla 3.3.3がリリースされた。
http://www.bugzilla.org/news/

▽Bugzilla 3.2.x 系────────────────────────
Bugzilla 3.2.2がリリースされた。
http://www.bugzilla.org/news/

▽Bugzilla 3.0.x 系────────────────────────
Bugzilla 3.0.8がリリースされた。
http://www.bugzilla.org/news/

▽Zope 3.x 系───────────────────────────
Zope 3.4.0がリリースされた。
http://www.zope.org/

▽Squid──────────────────────────────
Squid 3.0 STABLE 13がリリースされた。
http://www.squid-cache.org/

▽Skype for Windows────────────────────────
Skype 4.0.0.206 for Windowsがリリースされた。
https://developer.skype.com/WindowsSkype/ReleaseNotes

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.29-rc3-git5がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
警察庁、「週刊ポスト」（2009年２月13日号）の記事に対する警察庁の対応について
http://www.npa.go.jp/shintyaku/kougibun_20090203.pdf

▽トピックス
NISC、「政府機関の情報セキュリティ対策のための統一基準（第4版）」（案）に関する意見の募集の結果
http://www.nisc.go.jp/active/general/res_kijun4.html

▽トピックス
NISC、第20回情報セキュリティ政策会議を開催
http://www.nisc.go.jp/conference/seisaku/index.html#seisaku20

▽トピックス
IIJ、Web セキュリティを最適化する「IIJ セキュア Web ゲートウェイサービス」にてカスペルスキー製品を採用
http://www.kaspersky.co.jp/news?id=207578728

▽トピックス
マイクロソフト、佐賀県とマイクロソフトがICTを活用した地域活性化に関して連携
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3621

▽トピックス
マイクロソフト、ソフトウェア + サービス化支援 Web サイト公開
http://www.microsoft.com/japan/isv/SplusS/default.mspx?rss_fdn=MSDNTopNewInfo

▽トピックス
ターボリナックス、Active Derectory環境下でLinuxのシングルサインオンを実現する新製品　マイクロソフトの特許使用許諾によるコンプライアンスに沿った運用を実現
http://www.turbolinux.co.jp/cgi-bin/newsrelease/index.cgi?date2=20090104113644&mode=syosai

▽トピックス
ユニアデックス、サーバー管理とネットワーク管理の膨大な運用業務をすべて代行する「サーバーLCMサービス」と「ネットワークLCMサービス」を提供開始
http://www.unisys.co.jp/news/nr_090204_uniadex.html

▽トピックス
富士通、手のひら静脈認証装置「PalmSecure」がITセキュリティの国際標準規格コモンクライテリアを取得
http://pr.fujitsu.com/jp/news/2009/02/4-1.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.811.00 (02/04)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3873

▽サポート情報
アンラボ、V3 / SpyZero 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3872

▽トピックス
警察庁、「週刊ポスト」（2009年２月13日号）の記事に対する警察庁の対応について
http://www.npa.go.jp/shintyaku/kougibun_20090203.pdf

▽トピックス
NISC、「政府機関の情報セキュリティ対策のための統一基準（第4版）」（案）に関する意見の募集の結果
http://www.nisc.go.jp/active/general/res_kijun4.html

▽トピックス
NISC、第20回情報セキュリティ政策会議を開催
http://www.nisc.go.jp/conference/seisaku/index.html#seisaku20

▽トピックス
IIJ、Web セキュリティを最適化する「IIJ セキュア Web ゲートウェイサービス」にてカスペルスキー製品を採用
http://www.kaspersky.co.jp/news?id=207578728

▽トピックス
マイクロソフト、佐賀県とマイクロソフトがICTを活用した地域活性化に関して連携
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3621

▽トピックス
マイクロソフト、ソフトウェア + サービス化支援 Web サイト公開
http://www.microsoft.com/japan/isv/SplusS/default.mspx?rss_fdn=MSDNTopNewInfo

▽トピックス
ターボリナックス、Active Derectory環境下でLinuxのシングルサインオンを実現する新製品　マイクロソフトの特許使用許諾によるコンプライアンスに沿った運用を実現
http://www.turbolinux.co.jp/cgi-bin/newsrelease/index.cgi?date2=20090104113644&mode=syosai

▽トピックス
ユニアデックス、サーバー管理とネットワーク管理の膨大な運用業務をす
べて代行する「サーバーLCMサービス」と「ネットワークLCMサービス」を
提供開始
http://www.unisys.co.jp/news/nr_090204_uniadex.html

▽トピックス
富士通、手のひら静脈認証装置「PalmSecure」がITセキュリティの国際標準規格コモンクライテリアを取得
http://pr.fujitsu.com/jp/news/2009/02/4-1.html

▽ウイルス情報
マカフィー、W32/Autorun.worm.zu.dr
http://www.mcafee.com/japan/security/virA.asp?v=W32/Autorun.worm.zu.dr

▽ウイルス情報
マカフィー、W32/Autorun.worm.zu
http://www.mcafee.com/japan/security/virA.asp?v=W32/Autorun.worm.zu

◆アップデート情報◆
───────────────────────────────────
●MIRACLE Linuxがbindおよびxtermのアップデートをリリース
───────────────────────────────────
　Miracle Linuxがbindおよびxtermのアップデートをリリースした。このアップデートによってそれぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●TurbolinuxがTLAS 3.0 x64パッケージをリリース
───────────────────────────────────
　TurbolinuxがTLAS 3.0 x64パッケージをリリースした。このアップデートによって、複数の問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/