セキュリティホール情報<2009/02/10> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.22(日)

セキュリティホール情報<2009/02/10>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽PLE CMS─────────────────────────────
PLE CMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/10 登録

危険度:中
影響を受けるバージョン:6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Avaya CMS────────────────────────────
Avaya CMSは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム特典を昇格される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:R13/13.1、R14/14,1、R15
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ilchClan─────────────────────────────
ilchClanは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.1L
影響を受ける環境:UNIX、Linux、Windows
回避策:1.1Mへのバージョンアップ

▽SilverNews────────────────────────────
SilverNewsは、admin.phpがユーザ入力を適切にチェックしていないことが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:2.0.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽MediaWiki────────────────────────────
MediaWikiは、config/index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:1.13.4、1.12.4あるいは1.6.12以降へのバージョンアップ

▽FotoWeb─────────────────────────────
FotoWebは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽glFusion─────────────────────────────
glFusionは、lib - comment.phpがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に匿名でコメントされる可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:最新版へのバージョンアップ

▽Wireshark────────────────────────────
Wiresharkは、NetScreen Snoop取り込みファイルを処理するときにエラーが発生することが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードの実行される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:0.99.7〜1.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:1.0.6へのバージョンアップ

▽Simple PHP News─────────────────────────
Simple PHP Newsは、post.phpが入力を適切に処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2009/02/09 登録

危険度:
影響を受けるバージョン:1.0 final
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ninja Designs Mailist──────────────────────
Ninja Designs Mailistは、適切な処理を行っていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/09 登録

危険度:
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BOINC──────────────────────────────
BOINCは、RSA key signaturesを有効にするときにアプリケーションがRSA_public_decrypt ()機能のreturn valueを間違えることが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にスプーフィング攻撃を受ける可能性がある。 [更新]
2009/02/06 登録

危険度:
影響を受けるバージョン:6.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mozilla Firefox / SeaMonkey───────────────────
Mozilla Firefox、SeaMonkeyは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2008/12/17 登録

危険度:高
影響を受けるバージョン:Firefox 3.0.5未満、Firefox 2.0.0.19未満、
SeaMonkey 1.0.14未満、Thunderbird 2.0.0.19
未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照


<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Trend Micro InterScan Web Security Suite─────────────
Trend Micro InterScan Web Security Suiteは、Report Only特典がシステムコンフィギュレーション設定を修正することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム特典を昇格される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:3.1
影響を受ける環境:Windows
回避策:3.1 for Windows Critical Patch - Build 1237のインストール

▽Google Chrome──────────────────────────
Google Chromeは、細工されたリンクをクリックするよう誘導されることでセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.0.154.48以前
影響を受ける環境:Windows
回避策:1.0.154.48へのバージョンアップ

▽ControlLogix 1756-ENTB/A─────────────────────
ControlLogix 1756-ENTB/A Ethernet/IP Bridgeは、ユーザ入力を適切にチェックしていないことが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたり機密情報を奪取される可能性がある。 [更新]
2009/02/09 登録

危険度:
影響を受けるバージョン:
影響を受ける環境:ControlLogix 1756-ENTB/A Ethernet/IP Bridge
回避策:ベンダの回避策を参照

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽PHP-Calendar───────────────────────────
PHP-Calendarは、update08.phpおよびupdate10.phpスクリプトがWebルート中に不安定なパーミションでストアされることが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に機密情報を奪取される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽ProFTPD─────────────────────────────
ProFTPDは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/02/09 登録

危険度:
影響を受けるバージョン:1.3.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Kipper──────────────────────────────
Kipperは、複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングを実行されたり機密情報を奪取される可能性がある。 [更新]
2009/02/09 登録

危険度:
影響を受けるバージョン:2.01
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽OpenSSL─────────────────────────────
OpenSSLは、EVP_VerifyFinal ()機能の結果を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデジタル署名検査を回避される可能性がある。 [更新]
2009/01/08 登録

危険度:
影響を受けるバージョン:0.9.8j以前
影響を受ける環境:UNIX、Linux
回避策:0.9.8jへのバージョンアップ


<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Wicd───────────────────────────────
Wicdは、Dバスコンフィギュレーション・ファイルがorg.wicd.daemonオブジェクトへの無制限のアクセスを許すためにセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:1.5.9以前
影響を受ける環境:Linux
回避策:1.5.9へのバージョンアップ


<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、プロセスファイルシステム(proc (4))でのポインタdereference欠陥が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上でシステムパニックを引き起こされる可能性がある。
2009/02/10 登録

危険度:
影響を受けるバージョン:OpenSolaris
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照


<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.29-rc4-git2がリリースされた。
http://www.kernel.org/


<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「u-Japanベストプラクティス2009」の事例募集
http://www.soumu.go.jp/s-news/2009/090209_2.html

▽トピックス
総務省、電子自治体の推進に関する懇談会 セキュリティワーキンググループ(第7回)議事概要
http://www.soumu.go.jp/menu_03/shingi_kenkyu/kenkyu/denshijichi_suisin/s_wg/pdf/090119_1.pdf

▽トピックス
IPA/ISEC、「重要インフラ情報セキュリティフォーラム2009」を開催
http://www.ipa.go.jp/security/event/2008/infra-sem/

▽トピックス
RIAJ、携帯電話向け違法音楽配信の逮捕者にレコード会社19社が損害賠償を請求
http://www.riaj.or.jp/release/2009/pr090209.html

▽トピックス
マカフィー、10GBPSIPSで名誉あるNSSLabs認証を取得
http://www.mcafee.com/japan/about/prelease/pr_09a.asp?pr=09/02/09-1

▽トピックス
au、プライバシーポリシーの改定について
http://www.kddi.com/news/topics/20090209.html

▽トピックス
WILLCOM、センターメンテナンスのお知らせ(2月18日)
http://www.willcom-inc.com/ja/info/09021001.html

▽トピックス
NTTコミュニケーションズ、企業向けIP電話サービスにおける転送機能の拡充について
http://www.ntt.com/serviceinfo/monthinfo/detail/20090209_2.html

▽トピックス
NTTファシリティーズ、省エネ法改正に対応したエネルギーモニタリングサービスを本格提供開始
http://www.ntt-f.co.jp/news/heisei21/h21-0209.html

▽トピックス
NTTアイティ、情報共有ポータルシステム「EasyCommunicator for SNS」を販売開始
http://www.ntt-it.co.jp/press/2009/0209/090209ssj.html

▽トピックス
ALSI、Webフィルタリングソフト「InterSafe」をソニーの「bit-drive」の新クラウドサービス「マネージドイントラネット」にも提供開始
http://www.alsi.co.jp/news/is_090209.html

▽トピックス
HDE、完全無停止のメールアーカイブソフトウェア「HDE Mail Application Server #Archiver」の提供を開始
http://www.hde.co.jp/press/pressrelease/release.php?rd=200902100

▽トピックス
DIR-BI、シンクライアントのセンターサービス事業化でソリトンの認証ソリューションを導入
http://www.dir.co.jp/bi/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.827.00 (02/10)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3892

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3893

▽統計・資料
JPNIC、JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計
http://www.nic.ad.jp/ja/stat/ip/20090210.html

▽ウイルス情報
トレンドマイクロ、HTML_XPLOIT.V
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FXPLOIT%2EV


◆アップデート情報◆
───────────────────────────────────
●Debianがboincのアップデートをリリース
───────────────────────────────────
Debianがboincのアップデートをリリースした。このアップデートによって、スプーフィング攻撃を受ける問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxが複数のアップデートをリリース
───────────────────────────────────
Miracle Linuxがfirefox、nsprおよびnssのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

    「KRACKs」に対して、現時点で想定される脅威と対策をまとめたレポート(NTTデータ先端技術)

  4. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. WPA2の脆弱性「KRACKs」に注意喚起、通信を盗聴される可能性(JVN)

  7. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  10. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×