セキュリティホール情報<2009/02/17> | ScanNetSecurity
2025.03.18(火)
コンテンツ
注目検索ワード
ホーム 脆弱性と脅威 セキュリティホール・脆弱性 記事

セキュリティホール情報<2009/02/17>

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威
17 views
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Dacio's CMS───────────────────────────
Dacio's CMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.08
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Bloggeruniverse─────────────────────────
Bloggeruniverseは、細工されたSQLステートメントをeditcomments.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:beta 2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Den Dating Website Script────────────────────
Den Dating Website Scriptは、細工されたSQLステートメントをsearchmatch.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:9.01
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Content Construction Kit (CCK) module for Drupal─────────
Content Construction Kit (CCK) module for Drupalは、administer content typesパーミッションが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。
2009/02/17 登録

危険度:高
影響を受けるバージョン:6.x-2.0 rc6ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Calendarix Advanced───────────────────────
Calendarix Advancedは、細工されたSQLステートメントをcal_login.phpおよびadmin/cal_login.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.8.20081228
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Calendarix Basic─────────────────────────
Calendarix Basicは、細工されたSQLステートメントをcal_login.phpおよびadmin/cal_login.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.8.20080808
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽InselPhoto────────────────────────────
InselPhotoは、細工されたSQLステートメントをsearch.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Advertisement module for Drupal─────────────────
Advertisement module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:5.x-1.6ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Troll module for Drupal─────────────────────
Troll module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:5.x-1.x
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FAST ESP─────────────────────────────
FAST ESPは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:5.1.5
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Fluorine CMS───────────────────────────
Fluorine CMSは、細工されたSQLステートメントをhalite.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.1 rc1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽MyNews──────────────────────────────
MyNewsは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.10
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Q-News──────────────────────────────
Q-Newsは、settings.phpスクリプトがユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:高
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Potato News───────────────────────────
Potato Newsは、細工されたURLリクエストをadmin.phppスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Craft Silicon Banking@Home────────────────────
Craft Silicon Banking@Homeは、細工されたSQLステートメントをlogin.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Agavi──────────────────────────────
Agaviは、「/../」を含む細工されたURLリクエストをindex.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.0.0 Beta1ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.6および1.0.0-beta8以降へのバージョンアップ

▽Chipmunk Blog──────────────────────────
Chipmunk Blogは、reguser.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BlueBird─────────────────────────────
BlueBirdは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:Pre-Release
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Auth PHP─────────────────────────────
Auth PHPは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.0 Stable
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Thyme──────────────────────────────
Thymeは、phpinfo.phpスクリプトがWebルートを適切に制限していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2008/02/17 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pebble──────────────────────────────
Pebbleは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/02/17 登録

危険度:中
影響を受けるバージョン:2.3、2.3.1
影響を受ける環境:UNIX、Linux、Windows
回避策:2.3.2以降へのバージョンアップ

▽Papoo CMS────────────────────────────
Papoo CMSは、message_class.phpスクリプトに細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:3.6、3.6 Light
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WB News─────────────────────────────
WB Newsは、global.phpスクリプトに細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:2.1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Hedgehog-CMS───────────────────────────
Hedgehog-CMSは、specialacts.phpスクリプトが適切なチェックを行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。
2009/02/17 登録

危険度:高
影響を受けるバージョン:1.15〜1.21
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Gastbuch─────────────────────────────
Gastbuchは、細工されたリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Php Director───────────────────────────
Php Directorは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.21
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WebSphere Message Broker─────────────────────
WebSphere Message Brokerは、JDBCエラーが発生する際に機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデータベースに接続され内容をコピーされる可能性がある。
2008/02/17 登録

危険度:低
影響を受けるバージョン:6.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Phorum──────────────────────────────
Phorumは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/02/17 登録

危険度:中
影響を受けるバージョン:5.2.10 RC1
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.10以降へのバージョンアップ

▽Bitrix Site Manager───────────────────────
Bitrix Site Managerは、index.htmlスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:6.0、7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sajax──────────────────────────────
Sajaxは、sajax_get_common_js () 機能がユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.12
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SnippetMaster──────────────────────────
SnippetMasterは、細工されたリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:PRO 2.2.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PyBlosxom────────────────────────────
PyBlosxomは、head.atomのエスケープ・シーケンスを適切に処理していないことが原因でXMLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取されたり、さらなる攻撃を受ける可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.4.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽w3bcms──────────────────────────────
w3bcmsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:3.5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:3.5.1以降へのバージョンアップ

▽Sun Java System Directory Server─────────────────
Sun Java System Directory Serverは、細工されたデータをSun Java System Directory Proxy Serverに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のリクエストに対して返答不能にされる可能性がある。 [更新]
2009/02/16 登録

危険度:
影響を受けるバージョン:6.0、6.1、6.2、6.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、デフォルトでWebSphere pplication Server File Transfer servletをインストールした場合にservletがセキュアでない状態で動作するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/16 登録

危険度:中
影響を受けるバージョン:7.0、6.1、6.0.2、5.1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽TYPO3──────────────────────────────
TYPO3は、インストレーションパスを決定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2009/02/13 登録

危険度:中
影響を受けるバージョン:3.3.x、3.5.x、3.6.x、3.7.x、3.8.x、4.0〜4.0.11、4.1.0〜4.1.9、4.2.0〜4.2.5、4.3alpha1
影響を受ける環境:UNIX、Linux、Windows
回避策:4.0.12、4.1.10および4.2.6へのバージョンアップ

▽Sun Java System Directory Server─────────────────
Sun Java System Directory Serverは、細工されたLDAPリクエストを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2009/02/13 登録

危険度:低
影響を受けるバージョン:5、5.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽HP OpenView Network Node Manager─────────────────
HP OpenView Network Node Managerは、細工されたデータによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/02/09 登録

危険度:高
影響を受けるバージョン:7.01、7.51、7.53
影響を受ける環境:UNIX、Linux、Windows
回避策:パッチのインストール

▽FeedDemon────────────────────────────
FeedDemonは、OPML filesを処理するときにboundaryエラーが発生することでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードの実行される可能性がある。 [更新]
2009/02/06 登録

危険度:高
影響を受けるバージョン:2.7
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽WebSVN──────────────────────────────
WebSVNは、SVN authzファイルで使用されるときにlisting.phpスクリプトでエラーが発生するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/01/23 登録

危険度:低
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:2.1.0以降へのバージョンアップ

▽Bahar Download Script──────────────────────
Bahar Download Scriptは、aspkat.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/10/23 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Graugon Gallery─────────────────────────
Graugon Galleryは、g_adminクッキーを修正されることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセス権を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:Windows
回避策:公表されていません

▽Avaya DECT────────────────────────────
Avaya DECTは、特定されていないエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に盗聴されて機密情報を奪取される可能性がある。
2009/02/17 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:IP DECT Solutions、ISDN DECT
回避策:公表されていません

▽GE Fanuc iFIX──────────────────────────
GE Fanuc iFIXは、ローカルなファイルにストアされたパスワードを閲覧されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にパスワードを解読されてiFIXシステムへの無許可のアクセス権を奪取される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:2.0、2.2、2.21、2.5、2.6、3.0、3.5、4.0、
4.5、5.0、PDE
影響を受ける環境:Windows
回避策:公表されていません

▽GeoVision Digital Video Surveillance System───────────
GeoVision Digital Video Surveillance Systemは、「/../」を含む細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:8.3
影響を受ける環境:Windows
回避策:8.3以降へのバージョンアップ

▽Nokia Phoenix Service Software ActiveX controls─────────
Nokia Phoenix Service Software ActiveX controlsは、細工されたWebページに誘導されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2009/02/17 登録

危険度:高
影響を受けるバージョン:1.0.0.0
影響を受ける環境:Windows
回避策:公表されていません

▽Chipmunk Blog──────────────────────────
Chipmunk Blogは、「/../」を含む細工されたURLリクエストをvy_netman.cfg スクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルをダウンロードされる可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Swann DVR4
回避策:公表されていません

▽Nokia N95 Phone─────────────────────────
Nokia N95 Phoneは、細工されたJPEGファイルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザをクラッシュされる可能性がある。
2009/02/17 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Nokia N95
回避策:公表されていません

▽Trend Micro InterScan Web Security Suite─────────────
Trend Micro InterScan Web Security Suiteは、システムが特定のケースで認証情報を「プロキシ認証」ヘッダから取り除かないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザ名やパスワード情報を奪取される可能性がある。[更新]
2009/02/16 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

▽Becky! Internet Mail───────────────────────
Becky! Internet Mailは、細工された開封確認付きのメールによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。 [更新]
2009/02/13 登録

危険度:高
影響を受けるバージョン:2.48.02以前
影響を受ける環境:Windows
回避策:Ver.2.48.03あるいはVer.2.50以降へのバージョンアップ

▽BlackBerry Application Web Loader────────────────
BlackBerry Application Web Loaderは、細工されたHTMLを作成されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/02/12 登録

危険度:高
影響を受けるバージョン:1.1以前
影響を受ける環境:Windows
回避策:1.1へのバージョンアップ

▽3Com OfficeConnect Wireless Cable/DSL Gateway──────────
3Com OfficeConnect Wireless Cable/DSL Gatewayは、SaveCfgFile.cgiスクリプトを呼び出せることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/12 登録

危険度:低
影響を受けるバージョン:Model 3CRWE554G72, Hardware version:
3COM_AP51_v01, Software version: 1.2.0 -Nov 14,2006
影響を受ける環境:3Com OfficeConnect Wireless Cable/DSL Gateway
回避策:公表されていません

▽QIP───────────────────────────────
QIPは、RTFフォーマットで細工されたICQメッセージを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、攻撃者にアプリケーションを不能にされる可能性がある。
[更新]
2009/02/06 登録

危険度:低
影響を受けるバージョン:8.x
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽poppler─────────────────────────────
popplerは、細工されたPDFファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/02/17 登録

危険度:低
影響を受けるバージョン:0.10.3
影響を受ける環境:UNIX、Linux
回避策:0.10.4以降へのバージョンアップ

▽Fail2ban─────────────────────────────
Fail2banは、ホストからの多数の無効な認証のリクエストを送信されることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションが禁止したリストに合法的なIPアドレスを加え正当なユーザがアクセス出来なくされる可能性がある。
2009/02/17 登録

危険度:低
影響を受けるバージョン:0.7.5-2
影響を受ける環境:UNIX、Linux
回避策:0.8.3-5および0.8.3-2以降へのバージョンアップ

▽Bugzilla─────────────────────────────
Bugzillaは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されたり、攻撃者にWebキャッシュ汚染やクロスサイトスクリプティングを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:3.0.0、3.0.1、3.0.2、3.0.3、3.0.4、3.0.5、3.0.6、3.2、3.3.1
影響を受ける環境:UNIX、Linux
回避策:3.0.7、3.2.1および3.3.2以降へのバージョンアップ

▽WebFrame─────────────────────────────
WebFrameは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:0.76
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Varnish─────────────────────────────
Varnishは、細工されたHTTPリクエストによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。
2009/02/17 登録

危険度:低
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux
回避策:2.0.1以降へのバージョンアップ

▽OpenCore─────────────────────────────
OpenCoreは、pvmp3_huffman_parsing.cppファイルでのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/02/16 登録

危険度:高
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽pam-krb5─────────────────────────────
pam-krb5は、認証を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されるなどの可能性がある。 [更新]
2009/02/13 登録

危険度:
影響を受けるバージョン:3.13以前
影響を受ける環境:UNIX、Linux
回避策:3.13へのバージョンアップ

▽Tor───────────────────────────────
Torは、細工されたデータを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無限ループ状態にされてサービスをクラッシュされる可能性がある。[更新]
2009/02/13 登録

危険度:低
影響を受けるバージョン:0.2.0.34以前
影響を受ける環境:UNIX、Linux
回避策:0.2.0.34へのバージョンアップ

▽libvirt─────────────────────────────
libvirtは、proxy/libvirt_proxy.cが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、
ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/02/12 登録

危険度:高
影響を受けるバージョン:0.5.1
影響を受ける環境:UNIX、Linux
回避策:0.6.0へのバージョンアップ

<BSD>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD telnetd─────────────────────────
FreeBSD telnetdは、細工された環境変数を送信されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:
影響を受けるバージョン:7.0、7.1
影響を受ける環境:FreeBSD
回避策:ベンダの回避策を参照

<IBM-AIX>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IBM AIX─────────────────────────────
IBM AIXは、rmsockおよびrmsock64コマンドが安全でない方法でログファイルを作成することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
[更新]
2009/02/02 登録

危険度:高
影響を受けるバージョン:5.2、5.3、6.1
影響を受ける環境:IBM AIX
回避策:ベンダの回避策を参照

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートによって、AFP Server、Apple Pixlet Video、CarbonCore、CFNetwork、Certificate Assistant、ClamAV、CoreText、CUPS、DS Tools、fetchmail、Folder Manager、FSEvents、Network Time、perl、Printing、
python、Remote Apple Events、Safari RSS、servermgrd、SMB、SquirrelMail、X11、XTermにおけるセキュリティホールが解消される。
[更新]
2009/02/13 登録

危険度:
影響を受けるバージョン:10.5.6未満、10.4.11未満
影響を受ける環境:Mac OS X

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽GNOME Evolution─────────────────────────
GNOME Evolutionは、正当なメッセージのS/MIME署名によって署名された悪意あるメッセージを適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。
2009/02/17 登録

危険度:中
影響を受けるバージョン:2.22、2.22.1、2.22.2
影響を受ける環境:Linux
回避策:公表されていません

▽ZeroShell────────────────────────────
ZeroShellは、細工されたcgi-bin/kerbynet GETリクエストによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/17 登録

危険度:高
影響を受けるバージョン:1.0 beta11
影響を受ける環境:Linux
回避策:パッチのインストール

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Debian GNU/Linux─────────────────────────
Debian GNU/Linux 5.0(lenny)がリリースされた。
http://www.jp.debian.org/

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.50.01がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽Lunascape────────────────────────────
Lunascape 5.0.0 rc2がリリースされた。
http://www.lunascape.jp

▽Skype for Windows Mobile─────────────────────
Skype for Windows Mobile 2.5がリリースされた。
http://www.skype.com/intl/ja/download/skype/windowsmobile/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、重要通信を行う機関を指定する件の全部改正に関する意見募集の結果
http://www.soumu.go.jp/s-news/2009/090216_6.html

▽トピックス
総務省、「電子署名及び認証業務に関する法律に基づく特定認証業務の認定に係る指針の一部を改正する告示案」に関する意見募集
http://www.soumu.go.jp/s-news/2009/090216_5.html

▽トピックス
総務省、トラヒックからみた我が国の通信利用状況
http://www.soumu.go.jp/s-news/2009/090216_4.html

▽トピックス
総務省、情報通信審議会 情報通信政策部会 デジタル・コンテンツの流通の促進等に関する検討委員会(第49回)の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/090226_1.html

▽トピックス
JVN、Becky! Internet Mail におけるバッファオーバーフローの脆弱性[更新]
http://jvn.jp/jp/JVN29641290/index.html

▽トピックス
JPNIC、手続きに着手しているが完了していない歴史的PIアドレス割り当て先一覧
http://www.nic.ad.jp/ja/ip/hr/list-in-process.html

▽トピックス
JPNIC、JPNICが管理を行っているIPv6アドレス一覧を更新
http://www.nic.ad.jp/ja/dns/ipv6-addr-block.html

▽トピックス
Dr.WEB、Dr.Web LiveCD ver. 5.0 リリース
http://drweb.jp/news/20090217.html

▽トピックス
Dr.WEB、ファイルフィルタ for Samba 4.44.2 リリース
http://drweb.jp/news/20090216.html

▽トピックス
アンラボ、企業用旧製品サポート終了のお知らせ
http://japan.ahnlab.com/news/view.asp?seq=3906

▽トピックス
NTTドコモ、「docomo PRO series SH-04A」を発売
http://www.nttdocomo.co.jp/info/news_release/page/090216_00.html

▽トピックス
NTTドコモ、韓国の携帯電話番号が利用できる「海外プラスナンバー」をサービス開始
http://www.nttdocomo.co.jp/info/news_release/page/090216_01.html

▽トピックス
WILLCOM、JRC製「WX330J」「WX330JZ」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
NTT東日本、「050IP電話」対応ADSLモデム等の不具合及び対象となるお客様へのお願いと今後の対応について
http://www.ntt-east.co.jp/release/0902/090216a.html

▽トピックス
NTT西日本、「050IP電話」対応ADSLモデム等の不具合及び対象となるお客様へのお願いと今後の対応について
http://www.ntt-west.co.jp/news/0902/090216a.html

▽トピックス
NTTコミュニケーションズ、法人向け「緊急地震速報配信サービス」における「受信端末セット」の提供について
http://www.ntt.com/serviceinfo/monthinfo/detail/20090216.html

▽トピックス
NTTコミュニケーションズ、企業向けIP電話サービス「.Phone IP Centrex」対応VoIP-TA端末の一部不具合について
http://www.ntt.com/aboutus/information/info_20090216.html

▽トピックス
KDDI、au one netのIP電話機能付きADSLモデム等の不具合について
http://www.kddi.com/corporate/news_release/2009/0216/index.html

▽トピックス
ソフトバンクテレコム、IP電話対応機器のファームウエアのバージョンアップに関するお知らせ
http://www.softbanktelecom.co.jp/ja/news/press/2009/20090216_01/index.html

▽トピックス
イー・アクセス、NECアクセステクニカ社製IP電話機能付きモデムのソフトウェア不具合のお知らせ
http://www.eaccess.net/cgi-bin/press.cgi?id=845

▽トピックス
NECアクセステクニカ、IP電話対応機器の不具合について
http://www.necat.co.jp/info/2009/info_0216.html

▽トピックス
NEC、IP電話対応機器の不具合について
http://www.nec.co.jp/press/ja/0902/1601.html

▽トピックス
ブロケード、主要ITベンダー、暗号鍵管理の新しい相互接続性仕様を発表。ITセキュリティ、コンプライアンス、データ・リカバリを支援
http://www.brocadejapan.com/news/index_press_text.php?key=20090217104430

▽トピックス
ミラクル・リナックス、インテルAtomプロセッサに対応した組込み型Linux OS「Embedded MIRACLE」を提供開始
http://www.miraclelinux.com/corp/pressroom/details/2009/0216_1.html

▽トピックス
HDE、ホスティングサーバー管理ツールの最新版を提供
http://www.hde.co.jp/press/pressrelease/release.php?rd=200902170

▽トピックス
サイトロック、ソネット・メディア・ネットワークスに「サイトロックマネジメントサービス」を提供
http://www.siterock.co.jp/information/2009/090217.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.847.00 (02/16)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3909

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3908

▽セミナー情報
JPNIC、総務省「ICT利活用セミナー」のご案内
http://www.nic.ad.jp/ja/topics/2009/20090216-01.html

▽ウイルス情報
シマンテック、AntispywareProtector
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-021614-5407-99

▽ウイルス情報
マカフィー、Exploit-MSWord.k
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSWord.k

◆アップデート情報◆
───────────────────────────────────
●Debianがwebsvnのアップデートをリリース
───────────────────────────────────
 Debianがwebsvnのアップデートをリリースした。このアップデートによって、機密情報を奪取される問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●FreeBSDがtelnetdのアップデートをリリース
───────────────────────────────────
 FreeBSDがtelnetdのアップデートパッケージをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。


FreeBSD Security Information
http://www.freebsd.org/security/
《ScanNetSecurity》
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 永世名誉編集長 りく)
×