セキュリティホール情報＜2009/02/20＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年2月20日（金） 15時15分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Fujitsu Jasmine2000───────────────────────
Fujitsu Jasmine2000は、WebLink templateでのユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュ中毒やクロスサイトスクリプティングを実行される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：Jasmine2000 Enterprise
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Zeroboard────────────────────────────
Zeroboardは、多数のスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：4.1pl8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Oracle Database Server──────────────────────
Oracle Database Serverは、ディレクトリパーミッションを適切に制限していないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に作成されたディレクトリでSYSDBA権限を奪取される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：10.1 R1、10.2 R2、11g
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽smNews──────────────────────────────
smNewsは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TangoCMS─────────────────────────────
TangoCMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：2.2.0、2.2.1、2.2.2、2.2.3
影響を受ける環境：UNIX、Linux、Windows
回避策：2.2.4以降へのバージョンアップ

▽Ruby───────────────────────────────
Rubyは、無効なx.509証明書を有効と判断することでスプーフィング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/19 登録

危険度：中
影響を受けるバージョン：1.9.1ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpList─────────────────────────────
phpListは、細工されたURLリクエストをadmin/index.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/01/15 登録

危険度：中
影響を受けるバージョン：2.10.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Windows Live Messenger──────────────────────
Windows Live Messengerは、細工されたパケットを送信されることでフォーマットストリングエラーが発生するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けてアプリケーションをクラッシュされる可能性がある。
2009/02/20 登録

危険度：低
影響を受けるバージョン：2009
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Microsoft XML コアサービスが原因でセキュリティホールが存在する。この問題が悪用されると、細工されたWebページをInternet Explorerで表示することで、リモートの攻撃者にコードを実行される可能性がある。 [更新]
2008/11/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 SP4、XP SP2、SP3、Server 2003 SP1、SP2、Vista、SP1、Server 2008
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sepcity Classified Ads──────────────────────
Sepcity Classified Adsは、data/classifieds.mdbファイルに普通テキストでアドミニストレータパスワードをストアすることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/02/20 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽Got All Media──────────────────────────
Got All Mediaは、細工されたURIリクエストを送信されることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/02/20 登録

危険度：低
影響を受けるバージョン：7.0.0.3
影響を受ける環境：Windows
回避策：公表されていません

▽GeoVision LiveX ActiveX control─────────────────
GeoVision LiveX ActiveX control (LIVEX_~1.OCX)は、SnapShotToFile ()およびSnapShotX ()が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のファイルを作成されて上書きされる可能性がある。 [更新]
2009/02/19 登録

危険度：中
影響を受けるバージョン：7000、8120、8200
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽libpng──────────────────────────────
libpngは、細工されたPNGファイルを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/02/20 登録

危険度：高
影響を受けるバージョン：1.2.7 Beta1ほか
影響を受ける環境：UNIX、Linux
回避策：1.0.43および1.2.35以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Fujitsu Enhanced Support Facility────────────────
Fujitsu Enhanced Support Facilityは、HRM-S client connectionsを適切に取り扱わないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/02/20 登録

危険度：低
影響を受けるバージョン：3.0、3.1
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜BSD＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenBSD─────────────────────────────
OpenBSDは、過度に長いAS pathを処理することでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/02/20 登録

危険度：低
影響を受けるバージョン：4.3、4.4
影響を受ける環境：OpenBSD
回避策：4.3/common/010_bgpd.patchおよび4.4/common/010_bgpd.patchのインストール

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SBLIM-SFCB────────────────────────────
SBLIM-SFCBは、未知のセキュリティホールが存在する。なお、これ以上の
詳細は公表されていない。
2009/02/20 登録

危険度：低
影響を受けるバージョン：1.3.2
影響を受ける環境：Linux
回避策：1.3.3以降へのバージョンアップ

▽Netcordia NetMRI─────────────────────────
Netcordia NetMRIは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/02/20 登録

危険度：中
影響を受けるバージョン：3.0.1
影響を受ける環境：Linux
回避策：3.0.2以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、未知のセキュリティホールが存在する。尚、これ以上の詳細は公表されていない。 [更新]
2008/05/28 登録

危険度：低
影響を受けるバージョン：2.6.13.4、2.6.22.17、2.6.25未満、2.6.25.2
影響を受ける環境：Linux
回避策：2.6.25.4以降へのバージョンアップ

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.29-rc5-git4がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会　情報通信政策部会　インターネット基盤委員会（第2回）WG　開催案内
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/090227_1.html

▽トピックス
警察庁、平成20年中のいわゆる出会い系サイトに関連した事件の検挙状況について
http://www.npa.go.jp/cyber/statics/h20/pdf45.pdf

▽トピックス
JPCERT/CC、「制御システムベンダーセキュリティ情報共有タスクフォース」を発足
http://www.jpcert.or.jp/press/2009/taskforce-press_20090219.pdf

▽トピックス
迷惑メール相談センター、『チェーンメール対策BOOK』配布ページ　更新
https://www.dekyo.or.jp/soudan/pamphlet/chain-agree.html

▽トピックス
迷惑メール相談センター、『迷惑メール対策BOOK』配布ページ　更新
https://www.dekyo.or.jp/soudan/pamphlet/tbook-agree.html

▽トピックス
迷惑メール相談センター、『迷惑メール法』　更新
http://www.dekyo.or.jp/soudan/houritupoint/

▽トピックス
迷惑メール相談センター、『撃退！チェーンメール』参考資料　更新
http://www.dekyo.or.jp/soudan/chain/reference_materials.html

▽トピックス
迷惑メール相談センター、『迷惑メール対策』　更新
http://www.dekyo.or.jp/soudan/taisaku/index.html

▽トピックス
ソフォス：ニュース、グレート・ヤーマス＆ウェーブニーNHSトラスト、Sophos NAC Advancedを導入
http://www.sophos.co.jp/pressoffice/news/articles/2009/02/nhs-rolls-out-sophos.html

▽トピックス
キヤノンITソリューションズ、2009年1月の月間マルウェアランキング結果発表
http://canon-its.jp/product/eset/topics/malware0901.html

▽トピックス
NTTドコモ、「Vライブ」サービスの終了について
http://www.nttdocomo.co.jp/info/notice/page/090219_00_m.html

▽トピックス
WILLCOM、東芝製「WILLCOM LU（WS023T）」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
NTTコミュニケーションズ、「Drive Protector Advance」の提供開始について
http://www.ntt.com/release/monthNEWS/detail/20090219.html

▽トピックス
MSDN、Visual Studio .NET 2002 および .NET Framework 1.0 サポート終了に関するお知らせ
http://msdn.microsoft.com/ja-jp/netframework/default.aspx?rss_fdn=MSDNTopNewInfo

▽トピックス
チェック・ポイント、中小事業所向け UTM アプライアンスを発表
http://www.checkpoint.co.jp/pr/2009/20090219utm-small-businesses.html

▽トピックス
NECとRSAセキュリティ、統合ログ管理領域で提携
http://japan.rsa.com/press_release.aspx?id=9930

▽トピックス
日立と日立国際電気、ネットワーク型監視システム事業で連携強化
http://www.hitachi.co.jp/New/cnews/month/2009/02/0219b.html

▽トピックス
クリアスウィフト、Webとメールのアプライアンス最新版「Clearswift Web Appliance 1.3」など発表
http://www.clearswift.co.jp/news/PressReleases/?090219

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.855.00 (02/20)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT：1012 (02/20)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3920

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3919

▽ウイルス情報
トレンドマイクロ、TROJ_AGENT.AMRL
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FAGENT%2EAMRL

▽ウイルス情報
トレンドマイクロ、OSX_KROWI.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=OSX%5FKROWI%2EA

▽ウイルス情報
トレンドマイクロ、WORM_DOWNAD.AP
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FDOWNAD%2EAP

《ScanNetSecurity》