以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。★ お申込みはこちら ★https://www.netsecurity.ne.jp/14_3683.html<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━▽Downloadcenter──────────────────────────Downloadcenterは、common.hファイルが原因でデータベース資格証明をダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。2009/02/24 登録危険度:低影響を受けるバージョン:2.1影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Professioneller Anzeigenmarkt──────────────────Professioneller Anzeigenmarktは、細工されたSQLステートメントをlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽HP Quality Center────────────────────────HP Quality Centerは、キャッシュされたworkflowスクリプトを適切に取り扱わないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:9.0、9.2影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽EQDKP Plus────────────────────────────EQDKP Plusは、itemsearch.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:0.6.1.8影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽PayPal Download Shop───────────────────────PayPal Download Shopは、products.phpスクリプトがファイル拡張子を適切にチェックしていないことが原因で任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:1.0影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Page Engine CMS─────────────────────────Page Engine CMSは、細工されたURLリクエストをrecent_poll_include.php、login_include.php、statistics_include.phpおよびconfiguration.inc.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:2.0 Pro、2.0 Basic影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Blue Utopia───────────────────────────Blue Utopiaは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽phpScheduleIt──────────────────────────phpScheduleItは、reserve.phpおよびcheck.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。2009/02/24 登録危険度:高影響を受けるバージョン:1.2.9ほか影響を受ける環境:UNIX、Linux、Windows回避策:1.2.11以降へのバージョンアップ▽IBM WebSphere MQ queue manager──────────────────IBM WebSphere MQ queue managerは、setmqaut、dmpmqautおよびdspmqaut authorizationコマンドが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:5.3、6.0、7.0影響を受ける環境:UNIX、Linux、Windows回避策:6.0.2.6以降および7.0.0.2以降へのバージョンアップ▽PHCDownload───────────────────────────PHCDownloadは、細工されたURLリクエストをsearch.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]2009/02/23 登録危険度:中影響を受けるバージョン:影響を受ける環境:UNIX、Linux、Windows回避策:公表されていません▽Symantec Veritas NetBackup Enterprise Server / NetBackup Server─Symantec Veritas NetBackup Enterprise ServerおよびSymantec Veritas NetBackup Serverは、ユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]2009/02/19 登録危険度:高影響を受けるバージョン:Enterprise Server 5.1 MP7、5.1、6.0 MP7、6.0、6.5、6.5.2、NetBackup Server 5.1 MP7、5.1、6.0 MP7、6.0、6.5、6.5.2影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照▽WebSphere Partner Gateway────────────────────WebSphere Partner Gatewayは、内向きのRNIFドキュメントシグネチャを適切に実証していないことが原因で署名検証を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にドキュメントやアプリケーションに無許可のアクセスを実行される可能性がある。[更新]2009/02/16 登録危険度:中影響を受けるバージョン:6.0影響を受ける環境:UNIX、Linux、Windows回避策:ベンダの回避策を参照<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽LANDesk Management Suite─────────────────────LANDesk Management Suiteは、「/../」を含む細工されたURLリクエストをPXE TFTP Service (PXEMTFTP.exe)に送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:8.7、8.7 SP5、8.80.1.1影響を受ける環境:Windows回避策:公表されていません▽Graugon Forum──────────────────────────Graugon Forumは、view_profile.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]2009/02/23 登録危険度:中影響を受けるバージョン:影響を受ける環境:Windows回避策:公表されていません▽Adobe Acrobat / Reader──────────────────────Adobe AcrobatおよびReaderは、細工されたPDFファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]2009/02/23 登録危険度:高影響を受けるバージョン:影響を受ける環境:Windows回避策:公表されていません<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽Gforge──────────────────────────────Gforgeは、細工されたSQLステートメントをeditprofile.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。2009/02/24 登録危険度:中影響を受けるバージョン:4.6 rc1影響を受ける環境:UNIX、Linux回避策:各ベンダの回避策を参照▽GNU Emacs────────────────────────────GNU Emacsは、細工されたPythonファイルによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]2008/10/30 登録危険度:影響を受けるバージョン:22.1、22.2影響を受ける環境:UNIX、Linux回避策:ベンダの回避策を参照 <IBM-AIX>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽IBM AIX─────────────────────────────IBM AIXは、過度に長いストリングを送信されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。2009/02/24 登録危険度:高影響を受けるバージョン:5.3、6.1影響を受ける環境:IBM AIX回避策:ベンダの回避策を参照<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━▽Netcordia NetMRI─────────────────────────Netcordia NetMRIは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]2009/02/20 登録危険度:中影響を受けるバージョン:3.0.1影響を受ける環境:Linux回避策:3.0.2以降へのバージョンアップ▽XEmacs / GNU Emacs────────────────────────XEmacsおよびGNU Emacsは、ソースファイルのために高速のロックのファイル(.flc)を処理するときにエラーが発生することでるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のEmacs Lispコードを実行される可能性がある。 [更新]2008/05/14 登録危険度:高影響を受けるバージョン:XEmacs 21.4、21.5、Emacs 21.3.1影響を受ける環境:Linux回避策:ベンダの回避策を参照<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━▽OpenSSH─────────────────────────────OpenSSH 5.2がリリースされた。http://www.openssh.com/ ▽OpenSSH─────────────────────────────OpenSSH 5.2p1がリリースされた。http://www.openssh.com/ ▽ActivePerl────────────────────────────ActivePerl 5.10.0.1004がリリースされた。http://www.activestate.com/Products/ActivePerl/ ▽パスワード総合管理────────────────────────パスワード総合管理 Ver2.11がリリースされた。http://hide.maruo.co.jp/software/pwinte.html ▽Linux kernel 2.6.x 系──────────────────────Linux kernel 2.6.29-rc6がリリースされた。http://www.kernel.org/ <セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━▽トピックス総務省、「インターネット政策懇談会」最終報告書の公表http://www.soumu.go.jp/s-news/2009/090223_4.html▽トピックス総務省、「コンテンツプロバイダ等相談センター」の開設http://www.soumu.go.jp/s-news/2009/090223_5.html▽トピックス総務省、IPv6によるインターネットの利用高度化に関する研究会(第1回)開催案内http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/ipv6_internet/090227_1.html▽トピックス総務省、「IPv6によるインターネットの利用高度化に関する研究会」の開催http://www.soumu.go.jp/s-news/2009/090223_3.html▽トピックスJVN、ソニー製ネットワークカメラ SNC シリーズの ActiveX コントロールにおけるバッファオーバーフローの脆弱性http://jvn.jp/jp/JVN16767117/index.html▽トピックスIPA/ISEC、ソニー製ネットワークカメラ SNC シリーズにおけるセキュリティ上の弱点(脆弱性)の注意喚起http://www.ipa.go.jp/security/vuln/documents/2009/200902_sonysnc.html▽トピックスJAIPA、「帯域制御に関する調査」アンケートご協力のお願いhttp://www.jaipa.or.jp/topics/?p=178▽トピックストレンドマイクロ、ウイルスバスター コーポレートエディションおよびウイルスバスター ビジネスセキュリティ用 Critical Patch 公開のお知らせhttp://www.trendmicro.co.jp/support/news.asp?id=1205▽トピックスシマンテック、ノートン・アンチウイルス 2009 ゲーム エディション ラグナロクオンライン コレクターズボックスを発表http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20090224_01▽トピックスMcAfee,Inc.、2008年第4四半期ならびに2008年度の記録的な収益を報告http://www.mcafee.com/japan/about/prelease/pr_09a.asp?pr=09/02/23-1▽トピックスカスペルスキー、Kaspersky Anti-Virus for Windows Server EnterpriseEdition 6.0 MP2 (ビルド6.0.2.556) (日本語版) をリリースhttp://www.kaspersky.co.jp/news?id=207578736▽トピックスNTTドコモ、「ドコモコミュニティ」の提供開始についてhttp://www.nttdocomo.co.jp/info/news_release/page/090223_00.html▽トピックスau、W06K用 Mac OS X v10.4対応ドライバ他の提供開始についてhttp://www.au.kddi.com/news/information/au_info_20090223.html▽トピックスソフトバンクモバイル、子どもの安心・安全な携帯電話利用に関する取り組みを紹介するサイトの開設についてhttp://broadband.mb.softbank.jp/corporate/release/pdf/20090223_1j.pdf▽トピックスWILLCOM、SII製「AX420S」ソフトウェアバージョンアップのお知らせhttp://www.willcom-inc.com/ja/support/update/index.html▽トピックスNTTコミュニケーションズ、「Biz Communicator」におけるUSB型ソフトフォンの機能強化についてhttp://www.ntt.com/serviceinfo/monthinfo/detail/20090223_2.html▽トピックスKDDI、イリジウム衛星携帯電話 新機種「9555」の発売についてhttp://www.kddi.com/corporate/news_release/2009/0223a/index.html▽トピックスVine Linux、Vine Linux ML アーカイブを公開http://www.vinelinux.org/whatsnew.html#20090223▽トピックスチェック・ポイント、バーチャル・セキュリティ・プラットフォームを新アプライアンス・ラインへ追加したことを発表http://www.checkpoint.co.jp/pr/2009/20090223vsx-appliances.html▽トピックスRed Hat、仮想化の将来計画を発表http://www.jp.redhat.com/news_releases/2009/02242009_1.html▽トピックスNEC、生体情報を活用したトータルなセキュリティー環境を提供するソリューションを提供http://www.nec.co.jp/press/ja/0902/2401.html▽サポート情報トレンドマイクロ、ウイルスパターンファイル:5.861.00 (02/24)http://jp.trendmicro.com/jp/support/download/pattern/index.html▽サポート情報トレンドマイクロ、マルウェアDCT:1012 (02/24)http://jp.trendmicro.com/jp/support/download/pattern/index.html▽サポート情報アンラボ、V3 / SpyZero 定期アップデート情報http://japan.ahnlab.com/news/view.asp?seq=3930▽ウイルス情報トレンドマイクロ、TROJ_EMBED.BAhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FEMBED%2EBA▽ウイルス情報トレンドマイクロ、TROJ_PIDIEF.INhttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPIDIEF%2EIN▽ウイルス情報シマンテック、Trojan.Mdropper.AChttp://mixi.jp/show_friend.pl?id=1077579◆アップデート情報◆───────────────────────────────────●Gentoo Linuxがemacsおよびktorrentのアップデートをリリース─────────────────────────────────── Gentoo Linuxがemacsおよびktorrentのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。 Gentoo Linux http://www.gentoo.org/
