セキュリティホール情報<2009/03/23> | ScanNetSecurity
2024.03.29(金)

セキュリティホール情報<2009/03/23>

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威 セキュリティホール・脆弱性
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:3.0.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sun Java System Identity Manager─────────────────
Sun Java System Identity Managerは、複数のセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者に権限を昇格されたりクロスサイトスクリプティングを実行される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:7.x、8.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽chaozzDB─────────────────────────────
chaozzDBは、ストアされたデータベースファイルに不安定なパーミッションを設定することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザ名やパスワードといった情報を奪取される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FubarForum────────────────────────────
FubarForumは、ストアされたデータベースファイルに不安定なパーミッションを設定することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザ名やパスワードといった情報を奪取される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:1.5、1.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽FireAnt─────────────────────────────
FireAntは、ストアされたデータベースファイルに不安定なパーミッションを設定することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザ名やパスワードといった情報を奪取される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Secure Computing SmartFilter───────────────────
Secure Computing SmartFilterは、ストアされたconfig.txtおよびadmin_backup.xmlファイルに不安定なパーミッションを設定することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:4.2.1.00
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pixie CMS────────────────────────────
Pixie CMSは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:1.01a
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Cascade Server──────────────────────────
Cascade Serverは、Extensible Stylesheet Language Transformation(XLST)コントロールのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/03/23 登録

危険度:高
影響を受けるバージョン:5.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Bloginator────────────────────────────
Bloginatorは、認証クッキーを適切に処理していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセスを実行される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:1A
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Tasklist module for Drupal────────────────────
Tasklist module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:5.x-1.0〜5.x-1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Drupal Send by e-mail module───────────────────
Drupal Send by e-mail moduleは、Drupal flood control APIに関連する公表されていないエラーが原因でメールリレーに利用されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無限の偽装メールを送信される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:5.x-3.4〜6.x-1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽CCK module for Drupal──────────────────────
Content Construction Kit (CCK) module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:6.x-1.0 alpha〜6.x-2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽YABSoft Advanced Image Hosting Script──────────────
YABSoft Advanced Image Hosting Scriptは、gallery_list.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:2.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽DeluxeBB─────────────────────────────
DeluxeBBは、細工されたSQLステートメントをmisc.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:1.0〜1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Plus 1 module for Drupal─────────────────────
Plus 1 module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:6.x-1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Adobe Acrobat / Adobe Reader───────────────────
Adobe AcrobatおよびAdobe Readerは、細工されたJavaScript method callを含むファイルを作成されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/03/19 登録

危険度:高
影響を受けるバージョン:7、8、9
影響を受ける環境:Mac OS X、Windows
回避策:7.1.1、8.1.3および9.1へのバージョンアップ

▽PostgreSQL────────────────────────────
PostgreSQLは、細工されたデータを送信されることでスタックメモリ消費エラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/03/19 登録

危険度:
影響を受けるバージョン:8.3.6、8.2.12、8.1.16、8.0.20、7.4.24影響を受ける環境:UNIX、Linux、Windows
回避策:8.3.7、8.2.13、8.1.17、8.0.21および7.4.25へのバージョン
アップ

▽Icarus──────────────────────────────
Icarusは、細工された.pgnファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/03/19 登録

危険度:高
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Chasys Media Player───────────────────────
Chasys Media Playerは、細工された.plsおよび.m3u playlistファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/19 登録

危険度:高
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sitecore CMS───────────────────────────
Sitecore CMSは、Webサービスでのエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティデータベースから任意のユーザデータを奪取される可能性がある。[更新]
2009/03/19 登録

危険度:低
影響を受けるバージョン:5.3.1 rev. 071114
影響を受ける環境:UNIX、Linux、Windows
回避策:5.3.2 rev. 090212以降へのバージョンアップ

▽fMoblog plugin for WordPress───────────────────
fMoblog plugin for WordPressは、index.phpスクリプトでのエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/03/19 登録

危険度:中
影響を受けるバージョン:2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WeeChat─────────────────────────────
WeeChatは、細工されたIRCメッセージを送信されることによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2009/03/19 登録

危険度:低
影響を受けるバージョン:0.2.6
影響を受ける環境:UNIX、Linux、Windows
回避策:0.2.6.1以降へのバージョンアップ

▽OpenCart─────────────────────────────
OpenCartは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/03/17 登録

危険度:中
影響を受けるバージョン:1.1.8
影響を受ける環境:UNIX、Linux、Windows
回避策:1.1.9以降へのバージョンアップ

▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozillaは、Firefox、Thunderbird、SeaMonkeyのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/03/05 登録

危険度:高
影響を受けるバージョン:Firefox 3.0.7未満、
Thunderbird 2.0.0.21未満、
SeaMonkey 1.1.15未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozillaは、Firefox、Thunderbird、SeaMonkeyのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/02/04 登録

危険度:高
影響を受けるバージョン:Firefox 3.0.6未満、
Thunderbird 2.0.0.21未満、
SeaMonkey 1.1.15未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PHP Image Gallery────────────────────────
PHP Image Galleryは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/11/10 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:8
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Microsoft SQL Server───────────────────────
Microsoft SQL Serverは、公開されていないセキュリティホールが存在する。この問題が悪用されると、信頼できないユーザが影響を受けるシステムへのアクセス許可を取得する、または影響を受けるシステムにSQLインジェクション攻撃が実行された場合、リモートでコードが実行される可能性がある。 [更新]
2009/02/12 登録

最大深刻度 : 重要
影響を受けるバージョン:2000 SP4、2005 SP2、2007 SP1
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft SQL Server───────────────────────
Microsoft SQL Serverは、権限を昇格される複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者にコンピュータを完全に制御される可能性がある。 [更新]
2008/07/09 登録

最大深刻度 : 重要
影響を受けるバージョン:7.0、2000 SP4、2005 SP2
影響を受ける環境:Windows 2000 SP4、2003 SP1、Server 2008
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IBM Rational AppScan───────────────────────
IBM Rational AppScanは、出力されたレポートをダウンロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムに関するレポートを閲覧される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:5.4
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽GEMS───────────────────────────────
Premier Election Solutions製のGlobal Election Management System(GEMS)は、特定のイベントを記録しないセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に監査ログの内容を消去される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:1.18.19、1.18.20、1.18.21、1.18.22、1.18.23
影響を受ける環境:Windows
回避策:公表されていません

▽BS.Player────────────────────────────
BS.Playerは、長いホスト名を含む細工された.bls playlistファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/03/23 登録

危険度:高
影響を受けるバージョン:2.32 Build 975 Free、2.34 Build 980 Pro
影響を受ける環境:Windows
回避策:2.35 Build 985 PROあるいは2.36 Build 990 Free/Pro以降へのバージョンアップ

▽Miranda IM────────────────────────────
Miranda IMは、Yahoo! インスタントメッセージコンポーネントを適切にチェックしていないことが原因でスタックベースのバッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/03/23 登録

危険度:高
影響を受けるバージョン:0.6.8
影響を受ける環境:Windows
回避策:0.7.1以降へのバージョンアップ

▽IBM Lotus Notes File Viewer for WordPerfect───────────
IBM Lotus Notes File Viewer for WordPerfectは、細工されたWordPerfectドキュメントを作成されることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/03/19 登録

危険度:
影響を受けるバージョン:6.5、7.0、8.0
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽JustSystems 一太郎────────────────────────
JustSystems 一太郎は、細工されファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/03/18 登録

危険度:高
影響を受けるバージョン:13、2004、2005、2006、2007、2008、Lite2、viewer
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽WinAsm Studio──────────────────────────
WinAsm Studioは、細工された.wapファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/03/17 登録

危険度:高
影響を受けるバージョン:5.1.5.0
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SW-HTTPD─────────────────────────────
SW-HTTPDは、過度に長いストリングを含む細工されたHTTPリクエストによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバを応答不能にされる可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:0.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Facil CMS────────────────────────────
Facil CMSは、細工されたSQLステートメントをmodules.phpあるいはlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/03/23 登録

危険度:中
影響を受けるバージョン:0.1 rc2
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽libsoup─────────────────────────────
libsoupは、過度に長いストリングを送信されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/18 登録

危険度:高
影響を受けるバージョン:2.1、2.23.1、2.23.6、2.23.91、2.23.92
影響を受ける環境:UNIX、Linux
回避策:2.24.0以降へのバージョンアップ

▽GNOME GLib library────────────────────────
GNOME GLib libraryは、細工されたストリングを送信されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/18 登録

危険度:高
影響を受けるバージョン:2.14.5、2.14.6、2.16.3、2.16.4、2.2.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽cURL───────────────────────────────
cURLは、HTTP Location: headerが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行されるなどの可能性がある。[更新]
2009/03/04 登録

危険度:中
影響を受けるバージョン:7.19.3
影響を受ける環境:UNIX、Linux
回避策:7.19.4以降へのバージョンアップ

▽libpng──────────────────────────────
libpngは、細工されたPNGファイルを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/02/20 登録

危険度:高
影響を受けるバージョン:1.2.7 Beta1ほか
影響を受ける環境:UNIX、Linux
回避策:1.0.43および1.2.35以降へのバージョンアップ

▽Tor───────────────────────────────
Torは、細工されたデータを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無限ループ状態にされてサービスをクラッシュされる可能性がある。[更新]
2009/02/13 登録

危険度:低
影響を受けるバージョン:0.2.0.34以前
影響を受ける環境:UNIX、Linux
回避策:0.2.0.34へのバージョンアップ

▽FFmpeg──────────────────────────────
FFmpegは、libavformat/4xm.cでfourxm_read_header ()機能でsignednessエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりメモリを不能にされる可能性がある。 [更新]
2009/01/30 登録

危険度:高
影響を受けるバージョン:0.8.7 r1ほか
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽libpng──────────────────────────────
libpngは、png_check_keyword機能でのエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にすべてのメモリを不能にされる可能性がある。 [更新]
2009/01/22 登録

危険度:高
影響を受けるバージョン:1.2.9 Rc1ほか
影響を受ける環境:UNIX、Linux
回避策:1.0.42および1.2.34以降へのバージョンアップ

▽Amarok──────────────────────────────
Amarokは、Audible::Tag::readTag()機能のsrc/metadata/audible/audibletag.cppファイルが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されシステム上で任意のコードを実行される可能性がある。 [更新]
2009/01/13 登録

危険度:高
影響を受けるバージョン:1.0、1.4.9.1、2.0
影響を受ける環境:UNIX、Linux
回避策:2.0.1.1以降へのバージョンアップ

▽FFmpeg──────────────────────────────
FFmpegは、TCP/UDPメモリリークと関連する特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/11/05 登録

危険度:高
影響を受けるバージョン:0.3、0.3.1、0.3.2、0.3.3、0.3.4、0.4.0、0.4.2、0.4.3、0.4.4、0.4.5、0.4.6、0.4.7、0.4.8、0.4.9 Pre1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽libpng──────────────────────────────
libpngは、細工されたPNGイメージを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にすべてのメモリリソースを消費される可能性がある。 [更新]
2008/10/28 登録

危険度:低
影響を受けるバージョン:1.2.32
影響を受ける環境:UNIX、Linux
回避策:1.2.33rc02以降へのバージョンアップ

▽JasPer──────────────────────────────
JasPerは、細工されたパケットイメージファイルによって整数オーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題は、リモートの攻撃者に悪用される可能性がある。 [更新]
2008/10/06 登録

危険度:高
影響を受けるバージョン:1.900.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽FFmpeg──────────────────────────────
FFmpegは、str_read_packet () 機能が適切なチェックを行っていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりライブラリをクラッシュされる可能性がある。 [更新]
2008/07/22 登録

危険度:高
影響を受けるバージョン:0.x
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽libpng──────────────────────────────
libpngは、未知のPNGチャンクを適切に取り扱わないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/04/15 登録

危険度:高
影響を受けるバージョン:1.0.6〜1.0.32、1.2.0〜1.2.26
影響を受ける環境:UNIX、Linux
回避策:1.2.27beta01以降へのバージョンアップ

▽libpng──────────────────────────────
libpngは、pngset.cファイルのICC-profile png_set_iCCP機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/11/12 登録

危険度:低
影響を受けるバージョン:1.2〜1.2.20、1.0.29beta1未満
影響を受ける環境:UNIX、Linux
回避策:各ベンダの回避策を参照

▽libpng──────────────────────────────
libpngは、細工されたtRNSチャンクが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2007/05/18 登録

危険度:低
影響を受けるバージョン:0.90〜1.2.16
影響を受ける環境:UNIX、Linux
回避策:1.0.25および1.2.17以降へのバージョンアップ

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Safari───────────────────────────
Apple Safariは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/03/23 登録

危険度:
影響を受けるバージョン:3.2.1
影響を受ける環境:Mac OS X
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、inotify_read () 機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデバイス上のlist mutexを何回もアンロックされkernel OOPSを引き起こされる可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:2.6.9以前
影響を受ける環境:Linux
回避策:2.6.29-rc3以降へのバージョンアップ

▽LittleCMS────────────────────────────
LittleCMSは、細工されたイメージファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/03/23 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Ghostscript───────────────────────────
Ghostscriptは、細工されたイメージファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/03/23 登録

危険度:高
影響を受けるバージョン:5.5.0〜8.61
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽system-config-printer──────────────────────
system-config-printer packageは、ルーマニア語翻訳機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にプリンタ設定を変更される可能性がある。
2009/03/23 登録

危険度:低
影響を受けるバージョン:1.0、1.1.3
影響を受ける環境:Linux
回避策:1.0.16以降へのバージョンアップ

▽CUPS───────────────────────────────
CUPS(Common Unix Printing System)は、細工されたPostScriptファイルを送ることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/03/02 登録

危険度:高
影響を受けるバージョン:1.1.17
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux kernel───────────────────────────
Linux kernelは、fs/ext4/super.cのext4_fill_super ()機能でのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。 [更新]
2009/02/25 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.27.19および2.6.28.7以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、sock_getsockopt () 機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリを参照され、さらなる攻撃に利用される可能性がある。 [更新]
2009/02/23 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.28.6以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、skfp_ioctl () 機能のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にドライバ統計を修正される可能性がある。 [更新]
2009/02/23 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.27.18あるいは2.6.28.6以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、dell_rbu.c内のread_rbu_image_type ()およびread_rbu_packet_size ()機能の中で多数のエラーが発生することでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/01/27 登録

危険度:低
影響を受けるバージョン:2.6.28.1ほか
影響を受ける環境:Linux
回避策:2.6.27.13および2.6.28.2以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたリクエストによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/01/26 登録

危険度:高
影響を受けるバージョン:2.6.28以前、2.4.36〜2.4.36.6、2.2.27
影響を受ける環境:Linux
回避策:2.6.28.1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、security/keys/keyctl.cスクリプトが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に使用可能なメモリリソースを全て消費される可能性がある。[更新]
2009/01/20 登録

危険度:低
影響を受けるバージョン:2.6.0
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、システムコール機能に細工されたパラメータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。[更新]
2009/01/16 登録

危険度:低
影響を受けるバージョン:2.6.0
影響を受ける環境:Linux
回避策:公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、open.cでのエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/10/02 登録

危険度:高
影響を受けるバージョン:2.6.9 rc4ほか
影響を受ける環境:Linux
回避策:2.6.22-rc1以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、wanサブシステムが特定のioctlリクエストを処理する際にCAP_NET_ADMINチェックに失敗することなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避されたりDoS攻撃を受ける可能性がある。 [更新]
2008/09/08 登録

危険度:中
影響を受けるバージョン:2.6.26.3
影響を受ける環境:Linux
回避策:公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、VFS lookupが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/08/26 登録

危険度:
影響を受けるバージョン:2.6.25.15以前
影響を受ける環境:Linux
回避策:2.6.25.15へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、sys32_ptrace機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/07/11 登録

危険度:低
影響を受けるバージョン:2.6.9 rc1ほか
影響を受ける環境:Linux
回避策:2.6.25.10以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、ia32でエミュレーションが適切にメモリを初期化しないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/06/27 登録

危険度:低
影響を受けるバージョン:2.6
影響を受ける環境:Linux
回避策:公表されていません

▽Linux kernel───────────────────────────
Linux kernelは、細工されたパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にすべてのメモリリソースを消費される可能性がある。 [更新]
2008/05/16 登録

危険度:低
影響を受けるバージョン:2.6.25.2
影響を受ける環境:Linux
回避策:2.6.25.3以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、isdn_net_setcfg () 機能が適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/12/03 登録

危険度:高
影響を受けるバージョン:2.26.23
影響を受ける環境:Linux
回避策:公表されていません

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ISC BIND 9.5.x 系────────────────────────
ISC BIND 9.5.1-P2がリリースされた。
http://www.isc.org/sw/bind/

▽ISC BIND 9.4.x 系────────────────────────
ISC BIND 9.4.3-P2がリリースされた。
http://www.isc.org/sw/bind/

▽SeaMonkey────────────────────────────
SeaMonkey 1.1.15がリリースされた。
http://www.seamonkey-project.org/

▽Webmin──────────────────────────────
Webmin 1.470がリリースされた。
http://www.webmin.com/

▽Usermin─────────────────────────────
Usermin 1.400がリリースされた。
http://www.webmin.com/

▽Subversion────────────────────────────
Subversion 1.6がリリースされた。
http://subversion.tigris.org/

▽JBoss Tools───────────────────────────
JBoss Tools 3.0がリリースされた。
http://www.jboss.org/tools/download.html

▽KNOPPIX─────────────────────────────
KNOPPIX 6.0.1日本語版がリリースされた。
http://www.knoppix.com/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.29-rc8-git6がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
警察庁、「振り込め詐欺(恐喝)事件」にご注意!
http://www.npa.go.jp/safetylife/seianki31/1_hurikome.htm

▽トピックス
警察庁、平成20年中の「インターネット・ホットラインセンター」の運用状況について
http://www.npa.go.jp/cyber/statics/h20/pdf48.pdf

▽トピックス
警察庁、平成20年度サイバー犯罪防止広報パンフレット
http://www.npa.go.jp/cyber/pamphlet/index.html

▽トピックス
警察庁、平成20 年度第5回総合セキュリティ対策会議
http://www.npa.go.jp/cyber/csmeeting/h20/image/youshi5.pdf

▽トピックス
@police、アドビシステムズ社の Adobe Reader と Acrobat のセキュリティ修正プログラムについて(3/19)更新
http://www.cyberpolice.go.jp/important/2009/20090319_132747.html

▽トピックス
JPCERT/CC、Adobe Reader 及び Acrobat の脆弱性に関する注意喚起[更新]
http://www.jpcert.or.jp/at/2009/at090006.txt

▽トピックス
JVN、libpng が適切にエレメントポインタを初期化しない脆弱性 [更新]
http://jvn.jp/cert/JVNVU649212/index.html

▽トピックス
IPA/ISEC、Adobe Reader および Acrobat の脆弱性について
http://www.ipa.go.jp/security/ciadr/vul/20090311-adobe.html

▽トピックス
IPA/ISEC、「ウイルス等迅速解析支援ツールの運用・保守契約」に係る事前確認公募について
http://www.ipa.go.jp/security/kobo/20fy/zha/index.html

▽トピックス
IPA/ISEC、「悪意あるサイトの識別情報及び対策情報提供システムの運用・保守契約」に係る事前確認公募について
http://www.ipa.go.jp/security/kobo/20fy/tips/index2.html

▽トピックス
フィッシング対策協議会、サイト一時停止について(4/1〜)
http://www.antiphishing.jp/information/information394.html

▽トピックス
RIAJ、「エルマーク(R)」、映画・アニメ映像配信サイトでも表示を開始
http://www.riaj.or.jp/release/2009/pr090318.html

▽トピックス
au、auお客さまサポート臨時メンテナンスのお知らせ(一部復旧)
http://www.au.kddi.com/news/au_top/information/au_info_20090315175638.html

▽トピックス
マイクロソフト、Windows(R) Internet Explorer(R) 8 の提供開始を発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3656

▽トピックス
ジャングル、データ復元ソフトを発売
http://211.125.74.187/release/2009/0319a/

▽トピックス
ジャングル、データ抹消ソフトを発売
http://211.125.74.187/release/2009/0319b/

▽トピックス
デジタルアーツ、バッファローのルーター製品に「i-フィルター」シリーズを提供
http://www.daj.jp/company/release/2009/r032301.htm

▽トピックス
SBI証券、端末認証によるセキュリティー向上サービス「PC登録あんしんサービス」を提供
https://trading1.sbisec.co.jp/ETGate/WPLETmgR001Control?OutSide=on&getFlg=on&burl=search_home&cat1=home&cat2=corporate&dir=corporate&file=irpress/prestory090319.html

▽トピックス
ガイアックス、中小サイト向け監視サービス「コミュニティパトロールミニマム」を提供
http://www.gaiax.co.jp/jp/news/press_release/2009/0319.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:5.909.00 (03/23)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT:1020 (03/23)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3988

▽統計・資料
警察庁、不正アクセス行為対策等の実態調査
http://www.npa.go.jp/cyber/research/h20/H20countermeasures.pdf

▽統計・資料
警察庁、アクセス制御機能に関する技術の研究開発の状況等に関する調査
http://www.npa.go.jp/cyber/research/h20/H20research.pdf

▽ウイルス情報
トレンドマイクロ、WORM_AUTORUN.DMI
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FAUTORUN%2EDMI

▽ウイルス情報
トレンドマイクロ、TROJ_DROPAD.KAX
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDROPAD%2EKAX

▽ウイルス情報
トレンドマイクロ、TROJ_DROPAD.AD
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FDROPAD%2EAD

▽ウイルス情報
シマンテック、W32.Tidserv.G
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-032211-2952-99

▽ウイルス情報
シマンテック、FileFixProfessional
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-032209-4419-99

▽ウイルス情報
シマンテック、Trojan.Xrupter
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-032207-0838-99

▽ウイルス情報
シマンテック、Trojan.Skimer
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-031905-5048-99

▽ウイルス情報
シマンテック、W32.Shoren
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-031817-4943-99

▽ウイルス情報
マカフィー、Exploit-TaroDrop.g
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-TaroDrop.g

▽ウイルス情報
マカフィー、Generic Rootkit.w
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Rootkit.w

▽ウイルス情報
マカフィー、FakeAlert-MalDef
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-MalDef

▽ウイルス情報
マカフィー、BackDoor-DTN
http://www.mcafee.com/japan/security/virB.asp?v=BackDoor-DTN

▽ウイルス情報
マカフィー、FakeAlert-BX
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-BX

▽ウイルス情報
マカフィー、FakeAlert-BV
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-BV

▽ウイルス情報
マカフィー、W32/Xirtem@MM!8b1f20b9
http://www.mcafee.com/japan/security/virXYZ.asp?v=W32/Xirtem@MM!8b1f20b9

▽ウイルス情報
マカフィー、PWS-Gamania.gen.g
http://www.mcafee.com/japan/security/virPQ.asp?v=PWS-Gamania.gen.g

▽ウイルス情報
マカフィー、FakeAlert-SystemSecurity
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-SystemSecurity

▽ウイルス情報
マカフィー、RemAdm-iVirtua
http://www.mcafee.com/japan/security/virR.asp?v=RemAdm-iVirtua

▽ウイルス情報
マカフィー、JSP/FileBrowser
http://www.mcafee.com/japan/security/virF.asp?v=JSP/FileBrowser

▽ウイルス情報
マカフィー、Generic Rootkit.x
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Rootkit.x

◆アップデート情報◆
───────────────────────────────────
●Gentoo Linuxがamarokおよびffmpegのアップデートをリリース
───────────────────────────────────
 Gentoo Linuxがamarokおよびffmpegのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
 Debianがlibpng、linux、libsoup、glib2.0、ghostscript、lcmsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxが複数のアップデートをリリース
───────────────────────────────────
 Miracle Linuxがseamonkey、libpng、cups、netpbm、kernelのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●RedHat Linuxが複数のアップデートをリリース
───────────────────────────────────
 RedHat Linuxがlcms、curl、ghostscriptのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●Ubuntu LinuxがThunderbirdおよびJasPerのアップデートをリリース
───────────────────────────────────
 Ubuntu LinuxがThunderbirdおよびJasPerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×