セキュリティホール情報＜2009/07/08＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽IO::Socket::SSL module for Perl─────────────────
IO::Socket::SSL module for Perlは、ワイルドカードがなくても証明書ホスト名が合致すればセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。
2009/07/08 登録

危険度：中
影響を受けるバージョン：1.25
影響を受ける環境：UNIX、Linux、Windows
回避策：1.26以降へのバージョンアップ

▽ConPresso CMS──────────────────────────
ConPresso CMSは、細工されたSQLステートメントをdetail.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/08 登録

危険度：中
影響を受けるバージョン：3.4.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Webブラウザ───────────────────────────
複数のWebブラウザは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/08 登録

危険度：中
影響を受けるバージョン：Internet Explorer 6.0、6.0 SP1、Opera 9.0〜9.52、Google Chrome 1.0.154.48ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FCKeditor────────────────────────────
FCKeditorは、'editorfilemanagerconnectors'のコネクトモジュールがユーザ入力を適切にチェックしていないことが原因で任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/07/07 登録

危険度：
影響を受けるバージョン：FCKeditor 2.6.4以前、GForge 5.6.1、Knowledgeroot Knowledgebase 0.9.9
影響を受ける環境：UNIX、Linux、Windows
回避策：2.6.4.1以降へのバージョンアップ

▽ClanSphere────────────────────────────
ClanSphereは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/07/07 登録

危険度：中
影響を受けるバージョン：2009.0
影響を受ける環境：UNIX、Linux、Windows
回避策：2009.1以降へのバージョンアップ

▽Ruby on Rails──────────────────────────
Ruby on Railsは、無効な認証資格証明を送ることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にHTTP認証を回避されシステムへの無許可のアクセスを実行される可能性がある。 [更新]
2009/07/07 登録

危険度：中
影響を受けるバージョン：2.3.2
影響を受ける環境：UNIX、Linux、Windows
回避策：2.3.3以降へのバージョンアップ

▽KerviNet Forum──────────────────────────
KerviNet Forumは、細工されたURLリクエストを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に完全なインストレーションパス情報を奪取される可能性がある。 [更新]
2009/07/03 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Almnzm──────────────────────────────
Almnzmは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/07/01 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenSSL─────────────────────────────
OpenSSLは、ssl/s3_pkt.cがChangeCipherSpec DTLSパケットを適切に処理していないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2009/06/08 登録

危険度：中
影響を受けるバージョン：0.9.8h以前
影響を受ける環境：UNIX、Linux、Windows
回避策：0.9.8i以降へのバージョンアップ

▽OpenSSL─────────────────────────────
OpenSSLは、細工されたDTLSレコードによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、攻撃者に過度のメモリを消費される可能性がある。 [更新]
2009/05/19 登録

危険度：低
影響を受けるバージョン：1.0.0以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽OpenSSL─────────────────────────────
OpenSSLは、細工された署名によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2009/03/26 登録

危険度：中
影響を受けるバージョン：0.9.8h〜0.9.8j
影響を受ける環境：UNIX、Linux、Windows
回避策：0.9.8kへのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Video Controller ActiveX Library────────────
Microsoft Video Controller ActiveX Library for streaming video（msvidctl.dll）は、細工されたWebページを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。[更新]
2009/07/07 登録

危険度：高
影響を受けるバージョン：2003 Server SP2、XP SP3、SP2
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Citrix XenCenterWeb───────────────────────
Citrix XenCenterWebは、複数セキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやSQLインジェクションを実行されたりシステム上で任意のコードを実行される可能性がある。
2009/07/08 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Citrix XenCenterWeb
回避策：公表されていません

▽Apple iPhone OS─────────────────────────
Apple iPhone OSは、SMSアプリケーションのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/08 登録

危険度：低
影響を受けるバージョン：3.0以前
影響を受ける環境：Apple iPhone OS
回避策：公表されていません

▽Axesstel MV 410R firmware────────────────────
Axesstel MV 410R firmwareは、多数のCGIスクリプトの自動リダイレクトによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるサイトにリダイレクトされる可能性がある。
2009/07/08 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Axesstel MV 410R
回避策：公表されていません

▽Photo DVD Maker─────────────────────────
Photo DVD Makerは、過度に長いFile_Nameストリングを含む細工された.pdmファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/08 登録

危険度：高
影響を受けるバージョン：8.02
影響を受ける環境：Windows
回避策：公表されていません

▽Avax Vector ActiveX control───────────────────
Avax Vector ActiveX control（avPreview.ocx）は、過度に長いストリングアーギュメントを渡す細工されたWebページを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりIEブラウザをクラッシュされる可能性がある。
2009/07/08 登録

危険度：高
影響を受けるバージョン：1.3
影響を受ける環境：Windows
回避策：公表されていません

▽Sun Java System Web Server────────────────────
Sun Java System Web Serverは、拡張子に"::$DATA"を追加した細工されたリクエストを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にJSPページに不正アクセスされ限定された情報を奪取される可能性がある。 [更新]
2009/07/07 登録

危険度：低
影響を受けるバージョン：6.1 SP11、SP10、7.0
影響を受ける環境：Windows
回避策：公表されていません

▽Sourcefire 3D Sensor and Defense Center─────────────
Sourcefire 3D Sensor and Defense Centerは、細工されたリクエストをuser.cgiスクリプトに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。[更新]
2009/07/03 登録

危険度：中
影響を受けるバージョン：4.8〜4.8.1
影響を受ける環境：Sourcefire 3D Sensor and Defense Center
回避策：4.8.2以降へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Socks Server 5──────────────────────────
Socks Server 5は、socksインプリメンテーションの特定されていないエラーが原因でセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/07/08 登録

危険度：低
影響を受けるバージョン：3.7.8-7以前
影響を受ける環境：UNIX、Linux
回避策：3.7.8-8以降へのバージョンアップ

▽CMME───────────────────────────────
CMMEは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/08 登録

危険度：中
影響を受けるバージョン：1.20
影響を受ける環境：UNIX、Linux
回避策：1.22以降へのバージョンアップ

▽Dillo Web browser────────────────────────
Dillo Web browserは、Png_datainfo_callback () 機能の整数オーバーフローが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2009/07/08 登録

危険度：高
影響を受けるバージョン：0.7〜0.7.3、0.8〜0.8.3、2.1
影響を受ける環境：UNIX、Linux
回避策：2.1.1以降へのバージョンアップ

▽XScreenSaver───────────────────────────
XScreenSaverは、シムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2009/07/07 登録

危険度：
影響を受けるバージョン：5.0.1
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Passwd module for Horde─────────────────────
Passwd module for Hordeは、main.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/07/07 登録

危険度：
影響を受けるバージョン：3.1
影響を受ける環境：UNIX、Linux
回避策：3.1.1以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、ptrace_start () 機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。
2009/07/08 登録

危険度：低
影響を受けるバージョン：2.6.18以前
影響を受ける環境：Linux
回避策：公表されていません

▽Net-snmp─────────────────────────────
Net-snmpは、細工されたGETBULKリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にsnmpdサービスをクラッシュされる可能性がある。 [更新]
2009/06/26 登録

危険度：低
影響を受けるバージョン：5.0.9
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenSolaris───────────────────────────
OpenSolarisは、OpenSolaris Process File System (proc(4)) が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。
2009/07/08 登録

危険度：
影響を受けるバージョン：snv_110未満
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽VLC Media Player─────────────────────────
VLC Media Player 1.0.0がリリースされた。
http://www.videolan.org/vlc/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-rc2-git2がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、政府情報システムの整備の在り方に関する研究会（第1回）議事要旨
http://www.soumu.go.jp/main_content/000029372.pdf

▽トピックス
総務省、政府情報システムの整備の在り方に関する研究会（第2回）
http://www.soumu.go.jp/main_sosiki/kenkyu/system_seibi/15779_2.html

▽トピックス
@police、インターネット治安情勢更新(平成21年5月報を追加)(7/7)
http://www.cyberpolice.go.jp/detect/

▽トピックス
JVN、Microsoft Video ActiveX コントロールにおけるバッファオーバーフローの脆弱性
http://jvn.jp/cert/JVNTA09-187A/

▽トピックス
IPA/ISEC、Microsoft Video ActiveX コントロールの脆弱性(MS 972890)について
http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html

▽トピックス
IAjapan、青少年のネット・ケータイトラブルの相談窓口「東京こどもネット・ケータイヘルプデスク」の開設について
http://www.iajapan.org/press/20090707-press.html

▽トピックス
JPNIC、適切に設定されていない逆引きネームサーバの通知・委任停止の取り組み再開に伴うJPNIC公開文書施行のお知らせ
http://www.nic.ad.jp/ja/topics/2009/20090707-01.html

▽トピックス
ISMS、（平成20年度）「個人情報の取扱いにおける事故報告にみる傾向と注意点」を公開
http://privacymark.jp/news/2009/0707/H20JikoHoukoku_090707.pdf

▽トピックス
トレンドマイクロ：ブログ、Microsoft Video ActiveX コントロールゼロデイにより「WORM_KILLAV」侵入
http://blog.trendmicro.co.jp/archives/2987

▽トピックス
シマンテック：ブログ、進化し続ける日本の出会い系スパム
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/24%3bjsessionid=CDCC7AE3FFE59047F70F099913C7C142#A24

▽トピックス
Panda：ブログ、Panda チャレンジ（暗号解読コンテスト） - 「輝くもの全てが必ずしも金にあらず」
http://pandajapanblogs.blogspot.com/2009/07/panda_08.html

▽トピックス
Panda：ブログ、PandaLabs 四半期レポート2009年4月−6月
http://pandajapanblogs.blogspot.com/2009/07/200946.html

▽トピックス
Panda：ブログ、新しい嵐のワーム：Waledacs
http://pandajapanblogs.blogspot.com/2009/07/waledacs.html

▽トピックス
エフセキュア：ブログ、日本における携帯電話のマルウェアの危険性
http://blog.f-secure.jp/archives/50254899.html

▽トピックス
NTTドコモ、自動車電話などの新規レンタルお申込み受付終了のお知らせ
http://www.nttdocomo.co.jp/info/notice/page/090708_00_m.html

▽トピックス
WILLCOM、センターメンテナンスのお知らせ（7月14日）
http://www.willcom-inc.com/ja/info/09070701.html

▽トピックス
NTTコミュニケーションズ、無線LANサービス「ホットスポット」における新プラン「ホットスポット・ビジネス3G」の提供開始について
http://www.ntt.com/release/monthNEWS/detail/20090707.html

▽トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『Nagiosのstatuswml.cgiの脆弱性(CVE-2009-2288)に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090707.pdf

▽トピックス
マイクロソフト、Windows(R) 7 日本語版の一般向け発売日について
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3724

▽トピックス
カスペルスキー、ソフトウェア情報の共有化で誤検知率を最小化する「White List Program」を発表
http://www.kaspersky.co.jp/news?id=207578775

▽トピックス
ユニアデックス、中堅・中小企業向けの簡易版パソコン運用代行サービス「クライアントPC LCMサービスLite（ライト）」を提供開始
http://www.uniadex.co.jp/news/2009/news_20090708_357.html

▽トピックス
NEC、国内初、グループウェア製品でNECの「StarOffice Xシリーズ」がセキュリティ国際標準規格「ISO/IEC15408」認証を取得
http://www.nec.co.jp/press/ja/0907/0801.html

▽トピックス
NEC、高性能かつ低価格を実現した新・指紋認証製品の発売
http://www.nec.co.jp/press/ja/0907/0702.html

▽トピックス
NSDと蒼天、ファイルサーバー専用アクセス監視ツールのレンタル販売契約を締結
http://www.so-ten.co.jp/news/2009/07/file_server_audit.html

▽トピックス
住信SBIネット銀行、不正取引被害の未然防止などで「不正利用検知システム」を導入
https://www.netbk.co.jp/wpl/NBGate/i900500CT/PD/corp_news_20090707

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.255.00 (07/08)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4245

▽セミナー情報
JASA、情報セキュリティ監査　実践セミナーが始まります
http://www.jasa.jp/news/newsr090708.html

▽ウイルス情報
トレンドマイクロ、WORM_KILLAV.AI
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FKILLAV%2EAI

▽ウイルス情報
トレンドマイクロ、TROJ_FFSEARCH.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFFSEARCH%2EA

▽ウイルス情報
トレンドマイクロ、TROJ_WIMPIXO.BG
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FWIMPIXO%2EBG

▽ウイルス情報
トレンドマイクロ、JS_DLOADER.BD
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FDLOADER%2EBD

▽ウイルス情報
シマンテック、Suspicious.S.MLApp
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-070721-0807-99

▽ウイルス情報
マカフィー、Exploit-MSDirectShow.b
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-MSDirectShow.b

◆アップデート情報◆
───────────────────────────────────
●Debianがocsinventory-agentのアップデートをリリース
───────────────────────────────────
　Debianがocsinventory-agentのアップデートをリリースした。このアップデートによって、ocsinventory-agentにおける問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●NetBSDがOpenSSLのアップデートをリリース
───────────────────────────────────
　NetBSDがOpenSSLのアップデートをリリースした。このアップデートによって、OpenSSLにおける複数の問題が修正される。

Security and NetBSD
http://www.netbsd.org/Security/

───────────────────────────────────
●MIRACLE Linuxがnet-snmpのアップデートをリリース
───────────────────────────────────
　Miracle Linuxがnet-snmpのアップデートをリリースした。このアップデートによって、net-snmpにおける問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●Turbolinuxがbase-sitestatsのアップデートをリリース
───────────────────────────────────
　Turbolinuxがbase-sitestatsのアップデートをリリースした。このアップデートによって、base-sitestatsにおける問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/