セキュリティホール情報＜2009/07/21＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年7月21日（火） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、細工されたHTMLページを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザをクラッシュされる可能性がある。
2009/07/21 登録

危険度：
影響を受けるバージョン：3.5、3.5.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Real Helix Server / Helix Mobile Server─────────────
Real Helix ServerおよびHelix Mobile Serverは、細工されたセットアップリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：12.0.1.215 (Tahiti) Build 175002/12667
影響を受ける環境：UNIX、Linux、Windows
回避策：13.0以降へのバージョンアップ

▽RadScripts製品──────────────────────────
複数のRadScripts製品は、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：RadNics 5.0 Gold、RadBids 4.0 Gold、RadLance 7.5 Gold
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HUBScript────────────────────────────
HUBScriptは、single_winner1.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Freelancers───────────────────────────
Freelancersは、placebid.phpおよびpost_resume.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHPJunkYard Gbook────────────────────────
PHPJunkYard Gbookは、細工されたSQLステートメントをguestbook.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Honest Traffic──────────────────────────
Honest Trafficは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽LittleSite.php──────────────────────────
LittleSite.phpは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽XML Signature Syntax and Processing───────────────
XML Signature Syntax and Processing（XMLDsig）は、HMAC truncationを適切に処理していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。
2009/07/21 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WebVision────────────────────────────
WebVisionは、細工されたSQLステートメントをnews.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Jobline component for Joomla!──────────────────
Jobline component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.1.3.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽AJOX Poll────────────────────────────
AJOX Pollは、managepoll.phpスクリプトが適切な制限を行っていないことが原因で認証を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Super Simple Blog Script─────────────────────
Super Simple Blog Scriptは、細工されたSQLステートメントをcomments.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：2.5.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PulseAudio────────────────────────────
PulseAudioは、特定されていない競合条件が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：0.9.5〜0.9.15
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ILIAS──────────────────────────────
ILIASは、notesを適切に制限していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：3.10.7、3.9.9
影響を受ける環境：UNIX、Linux、Windows
回避策：3.10.8あるいは3.9.10以降へのバージョンアップ

▽Submitted By module for Drupal──────────────────
Submitted By module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：6.x-1.0、1.1、1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Current_Issue module for PHP-Nuke────────────────
Current_Issue module for PHP-Nukeは、細工されたSQLステートメントをmodules.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Sectionsnew module for PHP-Nuke─────────────────
Sectionsnew module for PHP-Nukeは、細工されたSQLステートメントをmodules.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP Live!────────────────────────────
PHP Live!は、細工されたSQLステートメントをmessage_box.phpあるいはrequest.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/07/17 登録

危険度：中
影響を受けるバージョン：3.2.1、3.2.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ZenPhoto─────────────────────────────
ZenPhotoは、admin-options.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/07/17 登録

危険度：中
影響を受けるバージョン：1.2.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Advanced Electron Forum─────────────────────
Advanced Electron Forum（AEF）は、細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2009/07/17 登録

危険度：中
影響を受けるバージョン：1.0.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Oracle製品────────────────────────────
複数のOracle製品は、複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータを改ざんされる可能性がある。[更新]
2009/07/16 登録

危険度：中
影響を受けるバージョン：
Oracle Application Server 10.1.2.3、10.1.3.4、10.1.4.3IM、Oracle PeopleSoft Enterprise 8.49.21、8.8 SP1、8.9 Bundle 14、9.0、Oracle Secure Enterprise Search 10.1.8.3未満、Oracle Siebel Enterprise 7.5.3、7.7.2、7.8.2、8.0.0.5、8.1.0、Oracle Complex Event Processing 10.3、Oracle E-Business Suite 11.5.10.2、12.0.6、12.1、WebLogic Server 7.0 SP7、8.1 SP6、9.0、9.1、9.2 MP3、10.0 MP1、10.3、Oracle Database 9.2.0.8、10.1.0.5、10.2.0.4、11.1.0.7
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Novell eDirectory────────────────────────
Novell eDirectoryは、細工されたbind LDAPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2009/07/15 登録

危険度：高
影響を受けるバージョン：8.8 SP5未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Wyse Device Manager───────────────────────
Wyse Device Managerは、細工されたデータを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/07/15 登録

危険度：高
影響を受けるバージョン：WDM Server 4.7.x、Wyse 9x、5x、3x
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、JavaScriptコードを処理する際にメモリを不能にされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/07/15 登録

危険度：高
影響を受けるバージョン：3.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽LogRover─────────────────────────────
LogRoverは、細工されたSQLステートメントをlogin.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/07/15 登録

危険度：中
影響を受けるバージョン：2.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WordPress────────────────────────────
WordPressは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/07/10 登録

危険度：中
影響を受けるバージョン：2.8以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.8.1以降へのバージョンアップ

▽FCKeditor────────────────────────────
FCKeditorは、'editorfilemanagerconnectors'のコネクトモジュールがユーザ入力を適切にチェックしていないことが原因で任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/07/07 登録

危険度：
影響を受けるバージョン：FCKeditor 2.6.4以前、GForge 5.6.1、Knowledgeroot Knowledgebase 0.9.9
影響を受ける環境：UNIX、Linux、Windows
回避策：2.6.4.1以降へのバージョンアップ

▽wxWidgets────────────────────────────
wxWidgetsは、wxImage::Create() 機能が適切なチェックを行っていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/07/03 登録

危険度：高
影響を受けるバージョン：2.8.10
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ruby───────────────────────────────
Rubyは、BigDecimal standardライブラリのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/06/11 登録

危険度：低
影響を受けるバージョン：1.8.6-p368以前、1.8.7-p160以前
影響を受ける環境：UNIX、Linux、Windows
回避策：1.8.6-p369またはruby-1.8.7-p173以降へのバージョンアップ

▽Rasterbar Software libtorrent──────────────────
Rasterbar Software libtorrentは、細工された.torrentファイルを開くことでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを作成されたり上書きされる可能性がある。 [更新]
2009/06/10 登録

危険度：中
影響を受けるバージョン：0.12、0.12.1、0.14.3
影響を受ける環境：UNIX、Linux、Windows
回避策：0.14.4以降へのバージョンアップ

▽GStreamer Good Plug-in──────────────────────
GStreamer Good Plug-inは、細工されたPNGファイルを開くことで整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/06/05 登録

危険度：高
影響を受けるバージョン：0.10.15
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Adobe Flash Media Server─────────────────────
Adobe Flash Media Serverは、権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバサイドのActionScriptファイルでリモートプロシージャを実行される可能性がある。[更新]
2009/05/01 登録

危険度：中
影響を受けるバージョン：3.5.1以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Ruby───────────────────────────────
Rubyは、無効なx.509証明書を有効と判断することでスプーフィング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2009/02/19 登録

危険度：中
影響を受けるバージョン：1.9.1ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Python──────────────────────────────
Pythonは、string_expandtabs() およびunicode_expandtabs() 機能のエラーが原因で整数オーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題は、ローカルの攻撃者に悪用される可能性がある。 [更新]
2008/11/17 登録

危険度：中
影響を受けるバージョン：2.5.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Apache HTTP Server────────────────────────
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2007/09/14 登録

危険度：中
影響を受けるバージョン：2.2.5以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.2.6以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office Publisher────────────────────
Microsoft Office Publisherは、細工されたPublisherファイルを開くことでリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、影響を受けるコンピュータが完全に制御される可能性がある。 [更新]
2009/07/15 登録

最大深刻度 : 重要
影響を受けるバージョン：2007 Microsoft Office System SP1
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Microsoft WindowsコンポーネントであるEmbedded OpenType（EOT）フォントエンジンに複数のセキュリティホールが存在する。この問題が悪用されると、影響を受けるコンピュータがリモートから完全に制御される可能性がある。 [更新]
2009/07/15 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 SP4、XP SP3、SP2、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft DirectShow───────────────────────
Microsoft DirectShowは、細工されたQuickTimeメディアファイルをユーザが開いた場合、リモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、攻撃者によりローカルユーザと同じ権限が取得される可能性がある。 [更新]
2009/07/15 登録

最大深刻度 : 緊急
影響を受けるバージョン：7.0、8.1、9.0
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Office Web Components─────────────────
Microsoft Office Web Componentsは、Spreadsheet ActiveXコントロールを呼び出す細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/07/14 登録

危険度：高
影響を受けるバージョン：XP SP3、2003 SP3
影響を受ける環境：Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SAP NetWeaver──────────────────────────
SAP NetWeaverは、不安定なDynamic Information and Action Gateway（DIAG）およびRemote Function Call（RFC）を使用することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽EpicVJ──────────────────────────────
EpicVJは、細工された.mplあるいは.m3u playlistファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：1.2.8.0
影響を受ける環境：Windows
回避策：公表されていません

▽EpicDJ──────────────────────────────
EpicDJは、細工された.mplあるいは.m3u playlistファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：1.3.9.1
影響を受ける環境：Windows
回避策：公表されていません

▽Crysis / Crysis Wars───────────────────────
CrysisおよびCrysis Warsは、細工されたリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：Crysis 1.21、Crysis Wars 1.5
影響を受ける環境：Windows
回避策：公表されていません

▽Armed Assault──────────────────────────
Armed AssaultおよびArmed Assault 2は、細工されたvoiceパケットをUDP2305ポートに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：Armed Assault 1.14、2 1.02
影響を受ける環境：Windows
回避策：公表されていません

▽MixSense DJ Studio────────────────────────
MixSense DJ Studioは、過度に長いストリングを含む細工された.mp3playlistファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：1.0.0.1
影響を受ける環境：Windows
回避策：公表されていません

▽Mini-stream Easy RM to MP3 Converter───────────────
Mini-stream Easy RM to MP3 Converterは、細工された.m3uファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：2.7.3.700
影響を受ける環境：Windows
回避策：公表されていません

▽Sorinara Streaming Audio Player─────────────────
Sorinara Streaming Audio Playerは、細工されたスキンファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：0.9
影響を受ける環境：Windows
回避策：公表されていません

▽America's Army──────────────────────────
America's Armyは、細工されたUDPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：3.0.4
影響を受ける環境：Windows
回避策：公表されていません

▽Battle Blog───────────────────────────
Battle Blogは、comment.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.25
影響を受ける環境：Windows
回避策：公表されていません

▽Google Chrome──────────────────────────
Google Chromeは、細工されたWebサイトを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザプロセスやタブをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：2.0.172.33以前
影響を受ける環境：Windows
回避策：2.0.172.37以降へのバージョンアップ

▽MightSOFT Audio Editor──────────────────────
MightSOFT Audio Editorは、細工されたMP3 playlistファイルを開くことでメモリを不能にされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：2、2.91
影響を受ける環境：Windows
回避策：公表されていません

▽Open Handset Alliance Android──────────────────
Open Handset Alliance Androidは、カメラおよびオーディオリソースへのアクセス許可を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。
2009/07/21 登録

危険度：中
影響を受けるバージョン：1.5 CRB-43、CRB-42
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽MultiMedia Jukebox────────────────────────
MultiMedia Jukeboxは、細工された.pstファイルあるいはMP3 playlistファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：4.0 Build 020124
影響を受ける環境：Windows
回避策：公表されていません

▽Zortam MP3 Media Studio─────────────────────
Zortam MP3 Media Studioは、細工されたMP3ファイルを開くことでメモリを不能にされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：9.40
影響を受ける環境：Windows
回避策：公表されていません

▽Zortam MP3 Player────────────────────────
Zortam MP3 Playerは、細工されたMP3 playlistファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：1.50
影響を受ける環境：Windows
回避策：公表されていません

▽Cisco Unified Contact Center Express───────────────
Cisco Unified Contact Center Express（Cisco Unified CCX）serverは、細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧、修正されたり削除される可能性がある。 [更新]
2009/07/16 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：Cisco Unified Contact Center Express
回避策：ベンダの回避策を参照

▽HP ProCurve Threat Management Services──────────────
HP ProCurve Threat Management Servicesは、zlモジュールが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2009/07/15 登録

危険度：中
影響を受けるバージョン：vST.1.0.090213以前
影響を受ける環境：HP ProCurve Threat Management Services
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽mathTeX / mimeTeX────────────────────────
mathTeXおよびmimeTeXは、mathtex.cgiスクリプトが適切なチェックを行っていないことが原因でスタックベースのバッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Ultimate Poll──────────────────────────
Ultimate Pollは、demo_page.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/07/17 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Good/Bad Vote──────────────────────────
Good/Bad Voteは、細工されたURLリクエストをvote.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/07/17 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽LibTIFF─────────────────────────────
LibTIFFは、tiffcvt() 機能およびcvt_whole_image() 機能の整数オーバーフローが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/07/15 登録

危険度：高
影響を受けるバージョン：3.8.2、3.9、4.0
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Nagios──────────────────────────────
Nagiosは、細工されたリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。 [更新]
2009/06/25 登録

危険度：高
影響を受けるバージョン：2.10〜2.9、3.0〜3.0.6
影響を受ける環境：UNIX、Linux
回避策：3.1.1以降へのバージョンアップ

▽D-Bus──────────────────────────────
D-Busは、細工されたキーによって署名を偽装されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を実行される可能性がある。 [更新]
2009/05/11 登録

危険度：中
影響を受けるバージョン：1.2.3以前
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Novell Access Manager──────────────────────
Novell Access Managerは、特定されていないセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションコンソールのシステムファイルへの無許可のアクセスを実行され機密情報を奪取される可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：3、3.1
影響を受ける環境：Linux
回避策：3.1 SP1以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、tun_chr_poll () 機能のNULL pointer dereferenceが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/07/21 登録

危険度：高
影響を受けるバージョン：2.6.30
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽HP Insight Control suite for Linux────────────────
HP Insight Control suite for Linux（ICE-LX）は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/05/11 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、XScreenSaverの特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2009/07/21 登録

危険度：低
影響を受けるバージョン：OpenSolaris、Sun Solaris 10、9、8
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、NFSv4 kernelモジュールのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/07/17 登録

危険度：低
影響を受けるバージョン：OpenSolaris build_snv_102〜119、Sun Solaris 10
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

▽Sun Ray Server Software─────────────────────
Sun Ray Server Softwareは、utdmsessionコマンドのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にSun Rayセッションへの無許可のアクセスを実行される可能性がある。 [更新]
2009/07/17 登録

危険度：高
影響を受けるバージョン：4.0
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、SCTPパケットを処理する際のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/07/17 登録

危険度：低
影響を受けるバージョン：OpenSolaris build_snv_01〜119、Sun Solaris 10
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris IPフィルタのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/07/17 登録

危険度：低
影響を受けるバージョン：OpenSolaris build_snv_45〜110、Sun Solaris 10
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Unbound─────────────────────────────
Unbound 1.3.2がリリースされた。
http://unbound.net/downloads/unbound-1.3.2.tar.gz

▽Firefox 3.x 系──────────────────────────
Firefox 3.5.1がリリースされた。
http://www.mozilla.org/products/firefox/

▽FreeBSD 8.x 系──────────────────────────
FreeBSD 8.0 Beta2がリリースされた。
http://www.freebsd.org/

▽Ruby 1.9.x 系──────────────────────────
Ruby 1.9.2 preview1がリリースされた。
http://www.ruby-lang.org/

▽Ruby 1.9.x 系──────────────────────────
Ruby 1.9.1-p243がリリースされた。
http://www.ruby-lang.org/

▽秀丸メール────────────────────────────
秀丸メール 5.20がリリースされた。
http://hide.maruo.co.jp/software/tk.html

▽Wireshark────────────────────────────
Wireshark 1.2.1がリリースされた。
http://www.wireshark.org/

▽WordPress────────────────────────────
WordPress 2.8.2 日本語版がリリースされた。
http://ja.wordpress.org/

▽WordPress────────────────────────────
WordPress 2.8.2がリリースされた。
http://ja.wordpress.org/

▽Skype for Mac──────────────────────────
Skype 2.8 for Macがリリースされた。
http://www.skype.com/intl/ja/download/skype/macosx/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.30.2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-rc3-git5がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.4.x 系──────────────────────
Linux kernel 2.4.37.3がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JVN、Microsoft Office Web コンポーネントのスプレッドシート ActiveXコントロールに脆弱性
http://jvn.jp/cert/JVNVU545228/index.html

▽トピックス
IAjapanほか、インターネットのドメイン「.日本」、民間主導で実現へ
http://www.iajapan.org/press/20090717-press.html

▽トピックス
トレンドマイクロ、資産管理ツールベンダとの協業を強化
http://jp.trendmicro.com/jp/about/news/pr/article/20090721025846.html

▽トピックス
エフセキュア：ブログ、「Sexy View」SMSワームについてのQ&A
http://blog.f-secure.jp/archives/50257681.html

▽トピックス
エフセキュア：ブログ、韓国とアメリカに対するサイバー攻撃の犯人は誰だったのか
http://blog.f-secure.jp/archives/50257008.html

▽トピックス
エフセキュア：ブログ、セキュリティ情報とソーシャルメディアの関係:Twitterの場合
http://blog.f-secure.jp/archives/50257033.html

▽トピックス
イー・モバイル、イー・モバイルのデータ通信における通信品質確保を目的とした対策の正式実施について
http://www.emobile.jp/cgi-bin/press.cgi?id=672

▽トピックス
NTTデータ・セキュリティ、PCI DSS徹底解説を更新
http://www.nttdata-sec.co.jp/article/pcidss.html

▽トピックス
マイクロソフト、マイクロソフト Office 2008 for Mac 向け Service Pack 2の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3734

▽トピックス
チェック・ポイント、ポリシー変更管理機能を提供するSoftware Blade 「SmartWorkflow」によりセキュリティ管理分野でのリーダーシップをさらに強化
http://www.checkpoint.co.jp/pr/2009/20090717smartworkflow.html

▽トピックス
フォーティネットジャパン、FortiGate複合脅威セキュリティプラットフォームの企業管理機能を強化
http://www.fortinet.co.jp/news/pr/2009/pr072109.html

▽トピックス
ハギワラシスコム、セキュリティUSBメモリ『Password Lockerウィルススキャン』ソフトウェアアップデート Ver1.2.0 更新
http://www.hscjpn.co.jp/download/down41.html

▽トピックス
IDC Japan、2009年国内セキュリティソフトウェア市場の動向
http://www.idcjapan.co.jp/Report/Security/j9220105.html

▽トピックス
ベイテックシステムズとオレンジタグス、Google Appsとフェリカを活用したパソコン遠隔ロック機能を無償提供
http://www.baytech.co.jp/news/google_apps_20090721.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.293.00 (07/21)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
トレンドマイクロ、マルウェアDCT：1048 (07/18)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4280

▽イベント情報
IPA、「RubyWorld Conference」の開催について
http://www.ipa.go.jp/about/press/20090717.html

▽セミナー情報
JIPDEC、「平成21年度個人情報保護管理者・監査責任者研修会」開催のご案内
http://privacymark.jp/news/2009/0717/index.html

▽ウイルス情報
シマンテック、Trojan.Matem
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072015-2415-99

▽ウイルス情報
シマンテック、SymbOS.Exy.D
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072015-0322-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.262
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072002-1912-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.261
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072002-0503-99

▽ウイルス情報
シマンテック、W32.SillyFDC.BCO
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-072006-5310-99

▽ウイルス情報
シマンテック、VirusBye
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-071721-2454-99

▽ウイルス情報
シマンテック、Bloodhound.Malautoit.2
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-071713-2155-99

▽ウイルス情報
マカフィー、J2ME/Boxer.K
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.K

▽ウイルス情報
マカフィー、J2ME/Boxer.J
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.J

▽ウイルス情報
マカフィー、J2ME/Boxer.G
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.G

▽ウイルス情報
マカフィー、J2ME/Boxer.E
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.E

▽ウイルス情報
マカフィー、J2ME/Boxer.C
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.C

▽ウイルス情報
マカフィー、J2ME/Boxer.B
http://www.mcafee.com/japan/security/virB.asp?v=J2ME/Boxer.B

◆アップデート情報◆
───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
　Gentoo Linuxがlibtorrent、python、nagios-coreのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
　Debianがgst-plugins-good0.10、pulseaudio、dbusのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Ubuntu Linuxがrubyのアップデートをリリース
───────────────────────────────────
　Ubuntu Linuxがrubyのアップデートをリリースした。このアップデートによって、rubyにおける複数の問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

───────────────────────────────────
●RedHat Linuxがnsprおよびnssのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがnsprおよびnssのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraが複数のアップデートをリリース
───────────────────────────────────
　RedHat Fedoraがperl-IO-Socket-SSL、wordpress、libtiff、compat-wxGTK26、mediawiki、moin、のアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html

《ScanNetSecurity》