セキュリティホール情報＜2009/09/08＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年9月8日（火） 15時00分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Zope Object Database───────────────────────
Zope Object Database（ZODB）は、特定されていない原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に特定のファイルを削除されたり機密情報を奪取される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：3.8以降
影響を受ける環境：UNIX、Linux、Windows
回避策：3.8.3以降へのバージョンアップ

▽IBM Lotus Domino Web Access───────────────────
IBM Lotus Domino Web Accessは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/08 登録

危険度：
影響を受けるバージョン：8.x
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Joomla Component Joomlub─────────────────────
Joomla Component Joomlubは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽IBM Tivoli Identity Manager───────────────────
IBM Tivoli Identity Managerは、プロフィールを変更する際の入力を適切にサニタイズしていないことが原因でスクリプトインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザのブラウザセッションで任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Sun Java System Active Server Pages───────────────
Sun Java System Active Server Pagesは、特定されていない原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：4.0.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SAP NetWeaver──────────────────────────
SAP NetWeaverは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：7.01、7.0
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽SAP Crystal Reports Server────────────────────
SAP Crystal Reports Serverは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：2008
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Quick Heal AntiVirus───────────────────────
Quick Heal AntiVirusは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：2008
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Perforce Server─────────────────────────
Perforce Serverは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりP4S.exeプロセスをクラッシュされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：2008.1/160022
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Novell eDirectory────────────────────────
Novell eDirectoryは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：8.7.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Novell ZENworks Configuration Management─────────────
Novell ZENworks Configuration Managementは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたり機密情報を奪取される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：10.1、10.1.2a
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Novell ZENWorks Asset Management─────────────────
Novell ZENWorks Asset Managementは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に任意のコードを実行されたり機密情報を奪取される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：7.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽LiteSpeed Web Server───────────────────────
LiteSpeed Web Serverは、特定されていないエラーが原因でDoS攻撃を受ける複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行されたり無限ループ状態にされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：3.3.19
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ipswitch WhatsUp Gold──────────────────────
Ipswitch WhatsUp Goldは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：12
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IBM Tivoli Directory Server───────────────────
IBM Tivoli Directory Serverは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行されたりDoS攻撃を受ける可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：6.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IBM Lotus Domino Server─────────────────────
IBM Lotus Domino Serverは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にプロセスをクラッシュされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：8.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HP Operations Manager──────────────────────
HP Operations Managerは、特定されていないエラーが原因でセキュリティホールが存在する。なお、現時点でこれ以上の詳細は公表されていない。
2009/09/08 登録

危険度：
影響を受けるバージョン：8.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ticket Support Script──────────────────────
Ticket Support Scriptは、細工されたHTTPリクエストをticket.phpスクリプトに送ることで悪意あるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2009/09/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Ruby on Rails──────────────────────────
Ruby on Railsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/09/07 登録

危険度：中
影響を受けるバージョン：2.0、2.0.4、2.0.5、2.1、2.1.1、2.2.2、2.3.2、2.3.3
影響を受ける環境：UNIX、Linux、Windows
回避策：2.3.4あるいは2.2.3以降へのバージョンアップ

▽Network Security Services────────────────────
Network Security Services（NSS）は、細工された証明書を送ることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/08/03 登録

危険度：高
影響を受けるバージョン：3.11.2、3.11.3、3.11.4、3.11.5
影響を受ける環境：UNIX、Linux、Windows
回避策：3.12.3以降へのバージョンアップ

▽Adobe Flash Player────────────────────────
Adobeは、Flash Playerのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2009/07/31 登録

危険度：高
影響を受けるバージョン：9.0〜9.0.159.0、10.0〜10.0.22.87
影響を受ける環境：UNIX、Linux、Windows
回避策：9.0.246.0あるいは10.0.32.18以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Information Services─────────────
Microsoft Internet Information Services（IIS）は、過度に長いNLSTコマンドをFTPdサービスに送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/09/01 登録

危険度：高
影響を受けるバージョン：5.0、6.0、7.0
影響を受ける環境：Windows
回避策：7.5以降へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽TVersity─────────────────────────────
TVersityは、特定されていない原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：1.6
影響を受ける環境：Windows
回避策：公表されていません

▽Symantec Altiris Deployment Solution───────────────
Symantec Altiris Deployment Solutionは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：6.9
影響を受ける環境：Windows
回避策：公表されていません

▽PowerArchiver Command Line────────────────────
PowerArchiver Command Lineは、特定されていないエラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：4.01
影響を受ける環境：Windows
回避策：公表されていません

▽Novell iPrint Client───────────────────────
Novell iPrint Clientは、特定されていないエラーが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：4.38
影響を受ける環境：Windows
回避策：公表されていません

▽MailSite─────────────────────────────
MailSiteは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりサービスをクラッシュされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：8.0.4
影響を受ける環境：携帯端末など
回避策：公表されていません

▽HAURI ViRobot Desktop──────────────────────
HAURI ViRobot Desktopは、特定されていないエラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：5.5
影響を受ける環境：Windows
回避策：公表されていません

▽DAQFactory Web Service──────────────────────
DAQFactory Web Serviceは、特定されていないエラーが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：5.77
影響を受ける環境：Windows
回避策：公表されていません

▽CA Database Management──────────────────────
CA Database Managementは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：11.2.4
影響を受ける環境：Windows
回避策：公表されていません

▽VMware Movie Decoder───────────────────────
VMware Movie Decoderは、細工されたメディアファイルによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/09/07 登録

危険度：
影響を受けるバージョン：VMware Workstation Movie Decoder stand alone 6.5.2以前、VMware Workstation 6.5.2以前、VMware Player 2.5.2以前、VMware ACE 2.5.2以前
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FluxBB──────────────────────────────
FluxBBは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：1.2.22未満
影響を受ける環境：UNIX、Linux
回避策：1.2.22以降へのバージョンアップ

▽Samba──────────────────────────────
Sambaは、特定されていないエラーが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽FreeRADIUS────────────────────────────
FreeRADIUSは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデーモンをクラッシュされる可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：1.1.7
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Pidgin──────────────────────────────
Pidginは、IRCプロトコルプラグインのNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/09/07 登録

危険度：低
影響を受けるバージョン：2.6.0、2.6.1
影響を受ける環境：UNIX、Linux
回避策：2.6.2以降へのバージョンアップ

▽Asterisk─────────────────────────────
Asteriskは、過度に大きいメッセージを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能な電話番号スペースをすべて消費され応答不能にされる可能性がある。 [更新]
2009/09/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Libxml2─────────────────────────────
Libxml2は、細工されたXMLドキュメントを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/08/26 登録

危険度：低
影響を受けるバージョン：1.8.17、2.5.10、2.6.16、2.6.26、2.6.27、2.6.32
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽libvorbis────────────────────────────
libvorbisは、Mozilla Firefoxで使用される際に細工された.OGGファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のメモリを不能にされたりコンピュータをアクセス不能にされる可能性がある。 [更新]
2009/08/17 登録

危険度：低
影響を受けるバージョン：1.2.2以前
影響を受ける環境：UNIX、Linux
回避策：1.2.3以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ytnef──────────────────────────────
ytnefは、ProcessTNEF() 機能の境界エラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/08 登録

危険度：
影響を受けるバージョン：2.6
影響を受ける環境：Linux
回避策：公表されていません

▽Linux-PAM────────────────────────────
Linux-PAMは、pam_misc.c _pam_StrTok() 機能のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/03/09 登録

危険度：高
影響を受けるバージョン：0.99.7.0、1.0.4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Gigabit-Ethernetドライバ（ce(7D)）が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/06/22 登録

危険度：低
影響を受けるバージョン：10
影響を受ける環境：SunSolaris
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD 8.x 系──────────────────────────
FreeBSD 8.0 Beta4がリリースされた。
http://www.freebsd.org/

▽Microsoft Assessment and Planning (MAP) Toolkit─────────
Microsoft Assessment and Planning Toolkit 4.0がリリースされた。
http://technet.microsoft.com/ja-jp/solutionaccelerators/dd537566.aspx

▽秀丸メール────────────────────────────
秀丸メール 5.22がリリースされた。
http://hide.maruo.co.jp/software/tk.html

▽HTMLメールViewer for 秀丸メール─────────────────
HTMLメールViewer for 秀丸メール 1.05がリリースされた。
http://hide.maruo.co.jp/software/tkhtmlv.html

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-rc9-git1がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JVN、Microsoft Internet Information Services FTP サーバにおけるバッファオーバーフローの脆弱性 [更新]
http://jvn.jp/cert/JVNVU276653/

▽トピックス
IPA、「自治体・企業等の情報システムへのRuby適用可能性に関する調査」報告書の公開
http://www.ipa.go.jp/about/press/20090907.html

▽トピックス
エフセキュアブログ、Twitterでつぶやいて「Nikon D60 SLR」をゲット
http://blog.f-secure.jp/archives/50266823.html

▽トピックス
WILLCOM、新しいスマートフォンの開発について
http://www.willcom-inc.com/ja/corporate/press/2009/09/07/index.html

▽トピックス
NTTデータ経営研究所、社会インフラにおける停止許容時間についての調査
http://www.keieiken.co.jp/aboutus/newsrelease/090907/index.html

▽トピックス
マイクロソフト、マイクロソフトパートナーオブザイヤー 2009 受賞企業を発表
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3752

▽トピックス
デルとマイクロソフト、エンタープライズ分野のソリューション提供で協業を強化
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3750

▽トピックス
日本ベリサイン、ベリサインのフィッシング詐欺対策向け電子証明書がみずほ信託銀行のお客様向けメールに採用
https://www.verisign.co.jp/press/2009/pr_20090907.html

▽トピックス
レッドハット、企業向けLinux OSの最新版「Red Hat Enterprise Linux 5.4」を提供開始
http://www.jp.redhat.com/news_releases/2009/09082009.html

▽トピックス
日立情報システムズ、WebアプリケーションファイアウォールのSaaS型サービスを提供開始
http://www.hitachijoho.com/news/2009/090908.html

▽トピックス
日本オラクル、「Oracle WebCenter 11g」の国内提供を開始
http://www.oracle.com/lang/jp/index.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.423.00 (09/08)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4357

▽統計・資料
JPNIC、gTLDの登録数を更新
http://www.nic.ad.jp/ja/stat/dom/gtld.html

◆アップデート情報◆
───────────────────────────────────
●Gentoo LinuxがlibvorbisおよびLinux-PAMのアップデートをリリース
───────────────────────────────────
　Gentoo LinuxがlibvorbisおよびLinux-PAMのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Debianがcyrus-imapd-2.2のアップデートをリリース
───────────────────────────────────
　Debianがcyrus-imapd-2.2のアップデートをリリースした。このアップデートによって、cyrus-imapd-2.2における問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

《ScanNetSecurity》