セキュリティホール情報<2009/09/10> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.18(月)

セキュリティホール情報<2009/09/10>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2009/09/10 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.3未満、3.0.14未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Apple QuickTime─────────────────────────
Appleは、QuickTimeのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2009/09/10 登録

危険度:
影響を受けるバージョン:7.6.4未満
影響を受ける環境:Mac OS X、Windows
回避策:7.6.4へのバージョンアップ

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、doGetおよびdoTraceメソッドが適切なセキュリティコントロールを行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。
2009/09/10 登録

危険度:
影響を受けるバージョン:6.0〜6.0.2.37未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽phpNagios────────────────────────────
phpNagiosは、細工されたURLリクエストをmenu.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Lucy Games component for Joomla!─────────────────
Lucy Games component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽GemStone/S────────────────────────────
GemStone/Sは、適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/10 登録

危険度:高
影響を受けるバージョン:6.3.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Joomloc component for Joomla!──────────────────
Joomloc component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽TPDugg component for Joomla!───────────────────
TPDugg component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BF Survey Pro component for Joomla!───────────────
BF Survey Pro component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽obophix FrameWork────────────────────────
obophix FrameWorkは、細工されたURLリクエストをfonctions_racine.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:2.7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Novell eDirectory────────────────────────
Novell eDirectoryは、細工されたHTTP GETリクエストをポート8028に送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースをすべて消費される可能性がある。
2009/09/10 登録

危険度:低
影響を受けるバージョン:8.8 SP5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ChartDirector──────────────────────────
ChartDirectorは、「/../」を含む細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:5.0.2以降へのバージョンアップ

▽Mr. CGI Guy Hot Links SQL-PHP 3─────────────────
Mr. CGI Guy Hot Links SQL-PHP 3は、細工されたSQLステートメントをnews.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Synfig Animation Studio─────────────────────
Synfig Animation Studioは、細工された.sifファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/10 登録

危険度:高
影響を受けるバージョン:0.61.01〜0.61.07
影響を受ける環境:UNIX、Linux、Windows
回避策:0.61.08以降へのバージョンアップ

▽phpBB──────────────────────────────
phpBBは、セッションIDを含む細工されたリクエストをmodcp.phpスクリプトに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に正当なユーザのセッションを乗っ取られる可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:2.0.23
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Joker Board───────────────────────────
Joker Boardは、細工されたSQLステートメントを特定のスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IBM Lotus Domino Web Access───────────────────
IBM Lotus Domino Web Accessは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/09/08 登録

危険度:中
影響を受けるバージョン:8.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽HP Operations Manager──────────────────────
HP Operations Managerは、特定されていないエラーが原因でセキュリティホールが存在する。なお、現時点でこれ以上の詳細は公表されていない。 [更新]
2009/09/08 登録

危険度:高
影響を受けるバージョン:8.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽QT────────────────────────────────
QTは、細工された証明書によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。 [更新]
2009/09/03 登録

危険度:
影響を受けるバージョン:4.x
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Opera──────────────────────────────
Operaは、国際ドメイン名(IDN)文字を含む細工されたWebサイトを開くことでスプーフィング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドレスバーを偽装され悪意あるWebサイトにリダイレクトされる可能性がある。 [更新]
2009/09/02 登録

危険度:中
影響を受けるバージョン:9.0〜9.64
影響を受ける環境:UNIX、Linux、Windows
回避策:10以降へのバージョンアップ

▽Apache APR / APR-util──────────────────────
Apache Portable Runtime(APR)およびPortable Utility library(APR-util)は、バッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/08/19 登録

危険度:高
影響を受けるバージョン:Apache 2.2.13未満、APR-util 1.3.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:Apache 2.2.13以降あるいはAPR-util 1.3.9以降への
バージョンアップ

▽Java Runtime Environment (JRE)──────────────────
Java Runtime Environment (JRE)は、細工されたJava Webスタートアプリケーションを開くことで権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のアプリケーションを実行される可能性がある。 [更新]
2009/08/06 登録

危険度:高
影響を受けるバージョン:6 Update 14以前、5.0 Update 19以前
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽日立JP1製品───────────────────────────
Hitachi JP1/Automatic Job Management System 2 - View, JP1/Integrated Management - View, JP1/Cm2/SNMP System Observerは、不正な形式のGIFファイルによってセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステムを異常終了される可能性がある。[更新]
2009/07/31 登録

危険度:
影響を受けるバージョン:JP1/Automatic Job Management System 2 - View、JP1/Integrated Management - View、JP1/Cm2/SNMP System Observer
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hitachi JP1/File Transmission Server/FTP─────────────
Hitachi JP1/File Transmission Server/FTPは、複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者に任意のコマンドを実行される可能性がある。 [更新]
2009/07/31 登録

危険度:高
影響を受けるバージョン:JP1/File Transmission Server/FTP
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hitachi Cosminexus / Processing Kit───────────────
Hitachi CosminexusおよびProcessing Kit XML、Hitachi Developer's Kit for Javaは、JavaアプリケーションがGIFイメージ処理を行う際にバッファオーバーフローが発生するセキュリティホールが存在する。[更新]
2009/07/27 登録

危険度:高
影響を受けるバージョン:uCosminexus、Cosminexusほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽XML Signature Syntax and Processing───────────────
XML Signature Syntax and Processing(XMLDsig)は、HMAC truncationを適切に処理していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。 [更新]
2009/07/21 登録

危険度:
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽aMule──────────────────────────────
aMuleは、細工されたムービーファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のmplayerコマンドを実行される可能性がある。 [更新]
2009/05/01 登録

危険度:高
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Multiple vendor TCP implementations───────────────
多くのベンダのTCP implementationsは、TCP state tableでのインフォメーションを適切に取り扱わないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なすべてのconnection queue resourcesを消費される可能性がある。[更新]
2008/10/28 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽zKup───────────────────────────────
zKupは、認証プロセスが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセスを実行される可能性がある。[更新]
2008/03/11 登録

危険度:高
影響を受けるバージョン:2.0〜2.3
影響を受ける環境:UNIX、Linux、Windows
回避策:2.04以降へのバージョンアップ

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows────────────────────────
Microsoft Windowsは、細工されたServer Message Block(SMB)Negotiateプロトコルリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりシステムをクラッシュされる可能性がある。[更新]
2009/09/09 登録

危険度:高
影響を受けるバージョン:7、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、ワイヤレス LAN 自動構成(WLAN AutoConfig)サービスにセキュリティホールが存在する。この問題が悪用されると、細工されたワイヤレスフレームによってリモートからコードを実行され、影響を受けるコンピュータを完全に制御される可能性がある。 [更新]
2009/09/09 登録

最大深刻度 : 緊急
影響を受けるバージョン:Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、伝送制御プロトコル/インターネット プロトコル(TCP/IP)の処理にセキュリティホールが存在する。この問題が悪用されると、細工されたTCP/IP パケットによってリモートからコードを実行される可能性がある。 [更新]
2009/09/09 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 SP4、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Windows Media Formatの処理にセキュリティホールが存在する。この問題が悪用されると、細工されたメディア ファイルによってリモートからコードを実行され、影響を受けるコンピューターを完全に制御される可能性がある。 [更新]
2009/09/09 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 SP4、XP SP3、SP2、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

□ 関連情報:

▽Microsoft Windows────────────────────────
Microsoft Windowsは、DHTML 編集コンポーネントの ActiveX コントロールにセキュリティホールが存在する。この問題が悪用されると、細工されたWeb ページを開くことでリモートからコードを実行される可能性がある。[更新]
2009/09/09 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 SP4、XP SP3、SP2、Server 2003 SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、JScript スクリプト エンジンにセキュリティホールが存在する。この問題が悪用されると、細工されたファイルやWebページを開くことでリモートからコードを実行され、影響を受けるコンピュータを完全に制御される可能性がある。 [更新]
2009/09/09 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 SP4、XP SP3、SP2、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple iPhone───────────────────────────
Appleは、iPhone OSのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2009/09/10 登録

危険度:
影響を受けるバージョン:3.1未満、3.1.1未満
影響を受ける環境:Apple iPhoneほか
回避策:3.1あるいは3.1.1へのバージョンアップ

▽Orion Application Server─────────────────────
Orion Application Serverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/10 登録

危険度:
影響を受けるバージョン:2.0〜2.0.8
影響を受ける環境:Windows
回避策:公表されていません

▽GlobalSCAPE Secure FTP Server──────────────────
GlobalSCAPE Secure FTP Serverは、公表されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/09/10 登録

危険度:低
影響を受けるバージョン:Enhanced File Transfer Server 5.5〜6.0.16、Secure FTP Server 3.3.1〜3.3.9
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽IBM Lotus Notes─────────────────────────
IBM Lotus Notesは、RSS reader widgetがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/10 登録

危険度:中
影響を受けるバージョン:8.5
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Cisco NX-OS───────────────────────────
Cisco NX-OSは、細工されたTCPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFINWAIT1ステートを動作不能にされる可能性がある。 [更新]
2009/09/09 登録

危険度:低
影響を受けるバージョン:Cisco NX-OS
影響を受ける環境:Cisco Nexus 5000 prior to 4.0(1a)N2(1)
回避策:ベンダの回避策を参照

▽VMware Movie Decoder───────────────────────
VMware Movie Decoderは、細工されたメディアファイルによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/09/07 登録

危険度:高
影響を受けるバージョン:VMware Workstation Movie Decoder stand alone 6.5.2以前、VMware Workstation 6.5.2以前、VMware Player 2.5.2以前、VMware ACE 2.5.2以前
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Symantec製品───────────────────────────
複数のSymantec製品は、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメールサーバを無限ループ状態にされる可能性がある。 [更新]
2009/08/28 登録

危険度:低
影響を受けるバージョン:AntiVirus 10.2 Corporateほか、Client Security 3.1ほか、Norton AntiVirus 2008ほか、Norton Internet Security 2008ほか
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Symantec Altiris Deployment Solution───────────────
Symantec Altiris Deployment Solutionは、複数のセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者にシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2009/08/27 登録

危険度:高
影響を受けるバージョン:6.9.x〜6.9 SP3 Build 430未満
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽ICQ Toolbar ActiveX control───────────────────
ICQ Toolbar ActiveX control (toolbaru.dll)は、過度に長いIsChecked値を含む細工されたサイトに誘導されることでDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザをクラッシュされる可能性がある。 [更新]
2008/03/07 登録

危険度:低
影響を受けるバージョン:2.3 beta
影響を受ける環境:Windows
回避策:公表されていません

▽BitTorrent / uTorrent──────────────────────
webuiインタフェースが使用可能であるときBitTorrentおよびuTorrentは、Range headerを使って多数のHTTPリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に使用可能なメモリを全て消費されてクライアントをクラッシュされる可能性がある。 [更新]
2008/01/29 登録

危険度:低
影響を受けるバージョン:BitTorrent 6.0.1 bld 7859未満、uTorrent 1.7.6 bld 7859未満、1.8-alpha-7928未満
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Cyrus IMAP Server────────────────────────
Cyrus IMAP Serverは、細工されたスクリプトによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/10 登録

危険度:
影響を受けるバージョン:2.2.13、2.3.14
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Subversion────────────────────────────
Subversionは、細工されたbinary delta(svndiff stream)によってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/08/10 登録

危険度:高
影響を受けるバージョン:1.5.7未満、1.6.0〜1.6.3
影響を受ける環境:UNIX、Linux
回避策:1.1.8以降へのバージョンアップ

▽strongSwan────────────────────────────
strongSwanは、細工されたデータを送ることでDoS攻撃を受ける複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にtarget pluto IKEデーモンをクラッシュされる可能性がある。[更新]
2009/06/23 登録

危険度:低
影響を受けるバージョン:2.2.0〜2.8.9、4.3.0〜4.3.1、4.0.0〜4.2.15
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Openswan / strongSwan──────────────────────
OpenswanおよびstrongSwanは、細工されたISAKMPを送信されることが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアイクサービスをクラッシュされる可能性がある。 [更新]
2009/03/31 登録

危険度:低
影響を受けるバージョン:4.2.13以前
影響を受ける環境:UNIX、Linux
回避策:2.8.9および4.2.14へのバージョンアップ

▽ClamAV──────────────────────────────
ClamAVは、細工されたEXEファイルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/04/14 登録

危険度:低
影響を受けるバージョン:0.01〜0.94.2
影響を受ける環境:UNIX、Linux
回避策:0.95以降へのバージョンアップ

▽ClamAV──────────────────────────────
ClamAVは、cli_url_canon () 機能が適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/04/13 登録

危険度:高
影響を受けるバージョン:0.01〜0.94.2
影響を受ける環境:UNIX、Linux
回避策:0.95.1以降へのバージョンアップ

▽tkman──────────────────────────────
tkmanは、不安定に一時ファイルを作成されることでシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。[更新]
2008/11/20 登録

危険度:中
影響を受けるバージョン:2.2
影響を受ける環境:UNIX
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、tc_fill_tclass () 機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリなどの情報を奪取される可能性がある。
2009/09/10 登録

危険度:高
影響を受けるバージョン:2.4.0〜2.6.31 rc7
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、tty_ldisc_hangup 機能のNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされたり権限を昇格される可能性がある。
2009/09/10 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31 rc7
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽ytnef──────────────────────────────
ytnefは、ProcessTNEF() 機能の境界エラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/09/08 登録

危険度:高
影響を受けるバージョン:2.6
影響を受ける環境:Linux
回避策:公表されていません

▽cmus───────────────────────────────
cmusは、不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。[更新]
2008/12/12 登録

危険度:中
影響を受けるバージョン:2.2.0
影響を受ける環境:Linux
回避策:公表されていません

▽Screenie─────────────────────────────
Screenieは、不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/12/12 登録

危険度:中
影響を受けるバージョン:1.30.0
影響を受ける環境:Linux
回避策:公表されていません

▽gccxml──────────────────────────────
gccxmlは、find_flagsスクリプトが不安定な一時ディレクトリを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/11/07 登録

危険度:中
影響を受けるバージョン:0.9.0
影響を受ける環境:Linux
回避策:公表されていません

▽LMbench─────────────────────────────
LMbenchは、rcssおよびSTUFFスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムの任意のファイルを上書きされる可能性がある。 [更新]
2008/09/04 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:Linux
回避策:公表されていません

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris xscreensaver─────────────────────
Sun Solaris xscreensaverは、Accessibilityサポートが適切な処理を行っていないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをハングされる可能性がある。
2009/09/10 登録

危険度:低
影響を受けるバージョン:OpenSolaris build_snv_109〜122、Sun Solaris 10、9、8
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Firefox 3.5.x 系─────────────────────────
Firefox 3.5.3がリリースされた。
http://www.mozilla.org/products/firefox/

▽Firefox 3.0.x 系─────────────────────────
Firefox 3.0.14がリリースされた。
http://www.mozilla.org/products/firefox/

▽Apple QuickTime─────────────────────────
Apple QuickTime 7.6.4がリリースされた。
http://www.apple.com/quicktime/

▽Samba 3.4.x 系──────────────────────────
Samba 3.4.1がリリースされた。
http://us1.samba.org/samba/

▽PostgreSQL 8.4.x 系───────────────────────
PostgreSQL 8.4.1がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.3.x 系───────────────────────
PostgreSQL 8.3.8がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.2.x 系───────────────────────
PostgreSQL 8.2.14がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.1.x 系───────────────────────
PostgreSQL 8.1.18がリリースされた。
http://www.postgresql.org/

▽PostgreSQL 8.0.x 系───────────────────────
PostgreSQL 8.0.22がリリースされた。
http://www.postgresql.org/

▽Apple iTunes───────────────────────────
Apple iTunes 9がリリースされた。
http://www.apple.com/jp/itunes/

▽秀丸メール────────────────────────────
秀丸メール 5.23がリリースされた。
http://hide.maruo.co.jp/software/tk.html

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27.33がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-rc9-git3がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、IPv4アドレス在庫枯渇対応に関する広報戦略ワーキンググループ(第2回)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/ipv6_internet/18709.html

▽トピックス
JVN、Microsoft Windows におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN62211338/

▽トピックス
JVN、複数の TCP の実装におけるサービス運用妨害 (DoS) の脆弱性
http://jvn.jp/cert/JVNVU943657/

▽トピックス
JVN、Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-251A/

▽トピックス
IPA、「ソフトウェア開発データ白書2009」公開について
http://sec.ipa.go.jp/press/20090910.html

▽トピックス
IPA、「Microsoft Windows」におけるセキュリティ上の弱点(脆弱性)の注意喚起
http://www.ipa.go.jp/security/vuln/documents/2009/200909_windows.html

▽トピックス
JPNIC、JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計を更新
http://www.nic.ad.jp/ja/stat/ip/20090909.html

▽トピックス
JIPDEC、「情報化月間2009」について
http://privacymark.jp/news/2009/0909/index.html

▽トピックス
迷惑メール相談センター、『撃退!チェーンメール』データ公開 更新
http://www.dekyo.or.jp/soudan/chain/report/index.html

▽トピックス
トレンドマイクロ、ウイルスバスター コーポレートエディション 7.3における修正プログラム公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1299

▽トピックス
トレンドマイクロ、Trend Micro LeakProof Appliance/VirtualAppliance 5.0 公開とサポート開始のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1302

▽トピックス
エフセキュアブログ、Appleの「It's only rock and roll」イベントとiPod Touch OS3.1
http://blog.f-secure.jp/archives/50267168.html

▽トピックス
エフセキュアブログ、9月のMicrosoft Updates
http://blog.f-secure.jp/archives/50267061.html

▽トピックス
Dr.WEB、2009年8月のウイルス・スパムレビュー
http://drweb.jp/news/20090910.html

▽トピックス
Panda Security:ブログ、Panda Cloud Antivirus、PC Worldの比較調査でNo.1に
http://pandajapanblogs.blogspot.com/2009/09/panda-cloud-antiviruspc-worldno1.html

▽トピックス
NTTドコモ、山形県の一部においてFOMAのパケット通信がご利用しづらい状況について
http://www.nttdocomo.co.jp/info/network/tohoku/pages/090910_1_d.html

▽トピックス
au、災害用伝言板体験サービス提供日追加について
http://www.notice.kddi.com/news/mainte/content/syougai/au_02_00004145.html

▽トピックス
au、システムメンテナンスについて(2009年9月16日実施)
http://www.notice.kddi.com/news/mainte/content/syougai/au_04_00004156.html

▽トピックス
au、システムメンテナンスについて(2009年9月15日実施)
http://www.notice.kddi.com/news/mainte/content/syougai/au_04_00004155.html

▽トピックス
NTT西日本、中小事業所ユーザ向けの新たなサポートサービスの提供開始について
http://www.ntt-west.co.jp/news/0909/090909a.html

▽トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『WindowsのSMBのDoS攻撃の脆弱性(CVE-2009-3103)に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20090909.pdf

▽トピックス
日立情報システムズとラック、事業継続マネジメント(BCM)構築ソリューションで協業
http://www.hitachijoho.com/news/2009/090910.html

▽トピックス
NEC、国内検疫ツール市場において4年連続でシェアNo.1を獲得
http://www.nec.co.jp/press/ja/0909/0901.html

▽トピックス
ソフォス、Mac OS最新版対応などマルウェア対策ソフト「Sophos Anti-Virus」をバージョンアップ
http://www.sophos.co.jp

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.429.00 (09/10)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4361

▽ウイルス情報
シマンテック、Bloodhound.Exploit.270
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-091002-4730-99

◆アップデート情報◆
───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
 Gentoo LinuxがGCC-XML、LMBench、Screenie、C* music player、TkMan、aMule、Openswan、Clam AntiVirus、apr apr-utilのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Debianがxapian-omegaのアップデートをリリース
───────────────────────────────────
 Debianがxapian-omegaのアップデートをリリースした。このアップデートによって、xapian-omegaにおける問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●AppleがQuickTimeおよびiPhone OSのセキュリティアップデートをリリース
───────────────────────────────────
 AppleがQuickTimeおよびiPhone OSのセキュリティアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


アップルコンピュータ
http://support.apple.com/

───────────────────────────────────
●Slackwareがseamonkeyのアップデートをリリース
───────────────────────────────────
 Slackwareがseamonkeyのアップデートをリリースした。このアップデートによって、seamonkeyにおける複数の問題が修正される。


Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2008

───────────────────────────────────
●RedHat Linuxがfirefoxのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがfirefoxのアップデートパッケージをリリースした。このアップデートによって、firefoxにおける複数の問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraが複数のアップデートをリリース
───────────────────────────────────
 RedHat Fedoraがkdelibs、cyrus-imapd、libsilcのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

    複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  4. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  5. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  6. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  7. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  8. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×