セキュリティホール情報<2009/09/14> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

セキュリティホール情報<2009/09/14>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━

▽yoyaku_v41────────────────────────────
yoyaku_v41は、OSコマンドインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ権限でOSコマンドインジェクションを実行される可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:1.10以前
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Image Voting───────────────────────────
Image Votingは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Datemill─────────────────────────────
Datemillは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Buy Dating Site─────────────────────────
Buy Dating Siteは、profile.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Match Agency BiZ─────────────────────────
Match Agency BiZは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽An image gallery─────────────────────────
An image galleryは、適切な処理を行っていないことが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザ上で任意のスクリプトコードを実行されたり機密情報を奪取される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽MYRE Holiday Rental Manager───────────────────
MYRE Holiday Rental Managerは、search.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽T-HTB Manager──────────────────────────
T-HTB Managerは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Model Agency Manager PRO─────────────────────
Model Agency Manager PROは、細工されたSQLステートメントを特定のスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/14 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SZNews──────────────────────────────
SZNewsは、sznews/printnews.php3がユーザ入力を適切にチェックしていないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にローカルファイルの一部を閲覧される可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:2.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ventrilo Client─────────────────────────
Ventrilo Clientは、細工されたvoiceパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクライアントをクラッシュされる可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:3.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Nullam Blog───────────────────────────
Nullam Blogは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:0.x
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IBM WebSphere MQ─────────────────────────
IBM WebSphere MQは、DoS攻撃を受ける複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリを上書きされる可能性がある。 [更新]
2009/09/11 登録

危険度:
影響を受けるバージョン:6.0、7.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Advanced Comment System─────────────────────
Advanced Comment Systemは、細工されたURLリクエストをindex.phpあるいはadmin.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。[更新]
2009/09/11 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PostgreSQL────────────────────────────
PostgreSQLは、$libdir/pluginsのライブラリをリロードする際にDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックエンドのサーバを終了される可能性がある。[更新]
2009/09/11 登録

危険度:高
影響を受けるバージョン:8.4、8.3.6以前、8.2.5以前、8.1.10以前、
8.0.14以前、7.4.19以前
影響を受ける環境:UNIX、Linux、Windows
回避策:8.4.1、8.3.8、8.2.14、8.1.18、8.0.22以降へのバージョンアップ

▽iDesk──────────────────────────────
iDeskは、細工されたSQLステートメントをdownload.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/11 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Accommodation Hotel Booking Portal────────────────
Accommodation Hotel Booking Portalは、細工されたSQLステートメントを特定のスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/11 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Bus Script────────────────────────────
Bus Scriptは、細工されたSQLステートメントをaboutus.phpあるいはfaq.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/11 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BUEditor module for Drupal────────────────────
BUEditor module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/09/11 登録

危険度:中
影響を受けるバージョン:5.x-1.0〜1.1、6.x-1.0〜1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2009/09/10 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.3未満、3.0.14未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Apple QuickTime─────────────────────────
Appleは、QuickTimeのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2009/09/10 登録

危険度:高
影響を受けるバージョン:7.6.4未満
影響を受ける環境:Mac OS X、Windows
回避策:7.6.4へのバージョンアップ

▽phpNagios────────────────────────────
phpNagiosは、細工されたURLリクエストをmenu.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽GemStone/S────────────────────────────
GemStone/Sは、適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/09/10 登録

危険度:高
影響を受けるバージョン:6.3.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Joomloc component for Joomla!──────────────────
Joomloc component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽TPDugg component for Joomla!───────────────────
TPDugg component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/10 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BF Survey Pro component for Joomla!───────────────
BF Survey Pro component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/09/10 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽obophix FrameWork────────────────────────
obophix FrameWorkは、細工されたURLリクエストをfonctions_racine.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。[更新]
2009/09/10 登録

危険度:中
影響を受けるバージョン:2.7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Novell eDirectory────────────────────────
Novell eDirectoryは、細工されたHTTP GETリクエストをポート8028に送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースをすべて消費される可能性がある。 [更新]
2009/09/10 登録

危険度:低
影響を受けるバージョン:8.8 SP5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽mod_proxy_ftp module for Apache─────────────────
mod_proxy_ftp module for Apacheは、NULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に子プロセスをクラッシュされる可能性がある。[更新]
2009/09/07 登録

危険度:低
影響を受けるバージョン:2.0.63、2.2.13
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽日立JP1製品───────────────────────────
Hitachi JP1/Automatic Job Management System 2 - View, JP1/Integrated Management - View, JP1/Cm2/SNMP System Observerは、不正な形式のGIFファイルによってセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステムを異常終了される可能性がある。[更新]
2009/07/31 登録

危険度:
影響を受けるバージョン:
JP1/Automatic Job Management System 2 - View、
JP1/Integrated Management - View、
JP1/Cm2/SNMP System Observer
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hitachi JP1/File Transmission Server/FTP─────────────
Hitachi JP1/File Transmission Server/FTPは、複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者に任意のコマンドを実行される可能性がある。 [更新]
2009/07/31 登録

危険度:高
影響を受けるバージョン:JP1/File Transmission Server/FTP
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hitachi Cosminexus / Processing Kit───────────────
Hitachi CosminexusおよびProcessing Kit XML、Hitachi Developer's Kit for Javaは、JavaアプリケーションがGIFイメージ処理を行う際にバッファオーバーフローが発生するセキュリティホールが存在する。[更新]
2009/07/27 登録

危険度:高
影響を受けるバージョン:uCosminexus、Cosminexusほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Wireshark────────────────────────────
Wiresharkは、細工されたデータによってDoS攻撃を受ける複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。[更新]
2009/07/22 登録

危険度:低
影響を受けるバージョン:0.9.2〜1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.1以降へのバージョンアップ

▽HTMLDOC─────────────────────────────
HTMLDOCは、細工されたMEDIA SIZEコメントを含むHTMLドキュメントを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/07/16 登録

危険度:高
影響を受けるバージョン:1.8.27
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Horde製品────────────────────────────
複数のHorde製品は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:3.2、3.2.1、3.2.2、3.2.3、3.3、
Groupware 1.1.1、1.1.2、1.1.3、1.1.4、1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Multiple vendor TCP implementations───────────────
多くのベンダのTCP implementationsは、TCP state tableでのインフォメーションを適切に取り扱わないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なすべてのconnection queue resourcesを消費される可能性がある。[更新]
2008/10/28 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows────────────────────────
Microsoft Windowsは、細工されたServer Message Block(SMB)Negotiateプロトコルリクエストを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりシステムをクラッシュされる可能性がある。[更新]
2009/09/09 登録

危険度:高
影響を受けるバージョン:7、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Altirix eXpress NS SC Download ActiveX control──────────
Altirix eXpress NS SC Download ActiveX controlは、Altiris.AeXNSPkgDL.1 ActiveX control(AeXNSPkgDLLib.dll)の"DownloadAndInstall()"メソッドにセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるWebサイトに誘導される可能性がある。
2009/09/14 登録

危険度:高
影響を受けるバージョン:AeXNSPkgDLLib.dll version 6.0.0.1418
影響を受ける環境:Windows
回避策:公表されていません

▽WarFTPD─────────────────────────────
WarFTPD(War FTP Daemon)は、細工されたLISTコマンドを送ることでフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/09/14 登録

危険度:高
影響を受けるバージョン:1.82 RC 12
影響を受ける環境:Windows
回避策:公表されていません

▽KSP Sound Player─────────────────────────
KSP Sound Playerは、細工された.m3u playlistファイルを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/14 登録

危険度:高
影響を受けるバージョン:2009 R2.1
影響を受ける環境:Windows
回避策:公表されていません

▽jetAudio─────────────────────────────
jetAudioは、細工された.asx、.wax、.wvx playlistファイルを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/14 登録

危険度:高
影響を受けるバージョン:7.1.9.4030
影響を受ける環境:Windows
回避策:公表されていません

▽FTPShell Client─────────────────────────
FTPShell Clientは、過度に長いPASVレスポンスによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。
2009/09/14 登録

危険度:高
影響を受けるバージョン:4.1 RC2
影響を受ける環境:Windows
回避策:公表されていません

▽Apple iPhone───────────────────────────
Appleは、iPhone OSのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。[更新]
2009/09/10 登録

危険度:
影響を受けるバージョン:3.1未満、3.1.1未満
影響を受ける環境:Apple iPhoneほか
回避策:3.1あるいは3.1.1へのバージョンアップ

▽Cisco NX-OS───────────────────────────
Cisco NX-OSは、細工されたTCPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFINWAIT1ステートを動作不能にされる可能性がある。[更新]
2009/09/09 登録

危険度:低
影響を受けるバージョン:Cisco NX-OS
影響を受ける環境:Cisco Nexus 5000 prior to 4.0(1a)N2(1)
回避策:ベンダの回避策を参照

▽Adobe RoboHelp──────────────────────────
Adobe RoboHelpは、公表されていない原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムのコントロールを奪取される可能性がある。 [更新]
2009/09/07 登録

危険度:高
影響を受けるバージョン:8
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽GNOME GLib library────────────────────────
Xapian Omegaは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:1.0.16未満
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Cyrus IMAP Server────────────────────────
Cyrus IMAP Serverは、細工されたスクリプトによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/09/10 登録

危険度:
影響を受けるバージョン:2.2.13、2.3.14
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽FreeRADIUS────────────────────────────
FreeRADIUSは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデーモンをクラッシュされる可能性がある。[更新]
2009/09/08 登録

危険度:
影響を受けるバージョン:1.1.7
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ikiwiki─────────────────────────────
ikiwikiは、teximg pluginが不安定なTeXコマンドでブラックリスト化することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2009/09/01 登録

危険度:低
影響を受けるバージョン:2.31、2.31.1、2.47、2.48、3.141592
影響を受ける環境:UNIX、Linux
回避策:3.1415926あるいは2.53.4以降へのバージョンアップ

▽Libxml2─────────────────────────────
Libxml2は、細工されたXMLドキュメントを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2009/08/26 登録

危険度:低
影響を受けるバージョン:1.8.17、2.5.10、2.6.16、2.6.26、2.6.27、
2.6.32
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ZNC───────────────────────────────
ZNCは、細工されたDCC Sendコマンドを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。[更新]
2009/07/23 登録

危険度:中
影響を受けるバージョン:0.060、0.062、0.064、0.066
影響を受ける環境:UNIX、Linux
回避策:0.072以降へのバージョンアップ

▽CamlImage────────────────────────────
CamlImageは、過度に大きい幅と高さの値を持つ細工されたPNGイメージを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/07/09 登録

危険度:高
影響を受けるバージョン:2.2、3.0.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Passwd module for Horde─────────────────────
Passwd module for Hordeは、main.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/07/07 登録

危険度:
影響を受けるバージョン:3.1
影響を受ける環境:UNIX、Linux
回避策:3.1.1以降へのバージョンアップ

▽Irssi──────────────────────────────
Irssiは、細工された空のコマンドを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクライアントをクラッシュされる可能性がある。[更新]
2009/06/17 登録

危険度:低
影響を受けるバージョン:0.8.13
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Horde IMP Webmail Client─────────────────────
Horde IMP Webmail Clientは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/01/29 登録

危険度:中
影響を受けるバージョン:4.0〜4.3.2
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽tkman──────────────────────────────
tkmanは、不安定に一時ファイルを作成されることでシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。[更新]
2008/11/20 登録

危険度:中
影響を受けるバージョン:2.2
影響を受ける環境:UNIX
回避策:公表されていません

▽Lynx───────────────────────────────
Lynxは、細工されたURLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/10/28 登録

危険度:高
影響を受けるバージョン:2.8.6dev.15以前
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、w(1) が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/09/14 登録

危険度:
影響を受けるバージョン:OpenSolaris、Sun Solaris 10、9、8
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、lxが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムパニックを引き起こされる可能性がある。 [更新]
2009/09/11 登録

危険度:
影響を受けるバージョン:OpenSolaris、Sun Solaris 10
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、Gigabit-Ethernetドライバ(ce(7D))が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムパニックを引き起こされる可能性がある。[更新]
2009/06/22 登録

危険度:低
影響を受けるバージョン:10
影響を受ける環境:SunSolaris
回避策:ベンダの回避策を参照

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。[更新]
2009/09/11 登録

危険度:
影響を受けるバージョン:10.6.1未満
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。[更新]
2009/09/11 登録

危険度:高
影響を受けるバージョン:10.x、4.x
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-git2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.4.x 系──────────────────────
Linux kernel 2.4.37.6がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、電子政府の総合窓口(e-Gov)において公示する意見公募手続等案件に付与する「行政分野別分類」(案)に対する意見募集の結果の公表
http://www.soumu.go.jp/menu_news/s-news/02gyokan05_000012.html

▽トピックス
JVN、株式会社ディーアイシー製 yoyaku_v41 における OS コマンドインジェクションの脆弱性
http://jvn.jp/jp/JVN05857667/

▽トピックス
JVN、Windows SMB version 2 に脆弱性
http://jvn.jp/cert/JVNVU135940/

▽トピックス
迷惑メール相談センター、『迷惑メール対策BOOK』配布ページ 更新
https://www.dekyo.or.jp/soudan/pamphlet/tbook-agree.html

▽トピックス
エフセキュアブログ、Firefoxのアドバイス
http://blog.f-secure.jp/archives/50267440.html

▽トピックス
Panda Security:ブログ、なぜパンダ?
http://pandajapanblogs.blogspot.com/2009/09/blog-post_11.html

▽トピックス
キヤノンITソリューションズ、Windows Vista と ESET Smart SecurityV3.0 の環境における最新のWindows Update適用後の問題
http://canon-its.jp/supp/eset/notify20090911.html

▽トピックス
NTTドコモ、留守番電話サービスのシステム不具合による一部設定項目の初期化事象について
http://www.nttdocomo.co.jp/info/notice/page/090911_00.html

▽サポート情報
アンラボ、V3 アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4366

▽ウイルス情報
シマンテック、Trojan.Sopiclick
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-091110-5331-99

◆アップデート情報◆
───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
Gentoo Linuxがznc、wireshark、lynx、horde、irssi、htmldocのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがnet-snmpのアップデートをリリース
───────────────────────────────────
RedHat Linuxがnet-snmpのアップデートパッケージをリリースした。このアップデートによって、net-snmpにおける複数の問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraが複数のアップデートをリリース
───────────────────────────────────
RedHat Fedoraがpostgresql、puppet、ikiwiki、epiphany、epiphany-extensions、Miro、ruby-gnome2、blam、gecko-sharp2、gnome-python2-extras、mozvoikko、gnome-web-photo、evolution-rss、kazehakase、pcmanx-gtk2、google-gadgets、yelp、mugshot、perl-Gtk2-MozEmbed、firefox、xulrunnerのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  3. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

    「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  4. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  5. 複数のTLS実装に、暗号化通信データを解読される脆弱性(JVN)

  6. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  7. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  8. Microsoft Office の数式エディタにおけるバッファオーバーフローの脆弱性(Scan Tech Report)

  9. パケット解析ツール「Packetbeat」にDoS攻撃を受ける脆弱性(JVN)

  10. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×