セキュリティホール情報＜2009/09/15＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年9月15日（火） 16時15分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽TurtuShout component for Joomla!─────────────────
TurtuShout component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：0.11
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Neuf Box─────────────────────────────
Neuf Boxは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：NB4-R1.5.10 Main
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Aurora CMS────────────────────────────
Aurora CMSは、細工されたURLリクエストをinstall.plugin.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：1.0.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Hotel Booking System component for Joomla!────────────
Hotel Booking System component for Joomla!は、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：I、II、III
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP-IPNMonitor component for Joomla!───────────────
PHP-IPNMonitor component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PressRelease component for Joomla!────────────────
PressRelease component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Speech component for Joomla!───────────────────
Speech component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽MediaAlert component for Joomla!─────────────────
MediaAlert component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Gyro───────────────────────────────
Gyroは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：5.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Hestar component for Mambo────────────────────
Hestar component for Mamboは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Image Voting───────────────────────────
Image Votingは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/09/14 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Nullam Blog───────────────────────────
Nullam Blogは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/09/14 登録

危険度：中
影響を受けるバージョン：0.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/09/10 登録

危険度：高
影響を受けるバージョン：Firefox 3.5.3未満、3.0.14未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Network Security Services────────────────────
Network Security Services（NSS）は、細工された証明書を送ることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/08/03 登録

危険度：高
影響を受けるバージョン：3.11.2、3.11.3、3.11.4、3.11.5
影響を受ける環境：UNIX、Linux、Windows
回避策：3.12.3以降へのバージョンアップ

▽OpenEXR─────────────────────────────
OpenEXRは、整数オーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/07/30 登録

危険度：高
影響を受けるバージョン：1.6.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozillaは、Firefox、Thunderbird、SeaMonkeyのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/04/22 登録

危険度：高
影響を受けるバージョン：Firefox 3.0.9未満、Thunderbird 2.0.0.22未満、SeaMonkey 1.1.16未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Kolibri─────────────────────────────
Kolibriは、細工されたhttpリクエストを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。
2009/09/15 登録

危険度：高
影響を受けるバージョン：2
影響を受ける環境：Windows
回避策：公表されていません

▽httpdx──────────────────────────────
httpdxは、細工されたhttpリクエストを送ることでフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/09/15 登録

危険度：高
影響を受けるバージョン：1.4
影響を受ける環境：Windows
回避策：公表されていません

▽Altirix eXpress NS SC Download ActiveX control──────────
Altirix eXpress NS SC Download ActiveX controlは、Altiris.AeXNSPkgDL.1 ActiveX control（AeXNSPkgDLLib.dll）の"DownloadAndInstall()"メソッドにセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるWebサイトに誘導される可能性がある。 [更新]
2009/09/14 登録

危険度：高
影響を受けるバージョン：AeXNSPkgDLLib.dll version 6.0.0.1418
影響を受ける環境：Windows
回避策：公表されていません

▽Apple iPhone───────────────────────────
Appleは、iPhone OSのセキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/09/10 登録

危険度：高
影響を受けるバージョン：3.1未満、3.1.1未満
影響を受ける環境：Apple iPhoneほか
回避策：3.1あるいは3.1.1へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Bugzilla─────────────────────────────
Bugzillaは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/09/15 登録

危険度：
影響を受けるバージョン：2.23.4〜3.0.8、3.1.1〜3.2.4、3.3.1 - 3.4.1
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Xapian Omega───────────────────────────
Xapian Omegaは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/09/14 登録

危険度：中
影響を受けるバージョン：1.0.16未満
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽FreeRADIUS────────────────────────────
FreeRADIUSは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2009/09/08 登録

危険度：低
影響を受けるバージョン：1.1.7、0.9.2
影響を受ける環境：UNIX、Linux
回避策：1.1.8以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、w(1) が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/09/14 登録

危険度：高
影響を受けるバージョン：OpenSolaris、Sun Solaris 10、9、8
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Xsan───────────────────────────────
Appleは、Xsanのセキュリティアップデートを公開した。このアップデートによって、Xsanにおけるセキュリティホールが修正される。
2009/09/15 登録

危険度：
影響を受けるバージョン：2.2
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽XOOPS 2.3.x 系──────────────────────────
XOOPS 2.3.3bがリリースされた。
http://xoops.com/

▽Lunascape────────────────────────────
Lunascape 5.1.5がリリースされた。
http://www.lunascape.jp

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31-git3がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JIPDEC、BCMS実証運用　中間報告
http://www.isms.jipdec.jp/bcms/report_200909/bcms_report_200909.html

▽トピックス
トレンドマイクロ、InterScan VirusWall スタンダードエディション6.02 Windows版 Critical Patch (ビルド7284) 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1304

▽トピックス
トレンドマイクロ、ウイルスバスターコーポレートエディション 10.0公開とサポートサービス開始のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1298

▽トピックス
CA、デロイトトーマツリスクサービスと日本CA、アイデンティティ/アクセス管理システムを共同展開
http://www.ca.com/jp/press/release.aspx?cid=216510

▽トピックス
G Data Software、最悪のシナリオ〜もしも社内のPCが感染したら・・・
http://gdata.co.jp/press/archives/2009/09/pc_2.htm

▽トピックス
Panda Security、20周年を迎えるその革新の歴史
http://www.ps-japan.co.jp/pressrelease/n76.html

▽トピックス
カスペルスキー、Kaspersky Anti-Spam 3.0、Virus Bulletinの金賞を受賞
http://www.kaspersky.co.jp/news?id=207578782

▽トピックス
エフセキュアブログ、RE 9月のMicrosoft Updates
http://blog.f-secure.jp/archives/50268002.html

▽トピックス
エフセキュアブログ、送信者：不明
http://blog.f-secure.jp/archives/50268030.html

▽トピックス
アンラボ、カスタマーサポートセンター一時休止のお知らせ
http://www.ahnlab.co.jp/news/view.asp?seq=4367

▽トピックス
NTTドコモ、モバイルゲット販売センターの業務終了について
http://www.nttdocomo.co.jp/info/notice/page/090914_00_m.html

▽トピックス
NTTドコモ、法人向けバーコードリーダー搭載端末の開発
http://www.nttdocomo.co.jp/info/news_release/page/090914_02.html

▽トピックス
NTT西日本、「Lモード」サービスがご利用できない状況の発生について（回復）
http://www.ntt-west.co.jp/news/0909/090914b.html

▽トピックス
NTTコミュニケーションズ、企業向けクラウド型メールサービス「Bizメール」の提供について
http://www.ntt.com/release/monthNEWS/detail/20090915.html

▽トピックス
NTTコミュニケーションズ、システムメンテナンスのお知らせ
http://www.ntt.com/aboutus/information/info_20090914.html

▽トピックス
KDDI、台湾沖の複数海底ケーブル故障について (復旧報: 9月14日時点)
http://www.kddi.com/corporate/news_release/2009/0914a/index.html

▽トピックス
NECとマイクロソフト、BI/DWH協業に基づく新ソリューションを発売
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3755

▽トピックス
ビジネスアシュアランスと京セラコミュニケーションシステムがPCI DSS準拠支援サービスの分野で協業
http://www.kccs.co.jp/press/release/090914.html

▽トピックス
凸版印刷とトッパンフォームズ、UHF帯ICタグを活用した文書保管箱管理システムを開発
http://www.toppan.co.jp/news/newsrelease969.html

▽トピックス
ニューテック、遠隔バックアップサービスの販売を開始
http://www.newtech.co.jp/ir/pdf/090914-3.pdf

▽トピックス
日立、WindowsOS以外にも対応可能な「システム組込み用指静脈認証装置」を提供開始
http://www.hitachi.co.jp/New/cnews/month/2009/09/0915.html

▽トピックス
日立システム、読売テレビ局内の不正接続PCを排除するセキュリティ環境を構築
http://www.hitachi-system.co.jp/press/2009/pr090915.html

▽トピックス
大日本印刷NFCを活用したセキュリティシステムの販売を開始
http://www.dnp.co.jp/jis/news/2009/090915.html

▽サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4368

▽ウイルス情報
マカフィー、FakeAlert-IK
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-IK

▽ウイルス情報
マカフィー、Exploit-PDF.n.gen.dll
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-PDF.n.gen.dll

◆アップデート情報◆
───────────────────────────────────
●AppleがXsanのセキュリティアップデートをリリース
───────────────────────────────────
　AppleがXsanのセキュリティアップデートをリリースした。このアップデートによって、Xsanにおける問題が修正される。

アップルコンピュータ
http://support.apple.com/kb/HT3865

───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
　Debianがiceweasel、xulrunner、nginxのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Ubuntu LinuxがOpenEXRおよびOpenSSLのアップデートをリリース
───────────────────────────────────
　Ubuntu LinuxがOpenEXRおよびOpenSSLのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

───────────────────────────────────
●Slackwareがmozilla-firefoxのアップデートをリリース
───────────────────────────────────
　Slackwareがmozilla-firefoxのアップデートをリリースした。このアップデートによって、mozilla-firefoxにおける複数の問題が修正される。

Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2008

《ScanNetSecurity》