セキュリティホール情報＜2009/09/30＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2009年9月30日（水） 15時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽FireFTP extension for Firefox──────────────────
FireFTP extension for Firefoxは、psftp.exeが原因でデータを操作されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に不正なSFTPオペレーションを実行される可能性がある。
2009/09/30 登録

危険度：
影響を受けるバージョン：1.0.5
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽IBM Informix Dynamic Server───────────────────
IBM Informix Dynamic Server（IDS）は、512バイトを超える過度に長いパスワードをJDBC接続で送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースインスタンスをクラッシュされる可能性がある。
2009/09/30 登録

危険度：低
影響を受けるバージョン：10.00、11.10、11.50
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽e107───────────────────────────────
e107は、CAPTCHAメカニズムが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/09/30 登録

危険度：中
影響を受けるバージョン：0.7.13、0.7.15、0.7.16、0.7.5、0.7.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HP Remote Graphics Software───────────────────
HP Remote Graphics Software（RGS）は、特定されていない原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。
2009/09/30 登録

危険度：中
影響を受けるバージョン：5.1.3、5.2.5、5.2.6
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽iCRM Basic component for Joomla!─────────────────
iCRM Basic component for Joomla!は、ダイレクトリクエストを送ることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションインタフェースに不正アクセスを実行される可能性がある。 [更新]
2009/09/29 登録

危険度：中
影響を受けるバージョン：1.4.2.31
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IBM Lotus Quickr─────────────────────────
IBM Lotus Quickrは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/09/29 登録

危険度：中
影響を受けるバージョン：8.1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽OpenSAML library─────────────────────────
OpenSAML libraryは、細工された証明書によってセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に偽アドレスのサーバ証明書を信頼してしまう可能性がある。[更新]
2009/09/29 登録

危険度：高
影響を受けるバージョン：OpenSAML 1.1.2、2.0、XMLTooling 1.0、Shibboleth Service Provider 1.3、1.3.3、2.0、2.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Juniper JUNOS──────────────────────────
Juniper JUNOSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/09/30 登録

危険度：中
影響を受けるバージョン：8.5R1.14、9.0R1.1
影響を受ける環境：Juniper JUNOS
回避策：公表されていません

▽TrustPort製品──────────────────────────
複数のTrustPort製品は、インストレーションディレクトリで不安定なパーミッションを設定することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2009/09/30 登録

危険度：高
影響を受けるバージョン：Antivirus 2.8.0.2265、Antivirus PC Security 2.0.0.1290
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽SAP GUI EAI WebViewer3D ActiveX control─────────────
SAP GUI EAI WebViewer3D ActiveX control（WebViewer3D.dll）は、細工されたWebサイトを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2009/09/29 登録

危険度：中
影響を受けるバージョン：7100.2.7.1038 PL7
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽BlackBerry Device Software────────────────────
BlackBerry Device Softwareは、細工された証明書を含むWebサイトを開くことでスプーフィング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるWebサイトにリダイレクトされる可能性がある。 [更新]
2009/09/29 登録

危険度：中
影響を受けるバージョン：4.5、4.6、4.6.1、4.7、4.7.1
影響を受ける環境：BlackBerry Device Software
回避策：ベンダの回避策を参照

▽Core FTP─────────────────────────────
Core FTPは、過度に長いホスト名を含む細工されたエントリに接続することでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のコードを実行される可能性がある。 [更新]
2009/09/29 登録

危険度：高
影響を受けるバージョン：2.1 Build 1612
影響を受ける環境：Windows
回避策：公表されていません

▽CuteFTP─────────────────────────────
CuteFTPは、過度に長いラベルを含む細工されたWebサイトに接続することでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のコードを実行される可能性がある。 [更新]
2009/09/29 登録

危険度：高
影響を受けるバージョン：8.3.3.0054
影響を受ける環境：Windows
回避策：公表されていません

▽Cisco Application Control Engine (ACE) XML Gateway────────
Cisco Application Control Engine (ACE) XML Gatewayは、細工されたリクエストによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に内部のIPアドレスを明らかにされる可能性がある。[更新]
2009/09/28 登録

危険度：低
影響を受けるバージョン：6.0
影響を受ける環境：Cisco AXG
回避策：ベンダの回避策を参照

▽avast! Home / Professional────────────────────
avast! HomeおよびProfessionalは、細工された0xB2C80018 IOCTLリクエストを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/09/25 登録

危険度：高
影響を受けるバージョン：4.8.1351
影響を受ける環境：Windows
回避策：公表されていません

▽Cisco IOS────────────────────────────
Ciscoは、複数のCisco IOS製品に対するセキュリティアップデートを公開した。このアップデートによって、同製品における複数のセキュリティホールが解消される。 [更新]
2009/09/24 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Cisco IOS
回避策：ベンダの回避策を参照

▽Webブラウザ───────────────────────────
複数のWebブラウザは、細工されたWebサイトを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザを無限ループ状態にされる可能性がある。 [更新]
2009/09/24 登録

危険度：低
影響を受けるバージョン：Google Chrome 0.2.149.27〜1.0.154.48、Opera 5.0〜9.6、Mozilla Firefox 0.1〜3.0.1、Microsoft Internet Explorer 6.0〜7.0
影響を受ける環境：Windows
回避策：公表されていません

▽NaviCOPA─────────────────────────────
NaviCOPAは、過度に長い細工されたHTTPリクエストを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバ上のファイルのソースコードを閲覧される可能性がある。 [更新]
2009/09/17 登録

危険度：低
影響を受けるバージョン：3.01
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Merkaartor────────────────────────────
Merkaartorは、不安定なログファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2009/09/29 登録

危険度：中
影響を受けるバージョン：0.14
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenOffice.org──────────────────────────
OpenOffice.orgは、細工されたMicrosoft Wordドキュメントを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/09/30 登録

危険度：高
影響を受けるバージョン：2.0〜3.1
影響を受ける環境：Linux
回避策：3.1.1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、md driverのNULL pointer dereferenceが原因でDoS攻撃を受けるキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータをアクセス不能にされる可能性がある。[更新]
2009/08/31 登録

危険度：中
影響を受けるバージョン：2.6.0〜2.6.30.5
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Delegate─────────────────────────────
Delegate 9.9.5がリリースされた。
http://www.delegate.org/delegate/

▽Eclipse─────────────────────────────
Eclipse 3.5.1がリリースされた。
http://www.eclipse.org/

▽Felix Karaf───────────────────────────
Felix Karaf 1.0.0がリリースされた。
http://felix.apache.org/site/karaf-100.html

▽Palm webOS────────────────────────────
Palm webOS 1.2がリリースされた。
http://www.palm.com/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会情報通信技術分科会 ITU‐T部会　セキュリティ・言語委員会（第17回）議事概要
http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/joho_tsusin/itu_t/19138.html

▽トピックス
エフセキュアブログ、WoWのトライアル・マウントにご用心
http://blog.f-secure.jp/archives/50283353.html

▽トピックス
Panda Security、あなたのFacebookアカウントの値段は100ドル、PandaLabs調べ
http://www.ps-japan.co.jp/pressrelease/n79.html

▽トピックス
NTTドコモ、不正入手された携帯電話機に対するネットワーク利用制限の開始について
http://www.nttdocomo.co.jp/info/news_release/page/090929_00.html

▽トピックス
ソフトバンクモバイル、不正取得携帯電話機の取引防止に関するさらなる取り組みについて
http://broadband.mb.softbank.jp/corporate/release/pdf/20090929_2j.pdf

▽トピックス
NTTコミュニケーションズ、第1種パケット交換(DDX-P)・第2種パケット交換(DDX-TP)サービスの提供終了について
http://www.ntt.com/release/monthNEWS/detail/20090929.html

▽トピックス
KDDI、WiMAX機能を搭載したWINデータ通信端末の提供について
http://www.kddi.com/corporate/news_release/2009/0930b/index.html

▽トピックス
KDDI、「KDDI セキュアPCアクセス」(仮称) のサービス提供開始について
http://www.kddi.com/corporate/news_release/2009/0930a/index.html

▽トピックス
KDDI、「KDDI インターネットゲートウェイ」および「イーサシェア」のIPv6対応について
http://www.kddi.com/corporate/news_release/2009/0929c/index.html

▽トピックス
マイクロソフト、仮想化環境からクラウドまでの一元的な運用管理を支援するMicrosoft(R) System Center ファミリーと大規模データセンター向け統合ライセンスを提供開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3762

▽トピックス
マイクロソフト：ブログ、無料のマルウェア(ウイルス)対策ソフト
http://blogs.technet.com/jpsecurity/archive/2009/09/30/3283943.aspx

▽トピックス
キヤノンITソリューションズ、クライアントPCの認証・暗号化セキュリティツール「CompuSec」シリーズ用管理ツール「GlobalAdmin Lite」の新バージョンを10月1日（木）より販売開始
http://www.canon-its.co.jp/company/news/20090930compusec.html

▽トピックス
NRIセキュア、各種通信メッセージを電子メールに統合して一元管理を可能にする「SecureCube / Message Crawler」を発売
http://www.nri-secure.co.jp/news/2009/0930.html

▽トピックス
ラック、サイバー事件の緊急対応に特化した「サイバー救急センター」を新設
http://www.lac.co.jp/news/press20090930.html

▽トピックス
NECソフト、さまざまな脅威からエンドポイントを守る統合セキュリティソフトウェア「Check Point Endpoint Security」の最新版発売について
http://www.necsoft.com/press/2009/090930.html

▽トピックス
エレコム、「セキュリティ機能」対応のバリュータイプのUSBメモリー2機種を発売
http://www.elecom.co.jp/news/200909/mf-stu2g/

▽トピックス
ラネクシー、未知のウィルスの高い検出率に加え、スピード、使いやすさをさらに強化した「BitDefender 2010」9月30日から販売開始
http://www.runexy.co.jp/news/release/news_bitdefender_2010930

▽サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/news/view.asp?seq=4392

▽ウイルス情報
シマンテック、W32.SillyFDC.BCY
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-093000-4131-99

▽ウイルス情報
マカフィー、W32/PhilPedo.a
http://www.mcafee.com/japan/security/virPQ.asp?v=W32/PhilPedo.a

◆アップデート情報◆
───────────────────────────────────
●Turbolinuxがccs-toolsのアップデートをリリース
───────────────────────────────────
　Turbolinuxがccs-toolsのアップデートをリリースした。このアップデートによって、ccs-toolsにおける問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●RedHat Linuxがkdelibsおよびkernelのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがkdelibsおよびkernelのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

《ScanNetSecurity》