セキュリティホール情報<2009/10/22> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.19(土)
コンテンツ
注目検索ワード
記事

セキュリティホール情報<2009/10/22>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Websense Email Security─────────────────────
Websense Email Securityは、細工されたデータをアドミニストレーションWebインタフェースに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にSTEMWADM.EXEサービスをクラッシュされ再起動を余儀なくされる可能性がある。
2009/10/22 登録

危険度:中
影響を受けるバージョン:7.1 Hotfix 4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:7.1 Hotfix 4以降へのバージョンアップ

▽OpenDocMan────────────────────────────
OpenDocManは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/10/22 登録

危険度:中
影響を受けるバージョン:1.2.5
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.5.2以降へのバージョンアップ

▽WebDrive─────────────────────────────
WebDriveは、セキュリティの記述子なしにWebDrive Serviceをインストールすることが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。
2009/10/22 登録

危険度:高
影響を受けるバージョン:9.02 build 2232
影響を受ける環境:Mac OS X、Windows
回避策:公表されていません

▽WordPress────────────────────────────
WordPressは、wp-trackback.php mb_convert_encoding() 機能が適切なチェックを行っていないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースをすべて消費される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.8、2.8.1、2.8.2、2.8.3、2.8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.8.5以降へのバージョンアップ

▽TYPO3 extension─────────────────────────
複数のTYPO3 extensionは、ユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/10/21 登録

危険度:高
影響を受けるバージョン:Random Images 1.6.5未満、freeCap CAPTCHA 1.2.2未満、fb_filebase 0.1.0、solr 1.0.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Oracle製品────────────────────────────
Oracleは、複数の製品に対するパッチを公開した。このパッチの適用によって、それぞれのセキュリティホールが解消される。 [更新]
2009/10/21 登録

危険度:
影響を受けるバージョン:Oracle BEA WebLogic Serverほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽JD-WordPress component for Joomla!────────────────
JD-WordPress component for Joomla!は、細工されたURLリクエストをwp-feed.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:2.0 RC2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽BookLibrary component for Joomla!────────────────
BookLibrary component for Joomla!は、細工されたURLリクエストをreleasenote.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ACCESSGUARDIAN──────────────────────────
ACCESSGUARDIANは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:3.0.14、3.5.6
影響を受ける環境:UNIX、Linux、Windows
回避策:3.0.16あるいは3.5.9以降へのバージョンアップ

▽AjaxChat component for Joomla!──────────────────
AjaxChat component for Joomla!は、細工されたURLリクエストをajcuser.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pentaho Business Intelligence──────────────────
Pentaho Business Intelligence(BI)は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/16 登録

危険度:中
影響を受けるバージョン:1.2 RC2、1.2 RC3、1.7.0.1062
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Achievo─────────────────────────────
Achievoは、dispatch.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/14 登録

危険度:中
影響を受けるバージョン:1.1.0、1.2.0、1.2.1、1.3.2、1.3.4
影響を受ける環境:UNIX、Linux、Windows
回避策:1.4以降へのバージョンアップ

▽phpMyAdmin────────────────────────────
phpMyAdminは、特定されていないスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/14 登録

危険度:中
影響を受けるバージョン:2.11.9、3.0、3.1.0、3.2.0 rc1
影響を受ける環境:UNIX、Linux、Windows
回避策:3.2.2.1あるいは2.11.9.6以降へのバージョンアップ

▽ELinks──────────────────────────────
ELinksは、entity_cacheが適切なチェックを行っていないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/05 登録

危険度:低
影響を受けるバージョン:0.11.1〜0.11.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Links──────────────────────────────
Linksは、smb:// URLを適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2006/11/16 登録

危険度:中
影響を受けるバージョン:1.00pre12
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FormMax─────────────────────────────
FormMaxは、細工された.aimファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/10/22 登録

危険度:
影響を受けるバージョン:3.5
影響を受ける環境:Windows
回避策:公表されていません

▽EMC RepliStor──────────────────────────
EMC RepliStorは、細工されたデータをRepliStor server(rep_serv.exe)に送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:6.3.1.3
影響を受ける環境:Windows
回避策:公表されていません

▽Overland Storage Snap Server 410─────────────────
Overland Storage Snap Server 410は、ユーザ入力を適切にチェックしていないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。
2009/10/22 登録

危険度:高
影響を受けるバージョン:Snap Server 410、GuardianOS 5.1.041
影響を受ける環境:Overland Storage Snap Server 410
回避策:公表されていません

▽Innovation Data Processing FDR──────────────────
Innovation Data Processing FDRは、ポートスキャンユーティリティのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを停止される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Innovationdp FDR
回避策:公表されていません

▽Blue Coat Director────────────────────────
Blue Coat Directorは、細工されたTCPパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを応答不能にされる可能性がある。 [更新]
2009/10/21 登録

危険度:低
影響を受けるバージョン:5.1.4.2
影響を受ける環境:Blue Coat Director
回避策:ベンダの回避策を参照

▽IBM Rational AppScan───────────────────────
IBM Rational AppScanは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:5.5.0.2
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Battle Blog───────────────────────────
Battle Blogは、comment.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/07/21 登録

危険度:中
影響を受けるバージョン:1.25
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CamlImages────────────────────────────
CamlImagesは、過度に大きい幅と高さの値を持つ細工されたTIFFイメージを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/10/22 登録

危険度:高
影響を受けるバージョン:2.2
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Piwik──────────────────────────────
Piwikは、ofc_upload_image.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2009/10/21 登録

危険度:高
影響を受けるバージョン:0.4.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Poppler─────────────────────────────
Popplerは、細工されたPDFファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/19 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Xpdf───────────────────────────────
XpdfおよびXpdfが含まれるPoppler、CUPSは、細工されたPDFファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/16 登録

危険度:高
影響を受けるバージョン:Xpdf 3.0〜3.02 pl3、Poppler 0.3.2〜0.10.6、Cups 1.3.11
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽poppler─────────────────────────────
popplerは、細工されたPDFファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/02/17 登録

危険度:低
影響を受けるバージョン:0.10.3
影響を受ける環境:UNIX、Linux
回避策:0.10.4以降へのバージョンアップ

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、netlinkサブシステムが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.4.1〜2.4.37.5、2.6.0〜2.6.12.6
影響を受ける環境:Linux
回避策:2.4.37.6あるいは2.6.13-rc1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、特定のtcmの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.4.1〜2.4.37.6、2.6.0〜2.6.32 rc4
影響を受ける環境:Linux
回避策:2.6.32-rc5以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ISC BIND 9.7.x 系────────────────────────
ISC BIND 9.7.0b1がリリースされた。
http://www.isc.org/sw/bind/

▽WordPress────────────────────────────
WordPress 2.8.5 日本語版がリリースされた。
http://ja.wordpress.org/

▽Zend Server───────────────────────────
Zend Server 5.0がリリースされた。
http://www.zend.com/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc5-git2がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
IPA/ISEC、NIST SP800-76-1 個人識別情報の検証における生体認証データ仕様(改訂版) の翻訳を公開
http://www.ipa.go.jp/security/publications/nist/index.html

▽トピックス
国民生活センター、「個人情報相談」に関する相談の概要
http://www.kokusen.go.jp/news/data/n-20091021_2.html

▽トピックス
クリアスウィフト、他社製Webセキュリティ製品利用ユーザ向けにClearswift Web Applianceを特価提供開始
http://www.clearswift.com/jp/news/press-releases/web-clearswift-web-appliance-web

▽トピックス
ギデオン、ウィルス付きスパムメール大量配信の動向
http://www.gideon.co.jp/security/security_now/#20091021

▽トピックス
エフセキュアブログ、アラスカ譲渡記念日とSEO攻撃
http://blog.f-secure.jp/archives/50294375.html

▽トピックス
Panda Security:ブログ、ハロウィン特別ディスカウント実施中
http://pandajapanblogs.blogspot.com/2009/10/blog-post.html

▽トピックス
WILLCOM、Windows(R)7への対応について
http://www.willcom-inc.com/ja/info/09102201.html

▽トピックス
京セラコミュニケーションシステム、東京第3 D@TA Centerを開設
http://www.kccs.co.jp/press/release/091022.html

▽トピックス
日本IBM、安全かつ低価格な企業向けパブリック・クラウドの新サービス
http://www-06.ibm.com/jp/press/2009/10/2102.html

▽トピックス
ミラポイントジャパン、メールアーカイブ専用アプライアンスサーバ「RazorSafe」に最新版ソフトウェアを搭載
http://www.mirapoint.co.jp/news/20091022.php

▽トピックス
エム・ピー・テクノロジーズのUSB型シンクライアント「Resalio Lynx」の新バージョン2.1.3、日立ソフトのクラウドサービス「SecureOnline」に採用
http://www.mptech.co.jp/news/press/pr091020_01.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.567.80 (10/22)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽サポート情報
トレンドマイクロ、マルウェアDCT:1064 (10/21)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽ウイルス情報
シマンテック、Trojan.FakeAV!gen6
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-102111-3142-99

◆アップデート情報◆
───────────────────────────────────
●Turbolinuxがstarsuiteのアップデートをリリース
───────────────────────────────────
 Turbolinuxがstarsuiteのアップデートをリリースした。このアップデートによって、starsuiteにおける複数の問題が修正される。


Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Ubuntu Linuxがelinksおよびpopplerのアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがelinksおよびpopplerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN) 画像

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN)
Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN) 画像

Apacheが「Tomcat」の複数の脆弱性を解消するアップデート、適用を呼びかけ(JVN)
TwitterでNintendo Switchの購入希望者を狙った詐欺が横行 画像

TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)
IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア) 画像

IoT機器の遠隔操作を狙う通信が1年で6.4倍に増加--年次レポート(NRIセキュア)

研修・セミナー・カンファレンス 記事一覧へ

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱
これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶 画像

これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 改ざんやDDoS攻撃などWebサイトの被害が増加、サイトの点検を呼びかけ(JPCERT/CC)

    改ざんやDDoS攻撃などWebサイトの被害が増加、サイトの点検を呼びかけ(JPCERT/CC)

  2. バッファロー製の無線LAN製品に複数の脆弱性(JVN)

    バッファロー製の無線LAN製品に複数の脆弱性(JVN)

  3. Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

    Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

  4. OSPFプロトコルを実装する複数の製品に、DoS攻撃を受けるなどの脆弱性(JVN)

  5. 組込みソフト搭載の専用機器からSSHへのパケットが増加--定点観測レポート(JPCERT/CC)

  6. バッファロー製の無線LANルータに、任意のコードを実行される脆弱性(JVN)

  7. WindowsのLNKにリモートから任意のコードを実行される脆弱性(JVN)

  8. TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

  9. 海外製デジタルビデオレコーダへのアクセスが増加、脆弱性悪用のおそれ(警察庁)

  10. バッファロー製の無線LANルータにOSコマンド実行の脆弱性(JVN)

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×