セキュリティホール情報<2009/11/04> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.10.18(水)

セキュリティホール情報<2009/11/04>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Adobe Shockwave Player──────────────────────
Adobeは、Adobe Shockwave Playerのセキュリティアップデートを公開した。このアップデートによって、リモートからコードを実行されるなど複数のセキュリティホールが解消される。
2009/11/04 登録

危険度:高
影響を受けるバージョン:11.5.1.601以前
影響を受ける環境:Mac OS X、Windows
回避策:11.5.2.602以降へのバージョンアップ

▽Novell eDirectory────────────────────────
Novell eDirectoryは、NULL BaseDNを含む細工されたLDAP searchリクエストをTCP 389ポートに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを応答不能にされる可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:8.7.3、8.8
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Serv-U WebClient─────────────────────────
Serv-U WebClientは、過度に長いセッションクッキーを含む細工されたHTTP PSOTリクエストを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりServ-U.exeサービスをクラッシュされる可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:9.0.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Twilight CMS───────────────────────────
Twilight CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/04 登録

危険度:中
影響を受けるバージョン:4.0
影響を受ける環境:UNIX、Linux、Windows
回避策:4.1以降へのバージョンアップ

▽PSArt──────────────────────────────
PSArtは、細工されたSQLステートメントをnews.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/11/04 登録

危険度:中
影響を受けるバージョン:1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IBM Runtimes for Java Technology─────────────────
IBM Runtimes for Java Technologyは、XML4JコンポーネントがXML解析することに関連する公表されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/11/04 登録

危険度:中
影響を受けるバージョン:5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Jumi component for Joomla!────────────────────
Jumi component for Joomla!は、modules/mod_mainmenu/tmpl/.config.phpのバックドアが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:2.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽CubeCart─────────────────────────────
CubeCartは、admin.phpスクリプトのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2009/11/02 登録

危険度:中
影響を受けるバージョン:2.0〜2.04、3.0.3〜3.0.16、4.2.1〜4.3.4
影響を受ける環境:UNIX、Linux、Windows
回避策:4.3.5以降へのバージョンアップ

▽Mura CMS─────────────────────────────
Mura CMSは、blog/index.cfmスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/11/02 登録

危険度:中
影響を受けるバージョン:5.1.937
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽F-Secure製品───────────────────────────
複数のF-Secure製品は、細工されたPDFファイルによってマルウェア検出システムを回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをマルウェアに感染される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:F-Secure Anti-Virus 8.0ほか、F-Secure Internet Security 2009以前、F-Secure Home Server Security 2009、ほか
影響を受ける環境:Linux、Windows
回避策:ベンダの回避策を参照

▽LDAP Integration module for Drupal────────────────
LDAP Integration module for Drupalは、ユーザ管理アクセスルールを適切に処理していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセスを実行される可能性がある。[更新]
2009/11/02 登録

危険度:中
影響を受けるバージョン:5.x-1.0〜1.3、6.x-1.0 alpha 1〜beta 1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Insert Node module for Drupal──────────────────
Insert Node module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:5.x-1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽OpenSocial Shindig-Integrator module for Drupal─────────
OpenSocial Shindig-Integrator module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:6.x-2.0、2.0 alpha 1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽FAQ Ask module for Drupal────────────────────
FAQ Ask module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:5.x-1.0〜1.3、6.x-1.0〜2.0 alpha 1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽CCK Comment Reference module for Drupal─────────────
CCK Comment Reference module for Drupalは、autocompleteパスを適切に制限していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレータ用のコメントを閲覧される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:5.x-1.0、1.1、6.x-1.0〜1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Storm module for Drupal─────────────────────
Storm (SpeedTech Organization and Resource Manager) module for Drupalは、storminvoiceitemノードのセットを適切に制限していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に制限されたノードタイトルに無許可のアクセスを実行される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:6.x-1.0〜1.24
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Workflow module for Drupal────────────────────
Workflow module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:5.x-1.0〜2.3、6.x-1.0〜1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.4未満、3.0.15未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽TFTGallery────────────────────────────
TFTGalleryは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/28 登録

危険度:中
影響を受けるバージョン:0.13
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Oracle製品────────────────────────────
Oracleは、複数の製品に対するパッチを公開した。このパッチの適用によって、それぞれのセキュリティホールが解消される。 [更新]
2009/10/21 登録

危険度:中
影響を受けるバージョン:Oracle BEA WebLogic Serverほか
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Hyperic HQ────────────────────────────
Hyperic HQは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/07 登録

危険度:中
影響を受けるバージョン:3.2、4.0、4.1、4.2 beta1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft SharePoint Server───────────────────
Microsoft SharePoint Serverは、download.aspxスクリプトがユーザ入力を適切にチェックしていないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上にあるASP.NETファイルのソースコードを閲覧される可能性がある。 [更新]
2009/10/27 登録

危険度:低
影響を受けるバージョン:2007
影響を受ける環境:Microsoft SharePoint Server
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Panda Internet Security─────────────────────
Panda Internet Securityは、'Everyone'グループに'Full'アクセスコントロールを設定することが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に任意のコードを実行される可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:2010 Build 15.01.00
影響を受ける環境:Winodws
回避策:公表されていません

▽Symantec Altiris ConsoleUtilities ActiveX control────────
Symantec Altiris ConsoleUtilities ActiveX control(AeXNSConsoleUtilities.dll)は、BrowseAndSaveFile() メソッドに過度に長いストリングアーギュメントを渡す細工されたWebページを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:Altiris Deployment Solution 6.9 SP1、6.9、6.9 Build 430 SP3、6.9.164、6.9.176、6.9.355、6.9.355 SP1、Altiris Notification Server 6.0、6.0 SP1、6.0 SP3、6.0 SP3 R7、6.0 SP2、Management Platform 7.0、7.0 SP1
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽SafeNet SoftRemote────────────────────────
SafeNet SoftRemoteは、細工された'TREENAME'あるいは'GROUPNAME'値を含むspdファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されシステム上で任意のコードを実行される可能性がある。 [更新]
2009/11/02 登録

危険度:高
影響を受けるバージョン:10.8.9未満
影響を受ける環境:Winodws
回避策:10.8.9以降へのバージョンアップ

▽2Wire Gateway──────────────────────────
2Wire Gatewayは、細工されたHTTPリクエストをリモートマネージメントインタフェースに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスの再起動を余儀なくされる可能性がある。 [更新]
2009/11/02 登録

危険度:低
影響を受けるバージョン:5.29.52以前
影響を受ける環境:2Wire Gateway 1700HG、1701HG、1800HW、2071、2700HG、2701HG-T
回避策:ベンダの回避策を参照

▽Intel Desktop Board───────────────────────
複数のIntel Desktop Boardモデルは、BIOS Bitmap processing codeが適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に高い権限で任意のコードを実行されたりシステムをクラッシュされる可能性がある。 [更新]
2009/11/02 登録

危険度:高
影響を受けるバージョン:DQ35JO Desktop Board、DQ35MP Desktop Board、DQ45CB Desktop Board、DQ45EK Desktop Board
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Rising製品────────────────────────────
Rising製品は、インストレーションディレクトリに適切なパーミッションを設定していないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に任意のコードを実行される可能性がある。 [更新]
2009/10/30 登録

危険度:高
影響を受けるバージョン:Rising Antivirus 2009 21.55.12、Rising Firewall 2009 21.55.12、Rising Internet Security 2009 21.56.32
影響を受ける環境:Windows
回避策:公表されていません

▽SEILルータ────────────────────────────
SEILルータは、細工されたパケットを送ることなどによって複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバッファオーバーフローを引き起こされたりDoS攻撃を受ける可能性がある。 [更新]
2009/10/29 登録

危険度:高
影響を受けるバージョン:firmware 2.30〜2.51、
影響を受ける環境:SEIL/XシリーズおよびSEIL/B1
回避策:ベンダの回避策を参照

▽VMware製品────────────────────────────
VMwareは、VMware製品に対するセキュリティアドバイザリを公開した。これにより、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度:高
影響を受けるバージョン:VMware Workstation 6.5.2以前ほか
影響を受ける環境:VMware製品
回避策:ベンダの回避策を参照

▽Aruba Mobility Controller────────────────────
Aruba Mobility Controllerは、細工されたwireless associationリクエストフレームによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/28 登録

危険度:低
影響を受けるバージョン:3.3.1.x、3.3.2.x、RN 3.1.x、3.4.x、3.3.2.x-FIPS
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽Open Handset Alliance Android──────────────────
Open Handset Alliance Androidは、細工されたSMS WAP Pushメッセージを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスの再起動を余儀なくされる可能性がある。 [更新]
2009/10/07 登録

危険度:低
影響を受けるバージョン:1.5 CRBxx
影響を受ける環境:Open Handset Alliance Android
回避策:ベンダの回避策を参照

▽Palm Pre WebOS──────────────────────────
Palm Pre WebOSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/07 登録

危険度:中
影響を受けるバージョン:1.0.3、1.0.4、1.1
影響を受ける環境:Palm Pre WebOS
回避策:1.20以降へのバージョンアップ

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mahara──────────────────────────────
Maharaは、institutionアドミニストレータアカウントを適切に制限していないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、攻撃者にアドミニストレータのパスワードをリセットされる可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:1.0.12以前、1.1.6以前
影響を受ける環境:UNIX、Linux
回避策:1.0.13あるいは1.1.7以降へのバージョンアップ

▽Oscailt─────────────────────────────
Oscailtは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:3.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Asterisk─────────────────────────────
Asteriskは、SIP INVITEアクセス制御リストのチェックに失敗することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にネットワーク上でコールを実行される可能性がある。[更新]
2009/10/28 登録

危険度:
影響を受けるバージョン:1.6.1〜1.6.1.8未満
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Poppler─────────────────────────────
Popplerは、細工されたPDFファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/19 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Xpdf───────────────────────────────
XpdfおよびXpdfが含まれるPoppler、CUPSは、細工されたPDFファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/16 登録

危険度:高
影響を受けるバージョン:Xpdf 3.0〜3.02 pl3、Poppler 0.3.2〜0.10.6、Cups 1.3.11
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽GNU wget─────────────────────────────
GNU wgetは、細工されたSSL証明書によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。 [更新]
2009/09/03 登録

危険度:
影響を受けるバージョン:1.x
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、'net/sched/sch_api.c'のtc_fill_tclass() 機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリの一部を参照される可能性がある。
2009/11/04 登録

危険度:
影響を受けるバージョン:2.4.x〜2.4.37.6、2.6.x〜2.6.31-rc9
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、lookup_cb_cred機能のNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31.1
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、KVM (Kernel-based Virtual Machine) handle_dr機能がレジスタのデバッグを行う前のCurrent Privilege Level (CPL)を適切に処理していないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータをアクセス不能にされる可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31 rc2
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Sun Java System Web Server────────────────────
Sun Java System Web Serverは、バッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。
2009/11/04 登録

危険度:高
影響を受けるバージョン:7.0U6
影響を受ける環境:Linux
回避策:公表されていません

▽Linux Kernel───────────────────────────
Linux Kernelは、r8169.c ドライバのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。
2009/10/19 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.26.4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、ecryptfs/inode.cのNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にkernel OOPSを引き起こされる可能性がある。[更新]
2009/10/13 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31 rc4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、O_EXCLがinodeの生成に失敗した際に適切な消去を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/10/02 登録

危険度:高
影響を受けるバージョン:2.6.18
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、Red Hat Enterprise Linux (RHEL) 上で動作するSELinuxのallow_unconfined_mmap_low booleanデフォルト設定におけるallow_unconfined_mmap_lowおよびmmap_min_addr保護機能などのNULL pointer dereferenceエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/09/01 登録

危険度:高
影響を受けるバージョン:2.6.23〜2.6.31 rc3
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris Sockets Direct Protocol (SDP) driver (sdp(7D)) が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者に利用可能なカーネルメモリをすべて消費される可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:Sun Solaris 10
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris Trusted Extensionが原因でスクリーンがロックされないセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:Sun Solaris 10
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<BSD>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽NetBSD / OpenBSD─────────────────────────
NetBSDおよびOpenBSDは、printf(1) 機能のフォーマットストリングが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/11/04 登録

危険度:低
影響を受けるバージョン:NetBSD 5.0.1、OpenBSD 4.6
影響を受ける環境:NetBSD、OpenBSD
回避策:公表されていません

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽KDE 4.3.x 系───────────────────────────
KDE 4.3.3がリリースされた。
http://kde.org/

▽秀丸エディタ持ち出しキット────────────────────
秀丸エディタ持ち出しキット 2.02がリリースされた。
http://hide.maruo.co.jp/software/hmtakeout.html

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc6がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc5-git6がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、IPv6によるインターネット高度利用化に関する研究会IPv6によるモノのインターネット社会ワーキンググループ(第3回会合)議事概要
http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/ipv6_internet/20619_7.html

▽トピックス
総務省、IPv4アドレス在庫枯渇対応に関する広報戦略ワーキンググループ(第5回)
http://www.soumu.go.jp/main_sosiki/joho_tsusin/policyreports/chousa/ipv6_internet/20912.html

▽トピックス
警察庁、振り込め詐欺被害者が現金等を送付した住所の公表について
http://www.npa.go.jp/pressrelease/souni/furikome_jyusyo.pdf

▽トピックス
JPCERT/CC、「技術メモ − MACtime からわかるファイル操作」を公開
http://www.jpcert.or.jp/ed/index.html#year2009

▽トピックス
JPCERT/CC、JPCERT/CC 認証局 CPS 改訂のお知らせ
http://www.jpcert.or.jp/jpcert-ca/index.html

▽トピックス
IPA/ISEC、「生体認証システムの導入・運用事例集」改訂版等の公開
http://www.ipa.go.jp/security/fy20/reports/bio_sec/index.html

▽トピックス
IPA、暗号モジュール試験及び認証制度の運用の改正について
http://www.ipa.go.jp/about/press/20091102-2.html

▽トピックス
IPA、暗号モジュール試験及び認証制度における新規格への移行について
http://www.ipa.go.jp/about/press/20091102.html

▽トピックス
JPRS、国際化ドメイン名の導入に関する「ファストトラックプロセス」の開始について
http://jpinfo.jp/topics/091102.html

▽トピックス
JPNIC、障害報告:APNIC逆引きネームサーバの障害について
http://www.nic.ad.jp/ja/topics/2009/20091102-01.html

▽トピックス
フィッシング対策協議会、2009/10 フィッシング情報届出状況
http://www.antiphishing.jp/information/information1016.html

▽トピックス
トレンドマイクロ、定期サーバメンテナンスのお知らせ(2009年11月13日)
http://www.trendmicro.co.jp/support/news.asp?id=1316

▽トピックス
エフセキュアブログ、「m00p」事件
http://blog.f-secure.jp/archives/50299425.html

▽トピックス
マイクロソフト:ブログ、セキュリティ インテリジェンス レポート第7版(2009年上半期)
http://blogs.technet.com/jpsecurity/archive/2009/11/03/3290913.aspx

▽トピックス
NTTドコモ、HSUPA5.7Mbpsに対応したExpressCard型データ通信端末「L-07A」を発売
http://www.nttdocomo.co.jp/info/news_release/page/091102_00.html

▽トピックス
NTTコミュニケーションズ、マレーシアにおける国際広域イーサネットサービス「グローバルe-VLAN」の提供開始について
http://www.ntt.com/serviceinfo/monthinfo/detail/20091102.html

▽トピックス
NTTほか、家電・オフィス機器などをネットワークにつなぐことでより豊かで便利な暮らしを実現するトライアルを開始
http://www.ntt.co.jp/news/news09/0911/091102a.html

▽トピックス
KDDI、日本〜米国間光海底ケーブル「Unity」の日本側陸揚げ工事完了について
http://www.kddi.com/corporate/news_release/2009/1102a/index.html

▽トピックス
京セラコミュニケーションシステムとインターナショナルシステムリサーチがGoogle Apps対応添付ファイルセキュリティソリューションの提供で協業
http://www.kccs.co.jp/press/release/091104.html

▽トピックス
日立情報システムズ、電子自治体ソリューション「e-ADWORLD2」の新サービス開始について
http://www.hitachijoho.com/news/2009/091104.html

▽トピックス
総合システムサービス、簡単で、安全な暗号ソフトウェア SecretX秘匿復号(V3.0.0.0) 販売のお知らせ
http://secretx.sgs.co.jp/

▽ウイルス情報
トレンドマイクロ、TROJ_MONKIF.M
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FMONKIF%2EM

▽ウイルス情報
シマンテック、OSX.Loosemaque
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-110309-3638-99

▽ウイルス情報
シマンテック、Trojan.Tdlload
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-110218-0854-99

▽ウイルス情報
マカフィー、Generic BackDoor!bdm
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20BackDoor%21bdm

◆アップデート情報◆
───────────────────────────────────
●Vine Linuxがmeldのアップデートをリリース
───────────────────────────────────
 Vine Linuxがmeldのアップデートをリリースした。このアップデートによって、新規に比較する際に、参照ボタンから"開く"を選択してもファイルが開けない問題が修正される。


Vine Linux 最近発行された Errata
http://www.vinelinux.org/index.html

───────────────────────────────────
●Ubuntu Linuxがpopplerのアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがpopplerのアップデートをリリースした。このアップデートによって、popplerにおける複数の問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/

───────────────────────────────────
●Slackwareがmozilla-firefoxのアップデートをリリース
───────────────────────────────────
 Slackwareがmozilla-firefoxのアップデートをリリースした。このアップデートによって、mozilla-firefoxにおける複数の問題が修正される。


Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2008

───────────────────────────────────
●RedHat Linuxが複数のアップデートをリリース
───────────────────────────────────
 RedHat Linuxがkernel、wget、lvm2、iptablesのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSに潜在する訴訟・脆弱性リスク

    OSSに潜在する訴訟・脆弱性リスク

  2. 「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

    「JP1/秘文」で作成した自己復号型機密ファイルに、DLL読込に関する脆弱性(HIRT)

  3. 「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

    「DLL読み込み」の脆弱性の公表件数が急増、対策方法を紹介(IPA)

  4. Apache Struts 2 において REST プラグインでの XML データ処理の不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  5. Apache Tomcat において値検証不備により JSP ファイルがアップロード可能となる脆弱性(Scan Tech Report)

  6. 10月10日に「Office 2007」の延長サポートが終了、しかし40万台が今も利用(トレンドマイクロ)

  7. Apache Tomcatにおける、任意のファイルをアップロードされる脆弱性を検証(NTTデータ先端技術)

  8. マイクロソフトが10月のセキュリティ更新プログラムを公開、すでに悪用も(IPA)

  9. インシデントは「スキャン」が半数、フィッシングサイト報告件数は千件超え(JPCERT/CC)

  10. 偽の警告文を表示する詐欺サイトが急増、警察庁を装い罰金を要求するケースも(キヤノンITS)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×