セキュリティホール情報＜2009/11/10＞

脆弱性と脅威セキュリティホール・脆弱性

2009年11月10日（火） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security（TLS）プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度：中
影響を受けるバージョン：Apache 2.2.8、2.2.9、Microsoft IIS 7.0、7.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽eoCMS──────────────────────────────
eoCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/11/06 登録

危険度：中
影響を受けるバージョン：0.9、0.9.01
影響を受ける環境：UNIX、Linux、Windows
回避策：0.9.02以降へのバージョンアップ

▽Shibboleth Identity / Service Provider──────────────
Shibboleth Identity / Service Providerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/11/05 登録

危険度：中
影響を受けるバージョン：1.3.4、2.1.5
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Roundcube Webmail────────────────────────
Roundcube Webmailは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。[更新]
2009/11/05 登録

危険度：中
影響を受けるバージョン：0.1、0.1 Alpha、0.1 Rc1、0.1.1、0.2 stable、0.2 Alpha、0.2.2
影響を受ける環境：UNIX、Linux、Windows
回避策：0.3以降へのバージョンアップ

▽STRsvc.exe搭載製品────────────────────────
STRsvc.exeを搭載する複数の製品は、TCP 10500ポートに細工されたパケットを送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/30 登録

危険度：高
影響を受けるバージョン：EMC Documentum eRoom 7.4.1、OpenText Search Server 6.0、6.1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度：高
影響を受けるバージョン：Firefox 3.5.4未満、3.0.15未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽PostgreSQL────────────────────────────
PostgreSQLは、細工された正規表現を含んでいるSQLの問合せを送信されることなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2008/01/09 登録

危険度：
影響を受けるバージョン：7.3.21未満、7.4.19、8.0.15、8.1.11、8.2.6
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽mod_perl─────────────────────────────
mod_perlは、path_infoパラメータを適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2007/04/02 登録

危険度：低
影響を受けるバージョン：1.x、2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：対策版へのバージョンアップ

▽PostgreSQL────────────────────────────
PostgreSQLは、SQL機能チェックと関係のある未知のセキュリティホールが存在する。この問題が悪用されると、リモートおよびローカルの攻撃者に機密情報を奪取されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2007/02/06 登録

危険度：中
影響を受けるバージョン：8.0、8.1、8.2
影響を受ける環境：UNIX、Linux、Windows
回避策：8.2.2、8.1.7および8.0.11以降へのバージョンアップ

▽PostgreSQL────────────────────────────
PostgreSQLは、多バイトでコードされた文字を含む細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改ざんやデータの盗難などを実行される可能性がある。[更新]
2006/05/25 登録

危険度：中
影響を受けるバージョン：7.3.15未満、7.4.13未満、8.0.8未満、8.1.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：7.3.15以降、7.4.13以降、8.0.8以降および8.1.4以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、細工されたWebサイトにアクセスすることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブラウザを応答不能にされる可能性がある。
2009/11/10 登録

危険度：
影響を受けるバージョン：6、7
影響を受ける環境：Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SafeNet SoftRemote────────────────────────
SafeNet SoftRemoteは、細工された'TREENAME'あるいは'GROUPNAME'値を含むspdファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格されシステム上で任意のコードを実行される可能性がある。 [更新]
2009/11/02 登録

危険度：高
影響を受けるバージョン：10.8.9未満
影響を受ける環境：Winodws
回避策：10.8.9以降へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Asterisk─────────────────────────────
Asteriskは、細工されたREGISTERメッセージを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に正当なユーザ名を閲覧される可能性がある。 [更新]
2009/11/06 登録

危険度：低
影響を受けるバージョン：1.6.1.5ほか
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Pidgin──────────────────────────────
Pidginは、oscar protocol pluginのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に細工されたICQメッセージによってアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/19 登録

危険度：低
影響を受けるバージョン：2.4.0〜2.6.2
影響を受ける環境：UNIX、Linux
回避策：2.6.3以降へのバージョンアップ

▽mod_perl─────────────────────────────
mod_perlは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/04/08 登録

危険度：中
影響を受けるバージョン：2.0.4以前
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、pipe_read_open()、pipe_write_open()、pipe_rdwr_open() pipe.c機能のNULL pointer dereferenceエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/06 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.32 rc4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、af_unix.cのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをハングアップされる可能性がある。 [更新]
2009/10/27 登録

危険度：低
影響を受けるバージョン：2.2.27、2.4.1〜2.4.37.6、2.6.0〜2.6.31.4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、特定のtcmの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。
2009/10/22 登録

危険度：低
影響を受けるバージョン：2.4.1〜2.4.37.6、2.6.0〜2.6.32 rc4
影響を受ける環境：Linux
回避策：2.6.32-rc5以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、AppleTalkプロトコルカーネルモジュールのメモリリークエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリリソースを過度に消費される可能性がある。 [更新]
2009/09/16 登録

危険度：低
影響を受けるバージョン：2.4.33〜2.6.31 rc7
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Virtual Infrastructure────────────────────
Sun Virtual Infrastructure（VDI）は、認証メカニズムのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にVirtualBox Webサービスへの無許可のアクセスを実行される可能性がある。 [更新]
2009/11/05 登録

危険度：中
影響を受けるバージョン：Sun Solaris 10、VDI Software 3.0
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。
2009/11/10 登録

危険度：
影響を受けるバージョン：10.6、10.5
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽KTorrent─────────────────────────────
KTorrent 3.3がリリースされた。
http://www.kde-apps.org/content/show.php/KTorrent?content=26353

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.52.01がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc6-git4がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31.6がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27.39がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
国民生活センター、国民生活センターで受付けた「架空請求に関する相談」における業者名等（10月分）
http://www.kokusen.go.jp/soudan_now/kakuseikyu_list_ncac/kakuseikyu_list_ncac200910.html

▽トピックス
国民生活センター、架空請求に関する相談件数が多い業者名リスト
http://www.kokusen.go.jp/soudan_now/kakuseikyu_list.html

▽トピックス
トレンドマイクロ、コラボレーション環境のセキュリティ強化を促進する「Trend Micro Collaboration Security」を12月18日より発売
http://jp.trendmicro.com/jp/about/news/pr/article/20091109014254.html

▽トピックス
フォーティネット、フォーティネットウイルス対処状況レポート(2009年10月度)
http://www.fortinet.co.jp/news/pr/2009/pr110909.html

▽トピックス
ソースネクスト、システム障害・復旧のお知らせ（2009年11月9日）
http://www.sourcenext.info/information.html

▽トピックス
エフセキュアブログ、フィッシングがフィッシングでは無い場合
http://blog.f-secure.jp/archives/50302115.html

▽トピックス
エフセキュアブログ、RE 「AVAR 2009」からこんにちは！
http://blog.f-secure.jp/archives/50301788.html

▽トピックス
エフセキュアブログ、初のiPhoneワームを発見
http://blog.f-secure.jp/archives/50301814.html

▽トピックス
エフセキュアブログ、判決
http://blog.f-secure.jp/archives/50301808.html

▽トピックス
au、ぷりペイドサービス−メンテナンス工事のお知らせ
http://www.notice.kddi.com/news/mainte/content/syougai/au_04_00004226.html

▽トピックス
ソフトバンクモバイル、高速パケット通信を実現する「ケータイWi-Fi」の提供について
http://broadband.mb.softbank.jp/corporate/release/pdf/20091110_3j.pdf

▽トピックス
ソフトバンクモバイル、「ケータイWi-Fi チャンネル」の提供開始について
http://broadband.mb.softbank.jp/corporate/release/pdf/20091110_2j.pdf

▽トピックス
イー・モバイル、『EMOBILE通信サービス』有料サービス開始後2年半で200万契約を突破
http://www.emobile.jp/cgi-bin/press.cgi?id=709

▽トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『Adobe Reader、及び、Acrobatの脆弱性（CVE-2009-2994）に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091109_1.pdf

▽トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『TrueCryptに対するEvil Maid攻撃に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091109.pdf

▽トピックス
KDDI、通信モジュール契約数の100万回線突破について
http://www.kddi.com/corporate/news_release/2009/1109/index.html

▽トピックス
チェック・ポイント、「Mobile Data Protection Magic Quadrant」でリーダー・クアドラントとして位置づけられる
http://www.checkpoint.co.jp/pr/2009/20091109gartner-magic-quadrant.html

▽トピックス
G DATA、中高生ソフトアイデアコンテストを後援　セキュリティソフト贈呈
http://gdata.co.jp/press/archives/2009/11/26.htm

▽トピックス
日本CA、「特権ユーザ・パスワード管理」機能を追加したアクセス管理ソリューションを発表
http://www.ca.com/jp/press/release.aspx?cid=221587

▽トピックス
NEC、オラクルのデータベース製品への対応を強化
http://www.nec.co.jp/press/ja/0911/1001.html

▽トピックス
富士通、インターネットを利用して購買システムを短期間に強化・構築するSaaS型購買取引サービスを提供開始
http://pr.fujitsu.com/jp/news/2009/11/10.html

▽トピックス
富士通SSL「Webサイトソリューション」を強化・拡充
http://www.ssl.fujitsu.com/release/2009/11/9.html

▽トピックス
NSW、中小企業向けクラウドソリューションを提供
http://www.nsw.co.jp/topics/tpcs_20091110_BlueSpider2.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.613.80 (11/10)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽セミナー情報
NRIセキュア、情報セキュリティソリューションセミナー（より使いやすいセキュリティ特集）（11月26日開催）
http://www.nri-secure.co.jp/seminar/2009/1126.html

▽セミナー情報
NRIセキュア、GranArch［グランアーク］セキュリティマネジメントセミナー（11月13日開催）
http://www.nri-secure.co.jp/seminar/2009/1113.html

▽統計・資料
IPA/ISEC、PacSec 2009 の講演資料を掲載
http://www.ipa.go.jp/security/vuln/index.html#seminar

▽ウイルス情報
シマンテック、Backdoor.Pfinet
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-110919-1741-99

▽ウイルス情報
マカフィー、W32/Akbot.gen.a
http://www.mcafee.com/japan/security/virA.asp?v=W32/Akbot.gen.a

▽ウイルス情報
マカフィー、Bredolab.gen.h
http://www.mcafee.com/japan/security/virB.asp?v=Bredolab.gen.h

◆アップデート情報◆
───────────────────────────────────
●Debianがpidginのアップデートをリリース
───────────────────────────────────
　Debianがpidginのアップデートをリリースした。このアップデートによって、pidginにおける問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●AppleがMac OS Xのセキュリティアップデートをリリース
───────────────────────────────────
　AppleがMac OS Xのセキュリティアップデートをリリースした。このアップデートによって、複数の問題が修正される。

アップルコンピュータ
http://support.apple.com/kb/HT3865

───────────────────────────────────
●MIRACLE Linuxがpostgresqlのアップデートをリリース
───────────────────────────────────
　Miracle Linuxがpostgresqlのアップデートをリリースした。このアップデートによって、postgresqlにおける複数の問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●RedHat Linuxがdbus-pythonおよびlibvorbisのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがdbus-pythonおよびlibvorbisのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

《ScanNetSecurity》