セキュリティホール情報＜2009/11/12＞

脆弱性と脅威セキュリティホール・脆弱性

2009年11月12日（木） 15時30分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽CuteNews─────────────────────────────
CuteNewsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/12 登録

危険度：中
影響を受けるバージョン：1.4.6
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Sun Java SE───────────────────────────
Sun Java SEは、SwingインプリメンテーションのWindows Pluggable Look and Feel (PL&F) 機能に特定されていない複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/11/12 登録

危険度：高
影響を受けるバージョン：1.1.5.0 Update1〜21、1.1.6.0 Update1〜16
影響を受ける環境：UNIX、Linux、Windows
回避策：1.5.0_22あるいは1.6.0_17 (6u17) 以降へのバージョンアップ

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、Administration Consoleのユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/12 登録

危険度：中
影響を受けるバージョン：6.1、7.0
影響を受ける環境：UNIX、Linux、Windows
回避策：6.1.0.29あるいは7.0.0.7以降へのバージョンアップ

▽Super Serious Stats───────────────────────
Super Serious Statsは、細工されたSQLステートメントをuser.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/11/12 登録

危険度：中
影響を受けるバージョン：1.1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：1.1.2p1以降へのバージョンアップ

▽Deliantra server─────────────────────────
Deliantra serverは、empty treasureリストと関連するエラーが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/11/11 登録

危険度：高
影響を受けるバージョン：2.7〜2.81
影響を受ける環境：UNIX、Linux、Windows
回避策：2.82以降へのバージョンアップ

▽Blender─────────────────────────────
Blenderは、細工された.blendプロジェクトファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2009/11/09 登録

危険度：高
影響を受けるバージョン：2.34、2.35a、2.40、2.49b
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Joomla!─────────────────────────────
Joomla!は、公表されていないエラーが原因で外部からデータを操作されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に別のユーザのフロントエンドデータをリプレイスされる可能性がある。 [更新]
2009/11/06 登録

危険度：低
影響を受けるバージョン：1.5〜1.5.14
影響を受ける環境：UNIX、Linux、Windows
回避策：1.5.15以降へのバージョンアップ

▽Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security（TLS）プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度：中
影響を受けるバージョン：Apache 2.2.8、2.2.9、Microsoft IIS 7.0、7.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度：高
影響を受けるバージョン：Firefox 3.5.4未満、3.0.15未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽mod_proxy_ftp module for Apache─────────────────
mod_proxy_ftp module for Apacheは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFTPサーバ上で任意のコマンドを実行される可能性がある。 [更新]
2009/09/24 登録

危険度：中
影響を受けるバージョン：1.3.41、2.0.63、2.2.13
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office Word──────────────────────
Microsoft Office Wordは、細工されたWord ファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン：Office XP SP3、Office 2003 SP3、Office 2004 for Mac、Office 2008 for Mac
影響を受ける環境：Windows、MacOS
回避策：WindowsUpdateの実行

▽Microsoft Office Excel──────────────────────
Microsoft Office Excelは、細工されたExcel ファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン：Office XP SP3、Office 2003 SP3、2007 Office System SP1、SP2、Office 2004 for Mac、Office 2008 for Mac
影響を受ける環境：Windows、MacOS
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Active Directory のディレクトリサービス、Active Directory Application Mode (ADAM) および Active Directory Lightweight Directory Service (AD LDS) が原因でセキュリティホールが存在する。この問題が悪用されると、リモートからDoS攻撃を受ける可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン：2000 Server SP4、XP SP2、SP3、Server 2003 SP2、Server 2008、SP2
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、カーネルが原因で複数のセキュリティホールが存在する。最も深刻な脆弱性が悪用された場合、ユーザが細工された Embedded OpenType (EOT) フォントでレンダリングされたコンテンツを表示することで、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 Server SP4、XP SP2、SP3、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows 2000──────────────────────
Microsoft Windows 2000は、攻撃者がライセンスログサーバを実行しているコンピュータに細工したメッセージを送ることでリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、コンピューターを完全に制御される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン：2000 Server SP4
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows WSDAPI─────────────────────
Microsoft Windows Web Services on Devices API（WSDAPI）は、細工されたパケットを受け取ることでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。[更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン：Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Netgear WNDAP330─────────────────────────
Netgear WNDAP330は、細工されたリクエストをアクセスポイントに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを再起動されたりハングされる可能性がある。
2009/11/12 登録

危険度：低
影響を受けるバージョン：2.1.11
影響を受ける環境：Netgear WNDAP330
回避策：3.0.3以降へのバージョンアップ

▽HP NonStop Server────────────────────────
OSS Name Server上で動作するHP NonStop Serverは、特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータに不正にアクセスされ、さらなる攻撃に悪用される可能性がある。
2009/11/12 登録

危険度：中
影響を受けるバージョン：G06.27.00〜32.00、H06.06〜06.08、J06.03
影響を受ける環境：HP NonStop Server
回避策：ベンダの回避策を参照

▽Citrix製品────────────────────────────
複数のCitrix製品は、SSL / TLS証明書を処理する際のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。
2009/11/12 登録

危険度：中
影響を受けるバージョン：Citrix Online Plug-in 10.0 Mac、Citrix Online Plug-in 11.0 Windows、Citrix Receiver for iPhone 1.0
影響を受ける環境：Citrix製品
回避策：ベンダの回避策を参照

▽Tomcat──────────────────────────────
Tomcatは、Windowsインストーラがアドミニストレーションユーザーのパスワードをデフォルトでブランクに設定することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2009/11/11 登録

危険度：高
影響を受けるバージョン：5.5.0〜5.5.28、6.0.0〜6.0.20
影響を受ける環境：Winodws
回避策：ベンダの回避策を参照

▽IBM BladeCenter─────────────────────────
IBM BladeCenterは、Advanced Management Module（AMM）に複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。[更新]
2009/11/11 登録

危険度：中
影響を受けるバージョン：1.42、2.46、2.48、2.50C
影響を受ける環境：IBM BladeCenter
回避策：ベンダの回避策を参照

▽Citrix製品────────────────────────────
複数のCitrix製品は、URL Transform、Application Firewall、AGEE Clientless VPN機能のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/11/09 登録

危険度：低
影響を受けるバージョン：Citrix NetScaler 9.0、9.1、Citrix Netscaler Access Gateway Firmware 9.0 Enterprise、9.1 Enterprise、Citrix NetScaler Application Firewall 9.0、9.1
影響を受ける環境：Citrix製品
回避策：ベンダの回避策を参照

▽XM Easy Personal FTP Server───────────────────
XM Easy Personal FTP Serverは、過度に長いLISTあるいはNLSTリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを応答不能にされる可能性がある。 [更新]
2009/10/06 登録

危険度：低
影響を受けるバージョン：5.8.0
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽expat──────────────────────────────
expatは、細工されたUTF-8シークエンスを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/11/12 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Poppler─────────────────────────────
Popplerは、細工されたPDFファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/11/12 登録

危険度：高
影響を受けるバージョン：0.10.6
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜BSD＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD─────────────────────────────
FreeBSDは、fifo_open () 機能リソースリークが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。
2009/11/12 登録

危険度：低
影響を受けるバージョン：6.0、6.1、6.2、6.3、6.4、7.0、7.1、7.2、8.0
影響を受ける環境：FreeBSD
回避策：公表されていません

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/11/10 登録

危険度：高
影響を受けるバージョン：10.6、10.5
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽XOOPS 2.4.x 系──────────────────────────
XOOPS 2.4.1がリリースされた。
http://xoops.com/

▽Apple Safari───────────────────────────
Apple Safari 4.0.4がリリースされた。
http://support.apple.com/downloads/Safari_4

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc6-git5がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、利用者視点を踏まえたICTサービスに係る諸問題に関する研究会（第4回会合）
http://www.soumu.go.jp/menu_sosiki/kenkyu/riyousya_ict/21202.html

▽トピックス
警察庁、「振り込め詐欺（恐喝）」の認知・検挙状況等について（平成21年1〜10月）
http://www.npa.go.jp/sousa/souni7/furikome_H21_10.pdf

▽トピックス
JVN、Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-314A/

▽トピックス
迷惑メール相談センター、『撃退！チェーンメール』データ公開　更新
http://www.dekyo.or.jp/soudan/chain/report/index.html

▽トピックス
トレンドマイクロ、ウイルスバスターコーポレートエディション 7.3 Critical Patch (ビルド 1428)の修正版公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1319

▽トピックス
エフセキュア、電子メールの時代は終わったのか？
http://www.f-secure.com/ja_JP/about-us/pressroom/news/2009/fs-news_20091111_01_jp.html

▽トピックス
Panda Security：ブログ、Panda Cloud Antivirus、ベータ版から正規版へ。世界同時リリース
http://pandajapanblogs.blogspot.com/2009/11/panda-cloud-antivirus.html

▽トピックス
NTTドコモ、FOMAカード（青色カード）をご利用中のお客様へのご案内（2009年11月以降の一部機種での利用不可について）
http://www.nttdocomo.co.jp/info/notice/page/091111_00.html

▽トピックス
WILLCOM、「HYBRID W-ZERO3」の発売について
http://www.willcom-inc.com/ja/corporate/press/2009/11/11/index_02.html

▽トピックス
WILLCOM、京セラ製「WX340K」「BAUM」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
WILLCOM、新規契約事務手数料の変更について
http://www.willcom-inc.com/ja/corporate/press/2009/11/11/index_01.html

▽トピックス
NTT東日本、簡易型緊急通報装置「シルバーホンあんしんS V（エスファイブ）」の販売開始について
http://www.ntt-east.co.jp/release/0911/091111a.html

▽トピックス
NTT西日本、簡易型緊急通報装置「シルバーホンあんしんS V（エスファイブ）」の販売開始について
http://www.ntt-west.co.jp/news/0911/091111a.html

▽トピックス
NTTコミュニケーションズ、「クレジット通話サービス」の提供終了について
http://www.ntt.com/release/monthNEWS/detail/20091111.html

▽トピックス
NTTコムウェア、東京データセンターにおいて内部統制の整備状況を評価するSAS70報告書を取得
http://www.nttcom.co.jp/news/pr09111101.html

▽トピックス
マイクロソフト：ブログ、2009年11月のワンポイントセキュリティ
http://blogs.technet.com/jpsecurity/archive/2009/11/11/3293015.aspx

▽トピックス
ソースネクスト、「ウイルスセキュリティ ZERO」ライセンス優待キャンペーンを開始
http://www.sourcenext.com/license/?i=sec_info

▽トピックス
テクシードコンパス、英国セキュリティベンダのクリアスウィフトと連携し、統合メールセキュリティ製品を開発
http://www.clearswift.com/jp/news/press-releases/30692

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.619.80 (11/12)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ウイルス情報
シマンテック、W32.Gosys
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-111112-3448-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.303
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-111021-5625-99

◆アップデート情報◆
───────────────────────────────────
●Ubuntu Linuxがfirefoxおよびxulrunnerのアップデートをリリース
───────────────────────────────────
　Ubuntu Linuxがfirefoxおよびxulrunnerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/

───────────────────────────────────
●RedHat Linuxがhttpdのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがhttpdのアップデートパッケージをリリースした。このアップデートによって、httpdにおける複数の問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

《ScanNetSecurity》