セキュリティホール情報<2009/11/12> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.08.22(火)
コンテンツ
注目検索ワード
記事

セキュリティホール情報<2009/11/12>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽CuteNews─────────────────────────────
CuteNewsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/12 登録

危険度:中
影響を受けるバージョン:1.4.6
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Sun Java SE───────────────────────────
Sun Java SEは、SwingインプリメンテーションのWindows Pluggable Look and Feel (PL&F) 機能に特定されていない複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/11/12 登録

危険度:高
影響を受けるバージョン:1.1.5.0 Update1〜21、1.1.6.0 Update1〜16
影響を受ける環境:UNIX、Linux、Windows
回避策:1.5.0_22あるいは1.6.0_17 (6u17) 以降へのバージョンアップ

▽IBM WebSphere Application Server─────────────────
IBM WebSphere Application Serverは、Administration Consoleのユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/12 登録

危険度:中
影響を受けるバージョン:6.1、7.0
影響を受ける環境:UNIX、Linux、Windows
回避策:6.1.0.29あるいは7.0.0.7以降へのバージョンアップ

▽Super Serious Stats───────────────────────
Super Serious Statsは、細工されたSQLステートメントをuser.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/11/12 登録

危険度:中
影響を受けるバージョン:1.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:1.1.2p1以降へのバージョンアップ

▽Deliantra server─────────────────────────
Deliantra serverは、empty treasureリストと関連するエラーが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/11/11 登録

危険度:高
影響を受けるバージョン:2.7〜2.81
影響を受ける環境:UNIX、Linux、Windows
回避策:2.82以降へのバージョンアップ

▽Blender─────────────────────────────
Blenderは、細工された.blendプロジェクトファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2009/11/09 登録

危険度:高
影響を受けるバージョン:2.34、2.35a、2.40、2.49b
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Joomla!─────────────────────────────
Joomla!は、公表されていないエラーが原因で外部からデータを操作されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に別のユーザのフロントエンドデータをリプレイスされる可能性がある。 [更新]
2009/11/06 登録

危険度:低
影響を受けるバージョン:1.5〜1.5.14
影響を受ける環境:UNIX、Linux、Windows
回避策:1.5.15以降へのバージョンアップ

▽Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security(TLS)プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度:中
影響を受けるバージョン:Apache 2.2.8、2.2.9、Microsoft IIS 7.0、7.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.4未満、3.0.15未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽mod_proxy_ftp module for Apache─────────────────
mod_proxy_ftp module for Apacheは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFTPサーバ上で任意のコマンドを実行される可能性がある。 [更新]
2009/09/24 登録

危険度:中
影響を受けるバージョン:1.3.41、2.0.63、2.2.13
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office Word──────────────────────
Microsoft Office Wordは、細工されたWord ファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン:Office XP SP3、Office 2003 SP3、Office 2004 for Mac、Office 2008 for Mac
影響を受ける環境:Windows、MacOS
回避策:WindowsUpdateの実行

▽Microsoft Office Excel──────────────────────
Microsoft Office Excelは、細工されたExcel ファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン:Office XP SP3、Office 2003 SP3、2007 Office System SP1、SP2、Office 2004 for Mac、Office 2008 for Mac
影響を受ける環境:Windows、MacOS
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Active Directory のディレクトリ サービス、Active Directory Application Mode (ADAM) および Active Directory Lightweight Directory Service (AD LDS) が原因でセキュリティホールが存在する。この問題が悪用されると、リモートからDoS攻撃を受ける可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 重要
影響を受けるバージョン:2000 Server SP4、XP SP2、SP3、Server 2003 SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、カーネルが原因で複数のセキュリティホールが存在する。最も深刻な脆弱性が悪用された場合、ユーザが細工された Embedded OpenType (EOT) フォントでレンダリングされたコンテンツを表示することで、リモートからコードを実行される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 Server SP4、XP SP2、SP3、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows 2000──────────────────────
Microsoft Windows 2000は、攻撃者がライセンス ログ サーバを実行しているコンピュータに細工したメッセージを送ることでリモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、コンピューターを完全に制御される可能性がある。 [更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 Server SP4
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽Microsoft Windows WSDAPI─────────────────────
Microsoft Windows Web Services on Devices API(WSDAPI)は、細工されたパケットを受け取ることでセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。[更新]
2009/11/11 登録

最大深刻度 : 緊急
影響を受けるバージョン:Vista、SP1、SP2、Server 2008、SP2
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Netgear WNDAP330─────────────────────────
Netgear WNDAP330は、細工されたリクエストをアクセスポイントに送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを再起動されたりハングされる可能性がある。
2009/11/12 登録

危険度:低
影響を受けるバージョン:2.1.11
影響を受ける環境:Netgear WNDAP330
回避策:3.0.3以降へのバージョンアップ

▽HP NonStop Server────────────────────────
OSS Name Server上で動作するHP NonStop Serverは、特定されていないエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータに不正にアクセスされ、さらなる攻撃に悪用される可能性がある。
2009/11/12 登録

危険度:中
影響を受けるバージョン:G06.27.00〜32.00、H06.06〜06.08、J06.03
影響を受ける環境:HP NonStop Server
回避策:ベンダの回避策を参照

▽Citrix製品────────────────────────────
複数のCitrix製品は、SSL / TLS証明書を処理する際のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。
2009/11/12 登録

危険度:中
影響を受けるバージョン:Citrix Online Plug-in 10.0 Mac、Citrix Online Plug-in 11.0 Windows、Citrix Receiver for iPhone 1.0
影響を受ける環境:Citrix製品
回避策:ベンダの回避策を参照

▽Tomcat──────────────────────────────
Tomcatは、Windowsインストーラがアドミニストレーションユーザーのパスワードをデフォルトでブランクに設定することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2009/11/11 登録

危険度:高
影響を受けるバージョン:5.5.0〜5.5.28、6.0.0〜6.0.20
影響を受ける環境:Winodws
回避策:ベンダの回避策を参照

▽IBM BladeCenter─────────────────────────
IBM BladeCenterは、Advanced Management Module(AMM)に複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。[更新]
2009/11/11 登録

危険度:中
影響を受けるバージョン:1.42、2.46、2.48、2.50C
影響を受ける環境:IBM BladeCenter
回避策:ベンダの回避策を参照

▽Citrix製品────────────────────────────
複数のCitrix製品は、URL Transform、Application Firewall、AGEE Clientless VPN機能のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/11/09 登録

危険度:低
影響を受けるバージョン:Citrix NetScaler 9.0、9.1、Citrix Netscaler Access Gateway Firmware 9.0 Enterprise、9.1 Enterprise、Citrix NetScaler Application Firewall 9.0、9.1
影響を受ける環境:Citrix製品
回避策:ベンダの回避策を参照

▽XM Easy Personal FTP Server───────────────────
XM Easy Personal FTP Serverは、過度に長いLISTあるいはNLSTリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスを応答不能にされる可能性がある。 [更新]
2009/10/06 登録

危険度:低
影響を受けるバージョン:5.8.0
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽expat──────────────────────────────
expatは、細工されたUTF-8シークエンスを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者にアプリケーションをクラッシュされる可能性がある。
2009/11/12 登録

危険度:
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Poppler─────────────────────────────
Popplerは、細工されたPDFファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/11/12 登録

危険度:高
影響を受けるバージョン:0.10.6
影響を受ける環境:UNIX、Linux
回避策:公表されていません

<BSD>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FreeBSD─────────────────────────────
FreeBSDは、fifo_open () 機能リソースリークが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。
2009/11/12 登録

危険度:低
影響を受けるバージョン:6.0、6.1、6.2、6.3、6.4、7.0、7.1、7.2、8.0
影響を受ける環境:FreeBSD
回避策:公表されていません

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/11/10 登録

危険度:高
影響を受けるバージョン:10.6、10.5
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽XOOPS 2.4.x 系──────────────────────────
XOOPS 2.4.1がリリースされた。
http://xoops.com/

▽Apple Safari───────────────────────────
Apple Safari 4.0.4がリリースされた。
http://support.apple.com/downloads/Safari_4

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-rc6-git5がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、利用者視点を踏まえたICTサービスに係る諸問題に関する研究会(第4回会合)
http://www.soumu.go.jp/menu_sosiki/kenkyu/riyousya_ict/21202.html

▽トピックス
警察庁、「振り込め詐欺(恐喝)」の認知・検挙状況等について(平成21年1〜10月)
http://www.npa.go.jp/sousa/souni7/furikome_H21_10.pdf

▽トピックス
JVN、Microsoft 製品における複数の脆弱性に対するアップデート
http://jvn.jp/cert/JVNTA09-314A/

▽トピックス
迷惑メール相談センター、『撃退!チェーンメール』データ公開 更新
http://www.dekyo.or.jp/soudan/chain/report/index.html

▽トピックス
トレンドマイクロ、ウイルスバスター コーポレートエディション 7.3 Critical Patch (ビルド 1428)の修正版公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1319

▽トピックス
エフセキュア、電子メールの時代は終わったのか?
http://www.f-secure.com/ja_JP/about-us/pressroom/news/2009/fs-news_20091111_01_jp.html

▽トピックス
Panda Security:ブログ、Panda Cloud Antivirus、ベータ版から正規版へ。世界同時リリース
http://pandajapanblogs.blogspot.com/2009/11/panda-cloud-antivirus.html

▽トピックス
NTTドコモ、FOMAカード(青色カード)をご利用中のお客様へのご案内(2009年11月以降の一部機種での利用不可について)
http://www.nttdocomo.co.jp/info/notice/page/091111_00.html

▽トピックス
WILLCOM、「HYBRID W-ZERO3」の発売について
http://www.willcom-inc.com/ja/corporate/press/2009/11/11/index_02.html

▽トピックス
WILLCOM、京セラ製「WX340K」「BAUM」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
WILLCOM、新規契約事務手数料の変更について
http://www.willcom-inc.com/ja/corporate/press/2009/11/11/index_01.html

▽トピックス
NTT東日本、簡易型緊急通報装置「シルバーホンあんしんS V(エスファイブ)」の販売開始について
http://www.ntt-east.co.jp/release/0911/091111a.html

▽トピックス
NTT西日本、簡易型緊急通報装置「シルバーホンあんしんS V(エスファイブ)」の販売開始について
http://www.ntt-west.co.jp/news/0911/091111a.html

▽トピックス
NTTコミュニケーションズ、「クレジット通話サービス」の提供終了について
http://www.ntt.com/release/monthNEWS/detail/20091111.html

▽トピックス
NTTコムウェア、東京データセンターにおいて内部統制の整備状況を評価するSAS70報告書を取得
http://www.nttcom.co.jp/news/pr09111101.html

▽トピックス
マイクロソフト:ブログ、2009年11月のワンポイントセキュリティ
http://blogs.technet.com/jpsecurity/archive/2009/11/11/3293015.aspx

▽トピックス
ソースネクスト、「ウイルスセキュリティ ZERO」ライセンス優待キャンペーンを開始
http://www.sourcenext.com/license/?i=sec_info

▽トピックス
テクシードコンパス、英国セキュリティベンダのクリアスウィフトと連携し、統合メールセキュリティ製品を開発
http://www.clearswift.com/jp/news/press-releases/30692

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.619.80 (11/12)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ウイルス情報
シマンテック、W32.Gosys
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2009-111112-3448-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.303
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-111021-5625-99

◆アップデート情報◆
───────────────────────────────────
●Ubuntu Linuxがfirefoxおよびxulrunnerのアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがfirefoxおよびxulrunnerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/

───────────────────────────────────
●RedHat Linuxがhttpdのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがhttpdのアップデートパッケージをリリースした。このアップデートによって、httpdにおける複数の問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
《ScanNetSecurity》

Scan PREMIUM 会員限定

もっと見る

Scan PREMIUM 会員限定特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 記事一覧へ

Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report) 画像

Windows OS における SMB プロトコルの実装を悪用してサービス不能攻撃が可能となる問題 - SMBLoris(Scan Tech Report)
帝国データバンク提供の「TypeAご利用ソフト」に任意コード実行の脆弱性(JVN) 画像

帝国データバンク提供の「TypeAご利用ソフト」に任意コード実行の脆弱性(JVN)
「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN) 画像

「新・緊急時報告データ入力プログラム」に任意コード実行の脆弱性(JVN)

インシデント・事故 記事一覧へ

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン) 画像

「fx-on」に不正アクセス、9,822件のクレジットカード情報が流出の可能性(株式会社ゴゴジャン)
小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市) 画像

小学校の養護教諭が児童の個人情報を保存したUSBメモリを紛失(千葉県柏市)
「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス) 画像

「剣と魔法のログレス」アカウントがRMTサイトに出品、開発元従業員を逮捕(Aiming、マーベラス)

調査・レポート・白書 記事一覧へ

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance) 画像

Black Hat参加者が感じる自組織の課題は「OSのパッチとアップデート」(Cylance)
日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10) 画像

日本の従業員がサイバー攻撃を受けた経験は世界平均の約半分、意識の甘さも(A10)
「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー) 画像

「顔貌売人 ハッカー探偵 鹿敷堂桂馬」柳井 政和(ブックレビュー)

研修・セミナー・カンファレンス 記事一覧へ

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation) 画像

開発者などに向けたアプリケーションセキュリティトレーニングを無償開催(The OWASP Foundation)
コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱 画像

コネクテッドカーが持つ潜在的なリスクとセキュリティ対策のための3つの柱
これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶 画像

これまでの 20 年とこれからの 20 年 ~ Black Hat 2017 ジェフ・モス開会挨拶

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. 改ざんやDDoS攻撃などWebサイトの被害が増加、サイトの点検を呼びかけ(JPCERT/CC)

    改ざんやDDoS攻撃などWebサイトの被害が増加、サイトの点検を呼びかけ(JPCERT/CC)

  2. Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

    Apache Struts 2 において Struts 1 由来のプラグインでの値検証不備により任意のコードが実行可能となる脆弱性(Scan Tech Report)

  3. OSPFプロトコルを実装する複数の製品に、DoS攻撃を受けるなどの脆弱性(JVN)

    OSPFプロトコルを実装する複数の製品に、DoS攻撃を受けるなどの脆弱性(JVN)

  4. 組込みソフト搭載の専用機器からSSHへのパケットが増加--定点観測レポート(JPCERT/CC)

  5. バッファロー製の無線LANルータに、任意のコードを実行される脆弱性(JVN)

  6. WindowsのLNKにリモートから任意のコードを実行される脆弱性(JVN)

  7. TwitterでNintendo Switchの購入希望者を狙った詐欺が横行

  8. バッファロー製の無線LAN製品に複数の脆弱性(JVN)

  9. 海外製デジタルビデオレコーダへのアクセスが増加、脆弱性悪用のおそれ(警察庁)

  10. バッファロー製の無線LANルータにOSコマンド実行の脆弱性(JVN)

全カテゴリランキング

Page Top
★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。
×