セキュリティホール情報<2009/12/16> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

セキュリティホール情報<2009/12/16>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。
2009/12/16 登録

危険度:
影響を受けるバージョン:Firefox 3.5.6未満、3.0.16未満、SeaMonkey 2.0.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。
2009/12/16 登録

危険度:
影響を受けるバージョン:7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽phpFaber CMS───────────────────────────
phpFaber CMSは、module.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WSCreator────────────────────────────
WSCreatorは、細工されたSQLステートメントをloginaction.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Password Manager Pro───────────────────────
Password Manager Proは、ShowInContentAreaAction.doがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:6
影響を受ける環境:UNIX、Linux、Windows
回避策:6.1 - Build 6104以降へのバージョンアップ

▽TYPO3 extension─────────────────────────
複数のTYPO3 extensionは、は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:TYPO3 ZID Linkliste (zid_linklist)、TYPO3 Frontend news submitter with RTE (fe_rtenews) 1.4.1、TYPO3 vShoutbox (vshoutbox) 0.0.1、TYPO3 Training Company Database (trainincdb) 0.4.7、TYPO3 Job Exchange (jobexchange) 0.0.3、TYPO3 No indexed Search (no_indexed_search) 0.2.0 Subscription (mf_subscription) 0.2.2、TYPO3 Flash SlideShow (slideshow) 0.2.2、TYPO3 Diocese of Portsmouth Calendar (pd_calendar) 0.4.1、TYPO3 Parish Administration Database (ste_parish_admin) 0.1.3、TYPO3 Parish of the Holy Spirit Religious Art Gallery (hs_religiousartgallery) 0.1.2、TYPO3 Diocese of Portsmouth Resources Database (pd_resources) 0.1.1、TYPO3 Random Prayer (ste_prayer) 0.0.1、TYPO3 Document Directorys 1.10.7、TYPO3 XDS Staff List (xds_staff) 0.0.3、TYPO3 ListMan (nl_listman) 1.2.1、TYPO3 File list (dr_blob) 2.1.1、TYPO3 Car 0.1.0、TYPO3 Watchdog 2.0.0、2.0.1、2.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Text Exchange Pro────────────────────────
Text Exchange Proは、admins.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:4.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ZeeCareers────────────────────────────
ZeeCareersは、複数のスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Link Up Gold───────────────────────────
Link Up Goldは、administrators.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ad Manager Pro──────────────────────────
Ad Manager Proは、admins.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez Poll Hoster──────────────────────────
Ez Poll Hosterは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Webmatic─────────────────────────────
Webmaticは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:3.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:3.0.3以降へのバージョンアップ

▽Adobe Acrobat / Reader──────────────────────
Adobe Acrobat / Readerは、細工されたPDFファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。
2009/12/16 登録

危険度:高
影響を受けるバージョン:9.1.3以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Acc Autos────────────────────────────
Acc Autosは、ダイレクトリクエストを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースバックアップをダウンロードされる可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Million Pixel Script───────────────────────
Million Pixel Scriptは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Flash Video E-Cards───────────────────────
Flash Video E-Cardsは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽eoCMS──────────────────────────────
eoCMSは、細工されたURLリクエストをbbcode-form.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:0.9.03
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Acc PHP eMail──────────────────────────
Acc PHP eMailは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽AccStatistics──────────────────────────
AccStatisticsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ArticleMS────────────────────────────
ArticleMSは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Next Generation of Genealogy Sitebuilding────────────
Next Generation of Genealogy Sitebuildingは、searchform.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:7.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Piwigo──────────────────────────────
Piwigoは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:2.0.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez Cart─────────────────────────────
Ez Cartは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Symantec製品───────────────────────────
複数のSymantec製品は、細工されたリクエストをTCP 14300ポートに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/12/11 登録

危険度:高
影響を受けるバージョン:Symantec VERITAS Backup Exec 10.0、Symantec VERITAS Backup Exec、Symantec VERITAS NetBackup、Symantec VERITAS Storage Foundation
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Active! Mail 2003────────────────────────
Active! Mail 2003は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/09 登録

危険度:中
影響を受けるバージョン:2003.0139.0871
影響を受ける環境:UNIX、Linux、Windows
回避策:6以降へのバージョンアップ

▽Apple Safari───────────────────────────
Appleは、Apple SafariにおけるWebKitのセキュリティアップデートを公開した。このアップデートによって、複数の問題が解消される。 [更新]
2009/07/09 登録

危険度:高
影響を受けるバージョン:4.0.2未満
影響を受ける環境:Mac OS X、Windows
回避策:セキュリティアップデートの実行

▽Apple Safari───────────────────────────
Appleは、Apple SafariにおけるCFNetwork、CoreGraphics、ImageIO、International Components for Unicode、libxml、Safari、Safari Windows Installer、WebKitのセキュリティアップデートを公開した。このアップデートによって、Safariにおける複数の問題が解消される。[更新]
2009/06/09 登録

危険度:
影響を受けるバージョン:4未満
影響を受ける環境:Mac OS X、Windows
回避策:セキュリティアップデートの実行

▽JavaScript Object Notation────────────────────
多くのベンダが採用するJavaScript Object Notationインプリメンテーションは、細工された悪意があるWebページに誘導されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。[更新]
2007/05/24 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Windows Media Player / Internet Explorer─────────────
Windows Media PlayerおよびInternet Explorerは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/12/10 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽NetBiter Config─────────────────────────
NetBiter Configは、長いホスト名を送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/12/16 登録

危険度:高
影響を受けるバージョン:1.3.0
影響を受ける環境:Windows
回避策:公表されていません

▽TANDBERG MXP FIPS140───────────────────────
TANDBERG MXP FIPS140は、複数のURQリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデバイスを再起動される可能性がある。 [更新]
2009/12/15 登録

危険度:低
影響を受けるバージョン:F6.3、F7.2、F8.0、F8.2
影響を受ける環境:TANDBERG MXP FIPS140
回避策:公表されていません

▽Google Chrome──────────────────────────
Google Chromeは、WebKitコンポーネントがSVGListオブジェクトを適切に処理していないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/05/18 登録

危険度:高
影響を受けるバージョン:0.2.149.29〜1.0.154.53
影響を受ける環境:Windows
回避策:1.0.154.65以降へのバージョンアップ

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽network-manager-applet──────────────────────
network-manager-appletは、証明書ファイルのない特定のネットワークへの接続に失敗することが原因でセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2009/12/16 登録

危険度:中
影響を受けるバージョン:0.7.2
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽ZABBIX──────────────────────────────
ZABBIXは、zbx_get_next_field () 機能のNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/12/15 登録

危険度:高
影響を受けるバージョン:1.6
影響を受ける環境:UNIX、Linux
回避策:1.8以降へのバージョンアップ

▽ZeeLyrics────────────────────────────
ZeeLyricsは、searchresults_main.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽NTP───────────────────────────────
NTPは、細工されたNTPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/12/10 登録

危険度:低
影響を受けるバージョン:4.2.4p8未満
影響を受ける環境:UNIX、Linux
回避策:4.2.4p8以降へのバージョンアップ

▽expat──────────────────────────────
expatは、細工されたUTF-8を含むXMLドキュメントを処理することでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2009/12/07 登録

危険度:低
影響を受けるバージョン:2.0.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Asterisk─────────────────────────────
Asteriskは、細工されたRTP comfort noise payloadを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2009/12/02 登録

危険度:低
影響を受けるバージョン:1.2〜1.2.37未満、1.4〜1.4.27.1未満、1.6.0〜1.6.0.19未満、1.6.1〜1.6.1.11未満
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽PEAR Net_Ping──────────────────────────
PEAR Net_Pingは、細工されたリクエストをping() 機能に送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。[更新]
2009/11/26 登録

危険度:高
影響を受けるバージョン:2.4.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Asterisk─────────────────────────────
Asteriskは、細工されたREGISTERメッセージを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に正当なユーザ名を閲覧される可能性がある。 [更新]
2009/11/06 登録

危険度:低
影響を受けるバージョン:1.6.1.5ほか
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Merkaartor────────────────────────────
Merkaartorは、不安定なログファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2009/09/29 登録

危険度:中
影響を受けるバージョン:0.14
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Asterisk─────────────────────────────
Asteriskは、正当でないユーザ名でログインする際に異なるエラーメッセージを表示することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にブルートフォース攻撃によって正当なユーザ名を判明され、システムへの無許可のアクセスを実行される可能性がある。 [更新]
2009/01/13 登録

危険度:低
影響を受けるバージョン:1.6以前
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽Asterisk PBX───────────────────────────
Asterisk PBXは、ダイジェスト認証使用時にシステムへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/09/12 登録

危険度:低
影響を受けるバージョン:1.2、1.2.22、1.4.21.1、1.6
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Monkey──────────────────────────────
Monkeyは、細工されたHTTP GETリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。
2009/12/16 登録

危険度:低
影響を受けるバージョン:0.9.0
影響を受ける環境:Linux
回避策:0.9.3以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、"EXT4_IOC_MOVE_EXT" IOCTLを処理する際に適切なアクセス制限を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたり権限を昇格される可能性がある。 [更新]
2009/12/14 登録

危険度:
影響を受けるバージョン:2.6.x
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、nfs4_proc_lock() 機能のNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/09 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、pipe_read_open()、pipe_write_open()、pipe_rdwr_open() pipe.c機能のNULL pointer dereferenceエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/06 登録

危険度:高
影響を受けるバージョン:2.6.0〜2.6.32 rc4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、af_unix.cのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをハングアップされる可能性がある。 [更新]
2009/10/27 登録

危険度:低
影響を受けるバージョン:2.2.27、2.4.1〜2.4.37.6、2.6.0〜2.6.31.4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、特定のtcmの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.4.1〜2.4.37.6、2.6.0〜2.6.32 rc4
影響を受ける環境:Linux
回避策:2.6.32-rc5以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、AppleTalkプロトコルカーネルモジュールのメモリリークエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリリソースを過度に消費される可能性がある。 [更新]
2009/09/16 登録

危険度:低
影響を受けるバージョン:2.4.33〜2.6.31 rc7
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、getname機能がデータの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリの内容を参照される可能性がある。 [更新]
2009/09/01 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31 rc4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、execve機能が適切にcurrent->clear_child_tid pointeをクリアしていないことが原因でDoS攻撃を受けるキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にメモリをクラッシュされる可能性がある。 [更新]
2009/08/31 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.30 rc3、2.2.27、2.4.36〜2.4.36.6
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、udp_sendmsg() 機能のnull pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/08/25 登録

危険度:高
影響を受けるバージョン:2.6.18.8以前
影響を受ける環境:Linux
回避策:2.6.18.10以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、sock_sendpage () 機能のNULL pointer dereferenceが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりカーネルをクラッシュされる可能性がある。 [更新]
2009/08/17 登録

危険度:高
影響を受けるバージョン:2.4.0〜2.4.36.6、2.6.0〜2.6.31 rc3
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux kernel───────────────────────────
Linux kernelは、PER_CLEAR_ON_SETIDマスクがADDR_COMPAT_LAYOUTあるいはMMAP_PAGE_ZEROを含まないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアドレス空間レイアウト無作為抽出を停止される可能性がある。[更新]
2009/07/14 登録

危険度:中
影響を受けるバージョン:2.6.0〜2.6.30
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを接続不能にされる可能性がある。 [更新]
2008/12/04 登録

危険度:低
影響を受けるバージョン:2.6.28 rc1、2.6.28 rc2、2.6.28 rc3、2.6.28 rc4、2.6.28 rc5
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Cluster Project─────────────────────────
Cluster Projectは、不安定な一時ファイルを作成することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2008/11/10 登録

危険度:高
影響を受けるバージョン:2.0
影響を受ける環境:Linux
回避策:2.03.09以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたBERエンコードデータによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/06/10 登録

危険度:高
影響を受けるバージョン:2.4.36.6未満、2.6.25.5未満
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux kernel───────────────────────────
Linux kernelは、drivers/net/e1000/e1000_main.cのe1000_clean_rx_irq() 機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/06/04 登録

危険度:低
影響を受けるバージョン:2.6.29以前
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Ray Server──────────────────────────
Sun Ray Serverは、ログアウト時のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。[更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:4.1
影響を受ける環境:SunSolaris
回避策:ベンダの回避策を参照

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xの新バージョンおよびApache、ATS、BIND、CFNetwork、CoreGraphics、Cscope、CUPS、Disk Images、enscript、Flash Player plug-in、Help Viewer、iChat、International Components for Unicode、IPSec、Kerberos、Launch Services、libxml、Net-SNMP、Network Time、Networking、OpenSSL、PHP、QuickDraw Manager、ruby、Safari、Spotlight、system_cmds、telnet、WebKit、X11のセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/05/13 登録

危険度:高
影響を受けるバージョン:10.5.7未満
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽MySQL 5.5.x 系──────────────────────────
MySQL 5.5.0-m2がリリースされた。
http://www.mysql.com/

▽Samba 4.0.x 系──────────────────────────
Samba 4.0.0alpha10がリリースされた。
http://us1.samba.org/samba/

▽Samba 3.5.x 系──────────────────────────
Samba 3.5.0pre2がリリースされた。
http://us1.samba.org/samba/

▽Firefox 3.5.x 系─────────────────────────
Firefox 3.5.6がリリースされた。
http://www.mozilla.org/products/firefox/

▽Firefox 3.0.x 系─────────────────────────
Firefox 3.0.16がリリースされた。
http://www.mozilla.org/products/firefox/

▽SeaMonkey────────────────────────────
SeaMonkey 2.0.1がリリースされた。
http://www.seamonkey-project.org/

▽WinRAR──────────────────────────────
WinRAR 3.91 英語版がリリースされた。
http://www.diana.dti.ne.jp/~winrar/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-git12がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
JVN、Indeo コーデックに複数の脆弱性
http://jvn.jp/cert/JVNVU228561/

▽トピックス
JVN、P forum におけるディレクトリトラバーサルの脆弱性
http://jvn.jp/jp/JVN00152874/

▽トピックス
トレンドマイクロ、企業向けエンドポイントセキュリティ製品、対応プラットフォーム拡充
http://jp.trendmicro.com/jp/about/news/pr/article/20091216020825.html

▽トピックス
トレンドマイクロ、Trend Micro ウイルスバスター ビジネスセキュリティ 3.0サポート終了に伴う後継製品へのアップグレードのお願い
http://www.trendmicro.co.jp/support/news.asp?id=1334

▽トピックス
マカフィー、新年を迎えるにあたり「2010 年、12 のオンライン詐欺」を発表
http://www.mcafee.com/japan/about/prelease/pr_09b.asp?pr=09/12/15-1

▽トピックス
Panda Security、Panda Cloud Office Protectionメンテナンスのお知らせ
http://www.ps-japan.co.jp/supportnews/n90.html

▽トピックス
Dr.WEB、配信済み vdb ファイル drw50051.vdb を改訂
http://drweb.jp/news/20091215_2.html

▽トピックス
Dr.WEB、2009年11月のウイルス・スパムレビュー
http://drweb.jp/news/20091215.html

▽トピックス
キングソフト、年末年始のサポート業務について
http://www.kingsoft.jp/company/091216.html

▽トピックス
エフセキュアブログ、Adobe Acrobatゼロデイ分析
http://blog.f-secure.jp/archives/50315410.html

▽トピックス
NTTドコモ、キッズケータイ F801iのソフトウェアアップデート情報
http://www.nttdocomo.co.jp/support/utilization/software_update/list/f801i/index.html

▽トピックス
イー・モバイルと日本情報通信東北が連携しリッチモンドホテル向けにデータ通信端末を提供
http://www.emobile.jp/cgi-bin/press.cgi?id=716

▽トピックス
NTTコミュニケーションズ、インターネット検定「.com Master ★★★」がIPv6関連技術習得に係る資格試験認定 第一号に
http://www.ntt.com/release/monthNEWS/detail/20091215.html

▽トピックス
マイクロソフト:ブログ、偽セキュリティソフトを振り返る
http://blogs.technet.com/jpsecurity/archive/2009/12/15/3300629.aspx

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.695.80 (12/16)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4498&pageNo=1&news_gu=04

▽ウイルス情報
シマンテック、Bloodhound.Exploit.288
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121511-4614-99

▽ウイルス情報
マカフィー、ProcKill-FD
http://www.mcafee.com/japan/security/virPQ.asp?v=ProcKill-FD

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
 Debianがwbkit、php-net-ping、firefox-sage、asterisk、expatのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxが複数のアップデートをリリース
───────────────────────────────────
 Miracle Linuxがxntp3、外部ドライバ rpm、kernel、expatのアップデートをリリースした。このアップデートによって、それぞれの問題点が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/?q=update_info

───────────────────────────────────
●RedHat Linuxがkernelおよびopensshのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがkernelおよびopensshのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがmerkaartorのアップデートをリリース
───────────────────────────────────
 RedHat Fedoraがmerkaartorのアップデートをリリースした。このアップデートによって、merkaartorにおける問題が修正される。


RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

    OSSのデータ収集ツール「Fluentd」に任意コマンド実行などの脆弱性(JVN)

  2. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

    GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  3. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

    送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  4. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  5. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  6. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  7. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  8. パケット解析ツール「Packetbeat」にDoS攻撃を受ける脆弱性(JVN)

  9. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  10. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×