セキュリティホール情報<2009/12/17> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.11(月)

セキュリティホール情報<2009/12/17>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Booking Centre──────────────────────────
Booking Centreは、細工されたSQLステートメントをhotel_tiempolibre_ext.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Smart Statistics─────────────────────────
Smart Statisticsは、smart_statistics_admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez Guestbook───────────────────────────
Ez Guestbookは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽NAS Uploader───────────────────────────
NAS Uploaderは、細工されたHTTPリクエストをupload_multiple_js.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPスクリプトを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.0、1.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Traidnt Discovery────────────────────────
Traidnt Discoveryは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SpireCMS─────────────────────────────
SpireCMSは、細工されたSQLステートメントをphoto_album.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Harold Bakker NewsScript─────────────────────
Harold Bakker NewsScriptは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Designs by JM CMS────────────────────────
Designs by JM CMSは、細工されたSQLステートメントをsiteConfig.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.10
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽phpLDAPadmin───────────────────────────
phpLDAPadminは、細工されたURLリクエストをcmd.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.1.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽V-SpacePal────────────────────────────
V-SpacePalは、細工されたSQLステートメントをlogin.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽VirtueMart component for Joomla!─────────────────
VirtueMart component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽DigitalHive───────────────────────────
DigitalHiveは、細工されたHTTPリクエストをbase.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPスクリプトを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:2.0、2.0 RC2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mail Manager Pro─────────────────────────
Mail Manager Proは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Easy Banner Pro─────────────────────────
Easy Banner Proは、admins.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ScriptsEz Mini Hosting Panel───────────────────
ScriptsEz Mini Hosting Panelは、admin_ac.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Linkster─────────────────────────────
Linksterは、細工されたSQLステートメントをlinkster.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽SitioOnline───────────────────────────
SitioOnlineは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽daloRADIUS────────────────────────────
daloRADIUSは、login.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:0.9.8
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Dubsite CMS───────────────────────────
Dubsite CMSは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽iGaming CMS───────────────────────────
iGaming CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Codesighs────────────────────────────
Codesighsは、細工されたファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/12/17 登録

危険度:高
影響を受けるバージョン:1.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.6未満、3.0.16未満、SeaMonkey 2.0.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:
影響を受けるバージョン:7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽phpFaber CMS───────────────────────────
phpFaber CMSは、module.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WSCreator────────────────────────────
WSCreatorは、細工されたSQLステートメントをloginaction.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Password Manager Pro───────────────────────
Password Manager Proは、ShowInContentAreaAction.doがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:6
影響を受ける環境:UNIX、Linux、Windows
回避策:6.1 - Build 6104以降へのバージョンアップ

▽TYPO3 extension─────────────────────────
複数のTYPO3 extensionは、は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:TYPO3 ZID Linkliste (zid_linklist)、TYPO3 Frontend news submitter with RTE (fe_rtenews) 1.4.1、TYPO3 vShoutbox (vshoutbox) 0.0.1、TYPO3 Training Company Database (trainincdb) 0.4.7、TYPO3 Job Exchange (jobexchange) 0.0.3、TYPO3 No indexed Search(no_indexed_search) 0.2.0、Subscription (mf_subscription) 0.2.2、TYPO3 Flash SlideShow (slideshow) 0.2.2、TYPO3 Diocese of Portsmouth Calendar (pd_calendar) 0.4.1、TYPO3 Parish Administration Database (ste_parish_admin) 0.1.3、TYPO3 Parish of the Holy Spirit Religious Art Gallery (hs_religiousartgallery) 0.1.2、TYPO3 Diocese of Portsmouth Resources Database (pd_resources) 0.1.1、TYPO3 Random Prayer (ste_prayer) 0.0.1、TYPO3 Document Directorys 1.10.7、TYPO3 XDS Staff List (xds_staff) 0.0.3、TYPO3 ListMan (nl_listman) 1.2.1、TYPO3 File list (dr_blob) 2.1.1、TYPO3 Car 0.1.0、TYPO3 Watchdog 2.0.0、2.0.1、2.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Text Exchange Pro────────────────────────
Text Exchange Proは、admins.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:4.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ZeeCareers────────────────────────────
ZeeCareersは、複数のスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Link Up Gold───────────────────────────
Link Up Goldは、administrators.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ad Manager Pro──────────────────────────
Ad Manager Proは、admins.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez Poll Hoster──────────────────────────
Ez Poll Hosterは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Webmatic─────────────────────────────
Webmaticは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/12/16 登録

危険度:中
影響を受けるバージョン:3.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:3.0.3以降へのバージョンアップ

▽Adobe Acrobat / Reader──────────────────────
Adobe Acrobat / Readerは、細工されたPDFファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:9.1.3以前
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Zen Cart─────────────────────────────
Zen Cartは、extras/curltest.phpが適切なチェックを行っていないことが原因で任意のファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/12/14 登録

危険度:中
影響を受けるバージョン:1.3.8a
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽HP OpenView Network Node Manager─────────────────
HP OpenView Network Node Managerは、細工されたHTTPリクエストによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/12/10 登録

危険度:高
影響を受けるバージョン:7.01、7.51、7.53
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Cacti──────────────────────────────
Cactiは、data_input.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/11/26 登録

危険度:中
影響を受けるバージョン:0.8.7e
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PostgreSQL────────────────────────────
PostgreSQLは、$libdir/pluginsのライブラリをリロードする際にDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックエンドのサーバを終了される可能性がある。[更新]
2009/09/11 登録

危険度:高
影響を受けるバージョン:8.4、8.3.6以前、8.2.5以前、8.1.10以前、8.0.14以前、7.4.19以前
影響を受ける環境:UNIX、Linux、Windows
回避策:8.4.1、8.3.8、8.2.14、8.1.18、8.0.22以降へのバージョンアップ

▽PostgreSQL────────────────────────────
PostgreSQLは、細工されたデータを送信されることでスタックメモリ消費エラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/03/19 登録

危険度:
影響を受けるバージョン:8.3.6、8.2.12、8.1.16、8.0.20、7.4.24
影響を受ける環境:UNIX、Linux、Windows
回避策:8.3.7、8.2.13、8.1.17、8.0.21および7.4.25へのバージョンアップ

▽Real Estate Manager───────────────────────
Real Estate Managerは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/10/01 登録

危険度:中
影響を受けるバージョン:1.01
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Cacti──────────────────────────────
Cactiは、多数の細工されたリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを全て消費される可能性がある。
2007/06/07 登録

危険度:低
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽APC Switched Rack PDU──────────────────────
APC Switched Rack PDUは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:Model AP7932、Harware Revision B2、version 3.3.3、3.7.0
影響を受ける環境:APC Switched Rack PDU
回避策:公表されていません

▽VMware Server──────────────────────────
複数のVMware Serverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:VMware ESX Server 4.0、VMware Server 2.0.2、Lab Manager 2.x、vCenter Lab Manager 3.x、vCenter Lab Manager 4.0、vCenter Stage Manager 1.x、vCenter 4.0 GA
影響を受ける環境:VMware Server
回避策:ベンダの回避策を参照

▽Google Chrome──────────────────────────
Google Chromeは、DNS pre-fetching機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/12/17 登録

危険度:低
影響を受けるバージョン:3.0.195.33
影響を受ける環境:Windows
回避策:公表されていません

▽NetBiter Config─────────────────────────
NetBiter Configは、長いホスト名を送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:1.3.0
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽xpdf───────────────────────────────
xpdfおよびKPDFは、細工されたPDFファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/12/17 登録

危険度:高
影響を受けるバージョン:Xpdf 3.0、3.0 pl2、3.0 pl3、3.0.1、KDE KPDF 3.5.10
影響を受ける環境:UNIX、Linux
回避策:Xpdf 3.01以降へのバージョンアップ

▽Docutils─────────────────────────────
Docutilsは、rst.elスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:0.5、0.6
影響を受ける環境:UNIX、Linux
回避策:Xpdf 3.01以降へのバージョンアップ

▽Horde Application Framework───────────────────
Horde Application Frameworkは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/17 登録

危険度:中
影響を受けるバージョン:3.3.5
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽NTP───────────────────────────────
NTPは、細工されたNTPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/12/10 登録

危険度:低
影響を受けるバージョン:4.2.4p8未満
影響を受ける環境:UNIX、Linux

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、drivers/firewire/ohci.cのNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルをクラッシュされる可能性がある。
2009/12/17 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Monkey──────────────────────────────
Monkeyは、細工されたHTTP GETリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2009/12/16 登録

危険度:低
影響を受けるバージョン:0.9.0
影響を受ける環境:Linux
回避策:0.9.3以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、"EXT4_IOC_MOVE_EXT" IOCTLを処理する際に適切なアクセス制限を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたり権限を昇格される可能性がある。 [更新]
2009/12/14 登録

危険度:高
影響を受けるバージョン:2.6.x
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、fuse_direct_io () 機能のinvalid pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にkernel oopsを引き起こされる可能性がある。 [更新]
2009/11/24 登録

危険度:低
影響を受けるバージョン:2.6.12 rc1〜2.6.31
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、gdth_read_event () 機能のエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルレベル特典でシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2009/11/24 登録

危険度:高
影響を受けるバージョン:2.6.0〜2.6.31
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、hfc_usb.c.のバッファオーバーフローが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/11/19 登録

危険度:高
影響を受けるバージョン:2.6.0〜2.6.31
影響を受ける環境:Linux
回避策:2.6.32.-rc7以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、megaraid_sasドライバが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/11/16 登録

危険度:高
影響を受けるバージョン:2.6.0〜2.6.27
影響を受ける環境:Linux
回避策:2.6.27-rc4以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、nfs4_proc_lock() 機能のNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/09 登録

危険度:低
影響を受けるバージョン:2.6.0〜2.6.31
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、af_unix.cのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをハングアップされる可能性がある。 [更新]
2009/10/27 登録

危険度:低
影響を受けるバージョン:2.2.27、2.4.1〜2.4.37.6、2.6.0〜2.6.31.4
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、netlinkサブシステムが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。 [更新]
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.4.1〜2.4.37.5、2.6.0〜2.6.12.6
影響を受ける環境:Linux
回避策:2.4.37.6あるいは2.6.13-rc1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、特定のtcmの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。
2009/10/22 登録

危険度:低
影響を受けるバージョン:2.4.1〜2.4.37.6、2.6.0〜2.6.32 rc4
影響を受ける環境:Linux
回避策:2.6.32-rc5以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、AppleTalkプロトコルカーネルモジュールのメモリリークエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリリソースを過度に消費される可能性がある。 [更新]
2009/09/16 登録

危険度:低
影響を受けるバージョン:2.4.33〜2.6.31 rc7
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽NetworkManager──────────────────────────
NetworkManagerは、パーミッションを適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にネットワーク接続を修正されたり削除される可能性がある。[更新]
2009/03/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽WordPress────────────────────────────
WordPress 2.9 RC1がリリースされた。
http://ja.wordpress.org/

▽MonoDevelop───────────────────────────
MonoDevelop 2.2がリリースされた。
http://www.mono-project.com/

▽Mono───────────────────────────────
Mono 2.6がリリースされた。
http://www.mono-project.com/

▽OpenSSO Express─────────────────────────
OpenSSO Express 9がリリースされた。
http://www.sun.com/

▽OpenDS──────────────────────────────
OpenDS Standard Eition 2.2がリリースされた。
http://www.sun.com/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32-git13がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、「情報通信の安心安全な利用のための標語」の募集について
http://www.fmmc.or.jp/hyogo/

▽トピックス
総務省、今後のICT分野における国民の権利保障等の在り方を考えるフォーラム(第1回会合)配布資料・会合中継
http://www.soumu.go.jp/main_sosiki/kenkyu/kenri_hosyou/22648.html

▽トピックス
JPCERT/CC、冬期の長期休暇を控えて
http://www.jpcert.or.jp/pr/2009/pr090007.txt

▽トピックス
JVN、Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性
http://jvn.jp/cert/JVNVU508357/index.html

▽トピックス
国民生活センター、「無料」のはずが高額請求、子どもに多いオンラインゲームのトラブル(インターネットをめぐる消費者トラブル #2)
http://www.kokusen.go.jp/news/data/n-20091216_2.html

▽トピックス
トレンドマイクロ、Trend Micro ビジネスセキュリティ 6.0 Service Pack 1 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1342

▽トピックス
トレンドマイクロ、InterScan Messaging Security Suite 7.0 Windows版 Service Pack1 Patch1 リパック版公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1339

▽トピックス
トレンドマイクロ、InterScan Messaging Security Suite 7.0 Linux版Service Pack 1 Patch 2 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1341

▽トピックス
トレンドマイクロ、InterScan Messaging Security Suite 7.0 Windows版Service Pack 1 Patch 2 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1340

▽トピックス
トレンドマイクロ、BINDに存在する脆弱性および脆弱性に対する修正プログラムの提供について
http://www.trendmicro.co.jp/support/news.asp?id=1301

▽トピックス
エフセキュアブログ、機密情報を編集しない方法
http://blog.f-secure.jp/archives/50315714.html

▽トピックス
NTTドコモ、docomo PRO series T-01A バージョンアップのお知らせ
http://www.nttdocomo.co.jp/support/utilization/software_update/version_up/t01a/index.html

▽トピックス
NTTドコモ、ドコモ・富士通の2社でIPネットワークにおける障害検出および発生区間特定技術を共同開発
http://www.nttdocomo.co.jp/info/news_release/page/091216_00.html?ref=info_top

▽トピックス
au、au携帯電話の「ケータイアップデート」についてのお知らせ
http://www.au.kddi.com/seihin/up_date/kishubetsu/au_info_20091217.html

▽トピックス
NTTコミュニケーションズ、「ArcstarグローバルIP-VPNサービス」の提供エリア拡大について
http://www.ntt.com/release/monthNEWS/detail/20091216.html

▽トピックス
KDDI、「KDDI Global IP-VPN」における新メニュー「KDDI Global IP-VPNエコノミー」の提供開始について
http://www.kddi.com/corporate/news_release/2009/1217/index.html

▽トピックス
KDDI、「auひかり マンションミニ ギガ」の提供開始について
http://www.kddi.com/corporate/news_release/2009/1216/index.html

▽トピックス
マイクロソフト、Microsoft(R) Office Personal 2007 2 年間ライセンス版専用 永続ライセンス変換パッケージを 2010 年 1 月 15 日(金)より発売
http://www.microsoft.com/japan/office/2007/2yr/conversion.mspx

▽トピックス
キヤノンITソリューションズ、低価格な電子メール暗号化サービス「まる秘め〜る」を販売
http://www.canon-its.co.jp/company/news/20091217mrh.html

▽トピックス
ユニアデックス、日本ユニシス 低価格SaaS型メールアウトソーシングサービス「スパークメール(R)」Webメール機能を強化
http://www.uniadex.co.jp/news/2009/news_20091217_372.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.697.80 (12/17)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽サポート情報
トレンドマイクロ、マルウェアDCT:1066 (12/17)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4500&pageNo=1&news_gu=04

▽統計・資料
JPNIC、アジア太平洋地域の国別IPv4アドレス、IPv6アドレス、AS番号配分状況を更新
http://www.nic.ad.jp/ja/stat/ip/asia-pacific.html

▽統計・資料
JPNIC、地域インターネットレジストリ(RIR)ごとのIPv4アドレス、IPv6アドレス、AS番号配分状況を更新
http://www.nic.ad.jp/ja/stat/ip/world.html

▽ウイルス情報
シマンテック、Suspicious.DLoader
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121622-2807-99

▽ウイルス情報
マカフィー、Exploit-PDF.ag
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-PDF.ag

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
 Debianがnetwork-manager、network-manager-applet、cactiのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●MIRACLE Linuxがntpおよびpostgresqlのアップデートをリリース
───────────────────────────────────
 Miracle Linuxがntpおよびpostgresqlのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/?q=update_info

───────────────────────────────────
●SuSE Linuxがkernelのアップデートをリリース
───────────────────────────────────
 SuSE Linuxがkernelのアップデートをリリースした。このアップデートによって、kernelにおける複数の問題が修正される。


SuSe Security Announcement
http://www.suse.de/de/security/

───────────────────────────────────
●RedHat Linuxがfirefoxのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがfirefoxのアップデートをリリースした。このアップデートによって、firefoxにおける複数の問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

脆弱性と脅威 カテゴリの人気記事 MONTHLY ランキング

  1. GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

    GNU wget に HTTP プロトコルのハンドリングにおける値検証不備に起因するバッファオーバーフローの脆弱性(Scan Tech Report)

  2. 「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

    「Microsoft Office 数式エディタ」に任意コード実行の脆弱性(JVN)

  3. 8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

    8以降のWindowsに、特定のメモリアドレスのコードを悪用される脆弱性(JVN)

  4. 送信者を偽装できる脆弱性「Mailsploit」に注意、メールソフト別対応状況一覧(JPCERT/CC)

  5. Microsoft .NET Framework における WSDL パーサでの値検証不備により遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)

  6. AIや機械学習による自動化がさまざまなサイバー攻撃に活用、2018年予想(フォーティネット)

  7. パケット解析ツール「Packetbeat」にDoS攻撃を受ける脆弱性(JVN)

  8. 脆弱性体験学習ツール「AppGoat」の集合教育向け手引書と解説資料を公開(IPA)

  9. サポート終了のモバイルルータ「PWR-Q200」に脆弱性、使用中止を呼びかけ(JVN)

  10. IT資産管理ツール「QND」にファイルの改ざんや取得の脆弱性(JVN)

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×