セキュリティホール情報<2009/12/21> | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.07.23(月)

セキュリティホール情報<2009/12/21>

脆弱性と脅威 セキュリティホール・脆弱性

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Wireshark────────────────────────────
Wiresharkは、細工されたデータによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受けたりシステム上で任意のコードを実行される可能性がある。
2009/12/21 登録

危険度:
影響を受けるバージョン:0.9.2〜1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.5以降へのバージョンアップ

▽jCore Server───────────────────────────
jCore Serverは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:0.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽WP-Forum─────────────────────────────
WP-Forumは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:2.3
影響を受ける環境:UNIX、Linux、Windows
回避策:2.4以降へのバージョンアップ

▽EEGShop─────────────────────────────
EEGShopは、細工されたSQLステートメントをshhr_inc.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pre Jobo.NET───────────────────────────
Pre Jobo.NETは、細工されたSQLステートメントをindex.aspxあるいはlogin.aspxスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez News Manager─────────────────────────
Ez News Managerは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽VideoCache────────────────────────────
VideoCacheは、vccleanerユーティリティが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.9.2
影響を受ける環境:Mac OS X、Windows
回避策:公表されていません

▽PHP───────────────────────────────
PHPは、htmlspecialchars() 機能がユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:高
影響を受けるバージョン:5.2.0〜5.2.11
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.12以降へのバージョンアップ

▽JoomPortfolio component for Joomla!───────────────
JoomPortfolio component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽eUploader────────────────────────────
eUploaderは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:3.11 Pro
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽F3Site──────────────────────────────
F3Siteは、細工されたURLリクエストをnew.phpスクリプトに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:2009
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pyrmont V2────────────────────────────
Pyrmont V2は、細工されたSQLステートメントをresults.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:2.0.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽iDevCart─────────────────────────────
iDevCartは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.09
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽com_personel component for Joomla!────────────────
com_personel component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PhpLinkExchange─────────────────────────
PhpLinkExchangeは、細工されたHTTPリクエストをadd_images.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPスクリプトを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.02
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ReVou Micro Blogging───────────────────────
ReVou Micro Bloggingは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽PHP F1──────────────────────────────
PHP F1は、細工されたHTTPリクエストをadmin.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPスクリプトを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽GuestBookPro───────────────────────────
GuestBookProは、Webルートにストアされたguestbook.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にユーザデータをはじめとする機密情報を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ScriptsEz Ez Blog────────────────────────
ScriptsEz Ez Blogは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Centreon─────────────────────────────
Centreonは、認証メカニズムが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセスを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:2.0〜2.1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:2.1.4以降へのバージョンアップ

▽eWebquiz─────────────────────────────
eWebquizは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:8.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Active Auction House───────────────────────
Active Auction Houseは、細工されたSQLステートメントをlinks.aspあるいはwishlist.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:3.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pre Hospital Management System──────────────────
Pre Hospital Management Systemは、細工されたSQLステートメントをdepartment.phpあるいはlogin.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Pluxml-Blog───────────────────────────
Pluxml-Blogは、auth.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:4.2 beta fr
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Staging module for Sitecore───────────────────
Staging module for Sitecoreは、api.asmx (Staging Webservice) スクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを改ざんされる可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:5.4.0 rev.080625
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.0以降へのバージョンアップ

▽Jobscript4Web──────────────────────────
Jobscript4Webは、admin_staffsおよびadminpass_submit.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:3.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ez FAQ Maker───────────────────────────
Ez FAQ Makerは、admin.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Matrimony Script─────────────────────────
Matrimony Scriptは、admin_staff.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Mojo iWMS────────────────────────────
Mojo iWMSは、default.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Locale module for Drupal─────────────────────
Locale module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:6.14
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Drupal module──────────────────────────
複数のDrupal moduleは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:Menu module for Drupal、Contact module for Drupal
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Charon Cart───────────────────────────
Charon Cartは、細工されたSQLステートメントをreview_update.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Multi-Lingual Application────────────────────
Multi-Lingual Applicationは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽P forum─────────────────────────────
P forumは、「/../」を含む細工されたURLリクエストをpforum.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.27
影響を受ける環境:UNIX、Linux、Windows
回避策:1.28以降へのバージョンアップ

▽Quartz Concept Content Manager──────────────────
Quartz Concept Content Managerは、細工されたSQLステートメントをiindex.aspスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Smart PHP Subscriber───────────────────────
Smart PHP Subscriberは、ファイルのアクセス制限を適切に行っていないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にpwd.txtおよびsubscribe.txtファイルの内容を入手される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Sections module for Drupal────────────────────
Sections module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:5.x-1.0、1.1、1.2、6.x-1.0、1.1、1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽iSupport─────────────────────────────
iSupportは、index.phpおよびfunction.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.8
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Family Connections────────────────────────
Family Connectionsは、細工されたHTTPリクエストをupimages.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.4、1.8.1、1.8.2、1.9、2.1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽pyForum─────────────────────────────
pyForumは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.0.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Recipe Script──────────────────────────
Recipe Scriptは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽427BB──────────────────────────────
427BBは、細工されたSQLステートメントをshowpost.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:2.0、2.1、2.2、2.2.1、2.3.1、2.3.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽IBM Rational ClearQuest─────────────────────
IBM Rational ClearQuestは、機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にパスワード情報を奪取される可能性がある。 [更新]
2009/12/18 登録

危険度:低
影響を受けるバージョン:7.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽HP OpenView Storage Data Protector────────────────
HP OpenView Storage Data Protectorは、細工されたデータを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/12/18 登録

危険度:高
影響を受けるバージョン:v5.50、v6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Cisco WebEx WRF Player──────────────────────
Cisco WebEx WRF Playerは、細工されたWRFファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/12/18 登録

危険度:高
影響を受けるバージョン:26.00、27.00
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.6未満、3.0.16未満、SeaMonkey 2.0.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:
影響を受けるバージョン:7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽Digital Scribe──────────────────────────
Digital Scribeは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/12/15 登録

危険度:中
影響を受けるバージョン:1.4.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ruby on Rails──────────────────────────
Ruby on Railsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/01 登録

危険度:中
影響を受けるバージョン:2.3.5未満
影響を受ける環境:UNIX、Linux、Windows
回避策:2.3.5以降へのバージョンアップ

▽Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security(TLS)プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度:中
影響を受けるバージョン:Apache 2.2.8、2.2.9、Microsoft IIS 7.0、7.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽mod_proxy_ftp module for Apache─────────────────
mod_proxy_ftp module for Apacheは、セキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にFTPサーバ上で任意のコマンドを実行される可能性がある。 [更新]
2009/09/24 登録

危険度:中
影響を受けるバージョン:1.3.41、2.0.63、2.2.13
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽Ruby on Rails──────────────────────────
Ruby on Railsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/09/07 登録

危険度:中
影響を受けるバージョン:2.0、2.0.4、2.0.5、2.1、2.1.1、2.2.2、2.3.2、2.3.3
影響を受ける環境:UNIX、Linux、Windows
回避策:2.3.4あるいは2.2.3以降へのバージョンアップ

▽Ruby on Rails──────────────────────────
Ruby on Railsは、無効な認証資格証明を送ることでセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にHTTP認証を回避されシステムへの無許可のアクセスを実行される可能性がある。 [更新]
2009/07/07 登録

危険度:中
影響を受けるバージョン:2.3.2
影響を受ける環境:UNIX、Linux、Windows
回避策:2.3.3以降へのバージョンアップ

▽Ruby on Rails──────────────────────────
Ruby on Railsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/09/16 登録

危険度:中
影響を受けるバージョン:1.1.0、1.1.2、1.1.4、1.1.5、1.2.3、1.2.4、1.2.6、2.0.2、2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:2.1.1以降へのバージョンアップ

▽Ruby on Rails──────────────────────────
Ruby on Railsは、session fixation保護機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られアプリケーションへの無許可のアクセスを実行される可能性がある。 [更新]
2007/11/28 登録

危険度:中
影響を受けるバージョン:1.2.6未満
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.6以降へのバージョンアップ

▽Ruby on Rails──────────────────────────
Ruby on Railsは、セッションを適切に取り扱わないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションハイジャックを引き起こされる可能性がある。 [更新]
2007/11/14 登録

危険度:中
影響を受けるバージョン:1.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:1.2.5以降へのバージョンアップ

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Trango Access5830────────────────────────
Trango Access5830は、subscriber unit synchronizationリクエストを処理する際のインプリメンテーションエラーが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に正当なIDを推測されアクセスポイントに無許可のアクセスを実行される可能性がある。
2009/12/21 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:Trango Access5830
回避策:公表されていません

▽D-Link DIR-615──────────────────────────
D-Link DIR-615は、apply.cgiスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に認証を回避されデバイスのアドミニストレーション機能を実行される可能性がある。
2009/12/21 登録

危険度:低
影響を受けるバージョン:3.10NA
影響を受ける環境:D-Link DIR-615
回避策:公表されていません

▽Winamp──────────────────────────────
Winampは、細工されたMP3ファイルを開くことで複数の整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/12/21 登録

危険度:高
影響を受けるバージョン:5.56
影響を受ける環境:Windows
回避策:5.57以降へのバージョンアップ

▽Quick Heal Antivirus───────────────────────
Quick Heal Antivirusは、SCANWSCS.EXEを改ざんして再起動することで権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/12/21 登録

危険度:高
影響を受けるバージョン:2010 4.0.0.1
影響を受ける環境:Windows
回避策:5.57以降へのバージョンアップ

▽Cisco ASA────────────────────────────
Cisco ASAは、細工されたURLによってWebVPN bookmark listを回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にネットワークリソースにアクセスされる可能性がある。 [更新]
2009/12/18 登録

危険度:中
影響を受けるバージョン:8.x
影響を受ける環境:Cisco ASA
回避策:公表されていません

▽Kaspersky Internet Security───────────────────
Kaspersky Internet Securityは、フォルダに適切なパーミッションを設定していないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。[更新]
2009/12/18 登録

危険度:高
影響を受けるバージョン:7.0.1.325、2009 (8.0.0.x)、2010 (9.0.0.463)
影響を受ける環境:Windows
回避策:2010 (9.0.0.736) 以降へのバージョンアップ

▽Kaspersky Anti-Virus───────────────────────
Kaspersky Anti-Virusは、フォルダに適切なパーミッションを設定していないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/12/18 登録

危険度:高
影響を受けるバージョン:5.0.712、6.0.3.837 for Windows Workstations、Personal 5.0.x, 6.0.3.837 for Windows File Servers、7.0.1.325、2009 (8.0.0.x)、2010 (9.0.0.463)
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Rumba XML────────────────────────────
Rumba XMLは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽Celerondude Uploader───────────────────────
Celerondude Uploaderは、細工されたHTTPリクエストをindex.phpスクリプトに送ることで任意のファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるPHPスクリプトを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:5.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽GNU Automake───────────────────────────
GNU Automakeは、"make dist"および"make distcheck"が動作している際にファイルのパーミッションを「777」に設定する競合条件が発生するセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/12/21 登録

危険度:中
影響を受けるバージョン:1.10.2、1.7〜1.8.2
影響を受ける環境:UNIX、Linux
回避策:1.11.1あるいは1.10.3以降へのバージョンアップ

▽Horde Application Framework───────────────────
Horde Application Frameworkは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/17 登録

危険度:中
影響を受けるバージョン:3.3.5
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽GNU Core Utilities────────────────────────
GNU Core Utilitiesは、"distcheck" Makefile ruleが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルに上書きされる可能性がある。 [更新]
2009/12/11 登録

危険度:中
影響を受けるバージョン:5.2.1、8.1
影響を受ける環境:UNIX、Linux
回避策:パッチのインストール

<IBM-AIX>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IBM AIX─────────────────────────────
IBM AIXは、過度に長いアーギュメントコマンドを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/12/21 登録

危険度:高
影響を受けるバージョン:6.1
影響を受ける環境:IBM AIX
回避策:ベンダの回避策を参照

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽NetworkManager──────────────────────────
NetworkManagerは、D-Busシグナルをモニタすることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2009/12/21 登録

危険度:低
影響を受けるバージョン:0.7.2
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽Open Source Security Information Management───────────
Open Source Security Information Management(OSSIM)は、細工されたSQLステートメントをrepository_attachment.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/12/18 登録

危険度:高
影響を受けるバージョン:2.1.5
影響を受ける環境:Linux
回避策:2.1.5-4以降へのバージョンアップ

▽acpid──────────────────────────────
acpidは、適切なパーミッションを設定していないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/12/08 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:各ベンダの回避策を参照

▽CMAN───────────────────────────────
CMAN(Cluster Manager)は、config loaderが適切なチェックを行っていないことが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリを不能にされ、利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/04/16 登録

危険度:低
影響を受けるバージョン:2.03.03-1、2.03.04-1、2.03.05-1、2.03.07-1、2.03.08-1
影響を受ける環境:Linux
回避策:公表されていません

▽Cluster Project─────────────────────────
Cluster Projectは、不安定な一時ファイルを作成することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2008/11/10 登録

危険度:高
影響を受けるバージョン:2.0
影響を受ける環境:Linux
回避策:2.03.09以降へのバージョンアップ

▽Fence / cman───────────────────────────
Fenceおよびcmanは、fence_apcとfence_apc_snmpが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2008/10/20 登録

危険度:中
影響を受けるバージョン:2.02.00 r1
影響を受ける環境:Linux
回避策:公表されていません

▽cman───────────────────────────────
cmanは、fence_egeneraスクリプトが不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムの任意のファイルを上書きされる可能性がある。 [更新]
2008/09/04 登録

危険度:中
影響を受けるバージョン:2.03.07
影響を受ける環境:Linux
回避策:公表されていません


<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Unbound─────────────────────────────
Unbound 1.4.1がリリースされた。
http://unbound.net/downloads/unbound-1.4.0.tar.gz

▽WordPress────────────────────────────
WordPress 2.9 日本語版がリリースされた。
http://ja.wordpress.org/

▽PacketiX VPN───────────────────────────
PacketiX VPN 3.0 RC1がリリースされた。
http://www.softether.co.jp/jp/news/091221.aspx

▽Apple メールサービス───────────────────────
Apple メールサービスアップデート 1.0 for Snow Leopard Serverが
リリースされた。
http://support.apple.com/kb/DL982?viewlocale=ja_JP&locale=ja_JP

▽Apple Xsan────────────────────────────
Apple Xsan 2.2.1 アップデートがリリースされた。
http://support.apple.com/ja_JP/downloads/

▽Moonlight────────────────────────────
Moonlight 2.0がリリースされた。
http://www.mono-project.com/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc1-git1がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32.2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31.9がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27.42がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、電気通信サービスに関するトラブルの現状
http://www.soumu.go.jp/menu_news/s-news/22792.html

▽トピックス
総務省、年末年始における綱紀の厳正な保持
http://www.soumu.go.jp/menu_news/s-news/02jinji02_000025.html

▽トピックス
マカフィー、HP 社のData Vault デバイスへセキュリティソフトウェアを搭載
http://www.mcafee.com/japan/about/prelease/pr_09b.asp?pr=09/12/18-1

▽トピックス
キヤノンITソリューションズ、2009年11月の月間マルウェアランキング結果発表
http://canon-its.jp/product/eset/topics/malware0911.html

▽トピックス
AVG JAPAN、年末年始にともなうサポート業務休業のお知らせ
http://www.avgjapan.com/information/info032.html

▽トピックス
トレンドマイクロ:ブログ、年末年始におけるセキュリティ対策の再確認
http://blog.trendmicro.co.jp/archives/3269

▽トピックス
エフセキュアブログ、Steamフィッシング
http://blog.f-secure.jp/archives/50316324.html

▽トピックス
エフセキュアブログ、Ikee.B iPhoneワームの詳細レポート
http://blog.f-secure.jp/archives/50316242.html

▽トピックス
WILLCOM、ウィルコムサービスセンター自動音声メンテナンスのお知らせ(12月25日)
http://www.willcom-inc.com/ja/info/09121801.html

▽トピックス
マイクロソフト、国立高等専門学校機構とマイクロソフトが世界に通じる高度IT人材育成を目指し、包括的な協力関係を構築
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3794

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.703.80 (12/19)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽サポート情報
トレンドマイクロ、マルウェアDCT:1066 (12/19)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4504&pageNo=1&news_gu=04

▽ウイルス情報
シマンテック、SysDefence
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-121814-4457-99

▽ウイルス情報
シマンテック、Packed.Generic.275
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-121805-4434-99

▽ウイルス情報
シマンテック、Bloodhound.Exploit.312
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-120822-2007-99

◆アップデート情報◆
───────────────────────────────────
●Gentoo LinuxがRuby on Railsのアップデートをリリース
───────────────────────────────────
 Gentoo LinuxがRuby on Railsのアップデートをリリースした。このアップデートによって、Ruby on Railsにおける複数の問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
 Debianがacpid、ganeti、xulrunnerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Turbolinuxがbase-sitestats-scriptsのアップデートをリリース
───────────────────────────────────
 Turbolinuxがbase-sitestats-scriptsのアップデートをリリースした。このアップデートによって、ログレポートの重複の問題が修正される。


Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●MIRACLE Linuxがcupsのアップデートをリリース
───────────────────────────────────
 Miracle Linuxがcupsのアップデートをリリースした。このアップデートによって、英語以外の言語のドキュメントが印刷できない問題が修正される。


Miracle Linux アップデート情報
http://www.miraclelinux.com/support/?q=update_info

───────────────────────────────────
●Slackwareがseamonkeyのアップデートをリリース
───────────────────────────────────
 Slackwareがseamonkeyのアップデートをリリースした。このアップデートによって、seamonkeyにおける複数の問題が修正される。


Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2009

───────────────────────────────────
●Ubuntu Linuxが複数のアップデートをリリース
───────────────────────────────────
 Ubuntu Linuxがfirefox-3.5、xulrunner-1.9.1、firefox-3.0、xulrunner-1.9、redhat-cluster、redhat-cluster-suiteのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/usn/

───────────────────────────────────
●RedHat Linuxがvixie-cronおよびopenCryptokiのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがvixie-cronおよびopenCryptokiのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがmerkaartorのアップデートをリリース
───────────────────────────────────
 RedHat Fedoraがhttpd、drupal、coreutils、firefox、ruby-gnome2、epiphany-extensions、perl-Gtk2-MozEmbed、yelp、mozvoikko、monodevelop、kazehakase、google-gadgets、hulahop、Miro、gnome-python2-extras、gnome-web-photo、galeon、evolution-rss、blam、epiphany、chmsee、pcmanx-gtk2、tomcat-native、rubygem-actionpack、seamonkey、postgresql、gtk2のアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.htm
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×