セキュリティホール情報<2010/01/05> | ScanNetSecurity
2021.06.13(日)

セキュリティホール情報<2010/01/05>

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。 「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威 セキュリティホール・脆弱性
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。


<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽ XOOPS──────────────────────────────
XOOPSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:
影響を受けるバージョン:2.4.2以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.4.3以降へのバージョンアップ

▽ VisionGate────────────────────────────
VisionGateは、login.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.6、2.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Joomla!─────────────────────────────
Joomla!は、さまざまなパラメータを使って多数URLリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:1.5〜1.5.14
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ WordPress────────────────────────────
WordPressは、さまざまなパラメータを使って多数URLリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:2.9
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Drupal──────────────────────────────
Drupalは、さまざまなパラメータを使って多数URLリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:5.21、6.16
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ HLstats─────────────────────────────
HLstatsは、stats.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.35
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Desteam Uploader─────────────────────────
Desteam Uploaderは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ VirtuaNews────────────────────────────
VirtuaNewsは、install.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーターアカウントを作成される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHPCart─────────────────────────────
PHPCartは、search.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:3.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ UCStats─────────────────────────────
UCStatsは、細工されたSQLステートメントをstats.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ DS CMS──────────────────────────────
DS CMSは、細工されたSQLステートメントをpfNewsDetail.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ BlogWorx Blog──────────────────────────
BlogWorx Blogは、Webルートにストアされたteadmin.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Magic News Plus─────────────────────────
Magic News Plusは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ ArticleLive───────────────────────────
ArticleLiveは、細工されたSQLステートメントをblogs.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.7.1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Cype CMS─────────────────────────────
Cype CMSは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Hit Counter───────────────────────────
Hit Counterは、特定のスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ EchoArticles───────────────────────────
EchoArticlesは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ arab3 upload───────────────────────────
arab3 uploadは、uploader.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ AL-Athkat────────────────────────────
AL-Athkatは、tell_frend.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ SuperLink Script─────────────────────────
SuperLink Scriptは、細工されたSQLステートメントをmore-news.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Classified Ads Script──────────────────────
Classified Ads Scriptは、細工されたSQLステートメントをstore_info.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ easyPortal────────────────────────────
easyPortalは、index.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に個人のメッセージやニュースを削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.0.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ pL-PHP──────────────────────────────
pL-PHPは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:0.9b
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ fileNice─────────────────────────────
fileNiceは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Weatimages────────────────────────────
Weatimagesは、「/../」を含む細工されたURLリクエストをindex.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.7.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ SendStudio────────────────────────────
SendStudioは、index.phpスクリプトのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:4.0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Auto-Host────────────────────────────
Auto-Hostは、apple.incファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックアップファイルをダウンロードされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ BosClassifieds──────────────────────────
BosClassifiedsは、recent.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.20
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ HlstatsX─────────────────────────────
HlstatsXは、細工されたSQLステートメントをhlstats.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ I-RATER Basic──────────────────────────
I-RATER Basicは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHPMyCart────────────────────────────
PHPMyCartは、addn.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへのアドミニストレーションアクセスを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ phpYellow────────────────────────────
phpYellowは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PicMe──────────────────────────────
PicMeは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:2.1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ UBB.threads───────────────────────────
UBB.threadsは、細工されたURLリクエストを特定のスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Despe FreeCell──────────────────────────
Despe FreeCellは、solitaire.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ vBulletin────────────────────────────
vBulletinは、入力を適切にチェックしていないことと関連するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にスプーフィング攻撃を受ける可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:3.7.0、3.8.0 rc2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ bbScript─────────────────────────────
bbScriptは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.1.2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Invision Power Board───────────────────────
Invision Power Boardは、Webルートにストアされたバックアップファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックアップファイルをダウンロードされる可能性がある。
2010/01/05 登録

危険度:低
影響を受けるバージョン:2.0.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHP-MySQL-Quiz──────────────────────────
PHP-MySQL-Quizは、細工されたSQLステートメントをeditquiz.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Pre ADS Portal──────────────────────────
Pre ADS Portalは、細工されたSQLステートメントをshowcategory.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Freewebscriptz Games───────────────────────
Freewebscriptz Gamesは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PhotoDiary────────────────────────────
PhotoDiaryは、細工されたURLリクエストをinstall.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PhotoPost Classifieds──────────────────────
PhotoPost Classifiedsは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.8.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ airmonoblock component for Joomla!────────────────
airmonoblock component for Joomla!は、細工されたSQLステートメントをindex2.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Multi Forums───────────────────────────
Multi Forumsは、directory.phpおよびnew_forum.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ AproxEngine───────────────────────────
AproxEngineは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:5.3.4、6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Jax Guestbook──────────────────────────
Jax Guestbookは、guestbook.admin.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:3.50
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Traffic Exchange Script─────────────────────
Traffic Exchange Scriptは、faq.phpおよびregister.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Frequently Asked Questions (faq) module for Drupal────────
Frequently Asked Questions (faq) module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:5.x-2.13、6.x-1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ phpLDAPadmin───────────────────────────
phpLDAPadminは、細工されたURLリクエストをcmd.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/17 登録

危険度:中
影響を受けるバージョン:1.1.0.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Piwik──────────────────────────────
Piwikは、ofc_upload_image.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2009/10/21 登録

危険度:高
影響を受けるバージョン:0.4.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ GD Graphics Library───────────────────────
GD Graphics Libraryは、細工されたGDファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。なお、同様の脆弱性がPHPにも存在する。 [更新]
2009/10/19 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Microsoft Internet Information Services─────────────
Microsoft Internet Information Services(ISS)は、細工されたWebサイトを開くことで悪意ある実行ファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Kayako eSupport─────────────────────────
Kayako eSupportは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2010/01/05 登録

危険度:中
影響を受けるバージョン:3.04.10
影響を受ける環境:Windows
回避策:公表されていません

▽ BigAnt Messenger─────────────────────────
BigAnt Messengerは、過度に長いUSVリクエストをTCP 6660ポートに送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2010/01/04 登録

危険度:高
影響を受けるバージョン:2.52
影響を受ける環境:Windows
回避策:公表されていません

▽ Sound Converter ActiveX control─────────────────
Sound Converter ActiveX control(sndConverter.ocx)は、悪意あるWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2010/01/04 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

▽ VideoIsland───────────────────────────
VideoIslandは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意の.aspコードを実行される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Kerberos─────────────────────────────
Kerberosは、KDC cross-realm referral processing code (do_tgs_req.c) のkdc_err() 機能のnull pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にKDCをクラッシュされる可能性がある。 [更新]
2010/01/04 登録

危険度:低
影響を受けるバージョン:krb5-1.7
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

▽ OpenX──────────────────────────────
OpenXは、アドミニストレーションインタフェースに関連する特定されていないエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:2.8、2.8.1、2.8.2
影響を受ける環境:UNIX、Linux
回避策:2.8.2以降へのバージョンアップ

▽ Vsftpd──────────────────────────────
Vsftpdは、VSFTPD-WEBMIN-MODULEに特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:1.2a、1.2b
影響を受ける環境:UNIX、Linux
回避策:1.3b以降へのバージョンアップ

▽ Kolab Server───────────────────────────
Kolab Serverは、イメージアップロードフォームと関連するエラーが原因で特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:2.0.0、2.1、2.2
影響を受ける環境:UNIX、Linux
回避策:2.2.3以降へのバージョンアップ

▽ FreePBX─────────────────────────────
FreePBXは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:2.4〜2.6
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ expat──────────────────────────────
expatは、細工されたUTF-8を含むXMLドキュメントを処理することでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。[更新]
2009/12/07 登録

危険度:低
影響を受けるバージョン:2.0.1
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Linux Kernel───────────────────────────
Linux Kernelは、fuse_ioctl_copy_user() 機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。[更新]
2009/12/25 登録

危険度:低
影響を受けるバージョン:2.6.30
影響を受ける環境:Linux
回避策:2.6.31以降へのバージョンアップ

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Spring Roo────────────────────────────
Spring Roo 1.0.0がリリースされた。
http://www.springsource.org/roo

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc2-git6がリリースされた。
http://www.kernel.org/


<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
警察庁、振り込め詐欺被害者が現金等を送付した住所の公表について
http://www.npa.go.jp/pressrelease/souni/furikome_jyusyo.pdf

▽ トピックス
カスペルスキー、マルウェアマンスリーレポート : 2009 年 12 月
http://www.kaspersky.co.jp/news?id=207578796

▽ トピックス
富士通、非接触型手のひら静脈認証装置の製品ラインナップを大幅に強化
http://www.frontech.fujitsu.com/release/prs100105.html

▽ トピックス
ターボリナックス、Cobalt互換「TLAS3」とウイルス・スパム対策ソフトウェアの共同展開でギデオンがTurboPartnersに加入
http://www.turbolinux.co.jp/cgi-bin/notify/index.cgi?date2=20100005111253&mode=syosai

▽ サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.743.80 (01/04)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4524&pageNo=1&news_gu=04

▽ ウイルス情報
シマンテック、Trojan.FakeAV!gen13
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2010-010423-1940-99

▽ ウイルス情報
マカフィー、W32/Autorun.worm.bbc
http://www.mcafee.com/japan/security/virA.asp?v=W32/Autorun.worm.bbc

▽ ウイルス情報
マカフィー、Generic Dropper!bsq
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Dropper!bsq

▽ ウイルス情報
マカフィー、W32/Spybot.worm!cq
http://www.mcafee.com/japan/security/virS.asp?v=W32/Spybot.worm!cq

◆アップデート情報◆
───────────────────────────────────
●Debianがpostgresqlのアップデートをリリース
───────────────────────────────────
 Debianがpostgresqlのアップデートをリリースした。このアップデートによって、postgresqlにおける複数の問題が修正される。


Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●RedHat LinuxがPyXMLおよびgdのアップデートをリリース
───────────────────────────────────
 RedHat LinuxがPyXMLおよびgdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがgimpのアップデートをリリース
───────────────────────────────────
 RedHat Fedoraがgimpのアップデートをリリースした。このアップデートによって、gimpにおける複数の問題が修正される。


RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×