セキュリティホール情報<2010/01/06> | ScanNetSecurity
2021.06.14(月)

セキュリティホール情報<2010/01/06>

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。 「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威 セキュリティホール・脆弱性
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。


◆セキュリティホール情報◆============================================
※各情報の日付はScan Daily Expressに掲載登録された日付です。

<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽ Deviant Art Clone────────────────────────
Deviant Art Cloneは、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ LightOpenCMS───────────────────────────
LightOpenCMSは、細工されたURLリクエストをsmarty.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:0.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Myteknoloji Hosting Scripti───────────────────
Myteknoloji Hosting Scriptiは、mds1.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/06 登録

危険度:低
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ KMSoft Guestbook─────────────────────────
KMSoft Guestbookは、db.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/06 登録

危険度:低
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ BLOG:CMS─────────────────────────────
BLOG:CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:4.0.0〜4.2.1c
影響を受ける環境:UNIX、Linux、Windows
回避策:4.2.1e以降へのバージョンアップ

▽ Bamboo Simpla Admin Template for Joomla!─────────────
Bamboo Simpla Admin Template for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0.12
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Mr.Saphp Arabic Script Mobile SMSPages──────────────
Mr.Saphp Arabic Script Mobile SMSPagesは、add.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ WMNews──────────────────────────────
WMNewsは、wmnews.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Service d'upload─────────────────────────
Service d'uploadは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Online Mnzik Arama────────────────────────
Online Mnzik Aramaは、iletisim.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ JeddaHost Upload─────────────────────────
JeddaHost Uploadは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Discuz!─────────────────────────────
Discuz!は、post.phpおよびmisc.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Free Proxy────────────────────────────
Free Proxyは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:0.5 beta 2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Cartikads component for Joomla!─────────────────
Cartikads component for Joomla!は、細工されたHTTPリクエストをuploadimage.phpスクリプトに送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ LXR Cross Referencer───────────────────────
LXR Cross Referencerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:0.9.5、0.9.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ tpjobs component for Joomla!───────────────────
tpjobs component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ WorldPay Script Shop───────────────────────
WorldPay Script Shopは、細工されたSQLステートメントをproductdetail.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Abbreviations Manager component for Joomla!───────────
Abbreviations Manager component for Joomla!は、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ MasterWeb Script─────────────────────────
MasterWeb Scriptは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Countries component for Joomla!─────────────────
Countries component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Bridge of Hope Template for Joomla!───────────────
Bridge of Hope Template for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Doqment component for Joomla!──────────────────
Doqment component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Otzivi component for Joomla!───────────────────
Otzivi component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ IMAGIN──────────────────────────────
IMAGINは、入力を適切にチェックしていないことが原因で悪意あるPHPコードを注入されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。なお、同様の脆弱性がJoomla! Component Ozio Galleryにも存在する。
2010/01/06 登録

危険度:高
影響を受けるバージョン:3.0 beta 5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Rezervi─────────────────────────────
Rezerviは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:3.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHP Banner Exchange───────────────────────
PHP Banner Exchangeは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.2 AR
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Portal ModulNet─────────────────────────
Portal ModulNetは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Proxyroll.com Clone PHP Script──────────────────
Proxyroll.com Clone PHP Scriptは、ユーザ入力を適切にチェックしていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にcurrency値を変更される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Simple Portal──────────────────────────
Simple Portalは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ ClipHouse────────────────────────────
ClipHouseは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Elite Gaming Ladders───────────────────────
Elite Gaming Laddersは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHP File Uploader────────────────────────
PHP File Uploaderは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ photokorn media gallery─────────────────────
photokorn media galleryは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.542
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Live Help────────────────────────────
Live Helpは、index_offline.phpおよびframes.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ iSubscribe────────────────────────────
iSubscribeは、testauthorize.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ ImageVue─────────────────────────────
ImageVueは、upload.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:r16
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Diesel Job Site─────────────────────────
Diesel Job Siteは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.4
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Interspire FastFind───────────────────────
Interspire FastFindは、index_offline.phpおよびframes.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2005.0.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Discuz!─────────────────────────────
Discuz!は、細工されたSQLステートメントをmisc.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.03
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Diesel Pay────────────────────────────
Diesel Payは、「/../」を含む細工されたURLリクエストをindex.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:1.6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ BosDirectory───────────────────────────
BosDirectoryは、advsearch.phpおよびinstall.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.50
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ XOOPS──────────────────────────────
XOOPSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/05 登録

危険度:
影響を受けるバージョン:2.4.2以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.4.3以降へのバージョンアップ

▽ Joomla!─────────────────────────────
Joomla!は、さまざまなパラメータを使って多数URLリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。 [更新]
2010/01/05 登録

危険度:低
影響を受けるバージョン:1.5〜1.5.14
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Drupal──────────────────────────────
Drupalは、さまざまなパラメータを使って多数URLリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータをアクセス不能にされる可能性がある。 [更新]
2010/01/05 登録

危険度:低
影響を受けるバージョン:5.21、6.16
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Weatimages────────────────────────────
Weatimagesは、「/../」を含む細工されたURLリクエストをindex.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:1.7.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ HlstatsX─────────────────────────────
HlstatsXは、細工されたSQLステートメントをhlstats.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PicMe──────────────────────────────
PicMeは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。 [更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:2.1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Despe FreeCell──────────────────────────
Despe FreeCellは、solitaire.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
[更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ AproxEngine───────────────────────────
AproxEngineは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:5.3.4、6.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Jax Guestbook──────────────────────────
Jax Guestbookは、guestbook.admin.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2010/01/04 登録

危険度:中
影響を受けるバージョン:3.50
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Traffic Exchange Script─────────────────────
Traffic Exchange Scriptは、faq.phpおよびregister.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Frequently Asked Questions (faq) module for Drupal────────
Frequently Asked Questions (faq) module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:5.x-2.13、6.x-1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PHP───────────────────────────────
PHPは、htmlspecialchars() 機能がユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/21 登録

危険度:高
影響を受けるバージョン:5.2.0〜5.2.11
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.12以降へのバージョンアップ

▽ PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/12/16 登録

危険度:高
影響を受けるバージョン:Firefox 3.5.6未満、3.0.16未満、
SeaMonkey 2.0.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PHP───────────────────────────────
PHPは、posix_mkfifo () 機能がopen_basedir値を適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に任意のファイルを作成される可能性がある。 [更新]
2009/11/24 登録

危険度:中
影響を受けるバージョン:5.3.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.3.1以降へのバージョンアップ

▽ GD Graphics Library───────────────────────
GD Graphics Libraryは、細工されたGDファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。なお、同様の脆弱性がPHPにも存在する。 [更新]
2009/10/19 登録

危険度:高
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHP───────────────────────────────
PHPは、imagecolortransparent() のカラーインデックスと関連する公表されていないエラーが原因でセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2009/09/24 登録

危険度:中
影響を受けるバージョン:5.2.0〜5.2.10
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.11以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、複数のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に制限されたディレクトリ外にあるプログラムを起動される可能性がある。[更新]
2009/08/26 登録

危険度:中
影響を受けるバージョン:5.2.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PHP───────────────────────────────
PHPは、mail.log設定オプションと関連するmain.cのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可の場所に任意のファイルを書き込まれる可能性がある。
2009/08/17 登録

危険度:中
影響を受けるバージョン:5.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PHP───────────────────────────────
PHPは、細工されたJPEGイメージファイルによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/06/22 登録

危険度:低
影響を受けるバージョン:5.2.0〜5.2.9
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.10以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、Apacheを実行している際にDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にWebサイトの特定の設定を変更される可能性がある。 [更新]
2009/04/08 登録

危険度:
影響を受けるバージョン:4.4.4、5.1.6
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PHP───────────────────────────────
PHPは、zip機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/02 登録

危険度:低
影響を受けるバージョン:5.2.0〜5.2.8
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.9以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、設定にかかわらずmagic_quotes_gpcを停止するFILTER_UNSAFE_RAW機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にさまざまな攻撃を受ける可能性がある。 [更新]
2009/01/08 登録

危険度:低
影響を受けるバージョン:5.2.7
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ

▽ UW-imapd─────────────────────────────
UW-imapdは、rfc822_output_char ()機能でのエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/12/24 登録

危険度:低
影響を受けるバージョン:2007dほか
影響を受ける環境:UNIX、Linux
回避策:2007e以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、mb_convert_encoding ()、mb_check_encoding ()、mb_convert_variables ()およびmb_parse_str ()機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2008/12/24 登録

危険度:高
影響を受けるバージョン:5.2.6ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/12/22 登録

危険度:中
影響を受けるバージョン:5.2.7以前
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、error_log指令を使用する際のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に限定されたディレクトリに悪意あるファイルを書き込まれる可能性がある。
2008/12/16 登録

危険度:中
影響を受けるバージョン:5.2.6
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ

▽ PHP───────────────────────────────
PHPは、「/../」を含む細工されたZIPアーカイブをアップロードされることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。 [更新]
2008/12/05 登録

危険度:中
影響を受けるバージョン:5.2.6ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.7以降へのバージョンアップ

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Microsoft Internet Information Services─────────────
Microsoft Internet Information Services(ISS)は、細工されたWebサイトを開くことで悪意ある実行ファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/25 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Net Transport──────────────────────────
Net Transportは、細工されたeDonkey OP_LOGINREQUESTパケットをeD2Kポートに送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/06 登録

危険度:高
影響を受けるバージョン:2.90.510
影響を受ける環境:Windows
回避策:公表されていません

▽ PDF-XChange Viewer────────────────────────
PDF-XChange Viewerは、細工されたPDFドキュメントを開くことでメモリを不能にされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:高
影響を受けるバージョン:2.0.42.9
影響を受ける環境:Windows
回避策:2.044以降へのバージョンアップ

▽ F5 Data Manager─────────────────────────
F5 Data Managerは、細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:2.06 Trial
影響を受ける環境:Windows
回避策:公表されていません

▽ Kayako eSupport─────────────────────────
Kayako eSupportは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2010/01/05 登録

危険度:中
影響を受けるバージョン:3.04.10
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Gbook MX─────────────────────────────
Gbook MXは、細工されたURLリクエストをgbook.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/06 登録

危険度:中
影響を受けるバージョン:4.1.0
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ Kerberos─────────────────────────────
Kerberosは、KDC cross-realm referral processing code (do_tgs_req.c) のkdc_err() 機能のnull pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にKDCをクラッシュされる可能性がある。 [更新]
2010/01/04 登録

危険度:低
影響を受けるバージョン:krb5-1.7
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照

<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/09/11 登録

危険度:高
影響を受けるバージョン:10.x、4.x
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

▽ Mac OS X─────────────────────────────
Appleは、Mac OS Xの新バージョンおよびApache、ATS、BIND、CFNetwork、CoreGraphics、Cscope、CUPS、Disk Images、enscript、Flash Playerplug-in、Help Viewer、iChat、International Components for Unicode、IPSec、Kerberos、Launch Services、libxml、Net-SNMP、Network Time、Networking、OpenSSL、PHP、QuickDraw Manager、ruby、Safari、Spotlight、system_cmds、telnet、WebKit、X11のセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/05/13 登録

危険度:高
影響を受けるバージョン:10.5.7未満
影響を受ける環境:Mac OS X
回避策:セキュリティアップデートの実行

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ HP Insight Control suite for Linux────────────────
HP Insight Control suite for Linux(ICE-LX)は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。 [更新]
2009/08/17 登録

危険度:
影響を受けるバージョン:2.10
影響を受ける環境:Linux
回避策:ベンダの回避策を参照


<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Firefox 3.5.x 系─────────────────────────
Firefox 3.5.7がリリースされた。
http://www.mozilla.org/products/firefox/

▽ Firefox 3.0.x 系─────────────────────────
Firefox 3.0.17がリリースされた。
http://www.mozilla.org/products/firefox/

▽ FCKeditor.Java Integration────────────────────
FCKeditor.Java Integration 2.6がリリースされた。
http://java.fckeditor.net/

▽ WordPress────────────────────────────
WordPress 2.9.1 日本語版がリリースされた。
http://ja.wordpress.org/

▽ WordPress────────────────────────────
WordPress 2.9.1がリリースされた。
http://ja.wordpress.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc3がリリースされた。
http://www.kernel.org/


<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
総務省、独立行政法人における内部統制と評価に関する研究会(第3回)配付資料
http://www.soumu.go.jp/main_sosiki/kenkyu/naibu_tousei/23167_2.html

▽ トピックス
総務省、独立行政法人における内部統制と評価に関する研究会(第2回)配付資料
http://www.soumu.go.jp/main_sosiki/kenkyu/naibu_tousei/23167_1.html

▽ トピックス
IPA/ISEC、【注意喚起】ワンクリック不正請求に関する相談急増!
http://www.ipa.go.jp/security/topics/alert20080909.html

▽ トピックス
フィッシング対策協議会、【注意喚起】 携帯サイトを装ったフィッシングサイトにご注意下さい
http://www.antiphishing.jp/alert/alert1032.html

▽ トピックス
トレンドマイクロ、Trend Micro ビジネスセキュリティ 6.0 Active Updateサーバメンテナンスのお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1347

▽ トピックス
トレンドマイクロ、定期サーバメンテナンスのお知らせ(2010年1月15日)
http://www.trendmicro.co.jp/support/news.asp?id=1349

▽ トピックス
トレンドマイクロ、2010年下半期(7月〜12月)のサポートサービス終了予定製品のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1346

▽ トピックス
フォーティネットジャパン、2010年のセキュリティと脅威の動向予測
http://www.fortinet.co.jp/news/pr/2010/pr010610.html

▽ トピックス
エフセキュアブログ、Adobe Readerゼロデイの検出
http://blog.f-secure.jp/archives/50321539.html

▽ トピックス
NTTドコモ、北海道幌泉郡えりも町の一部において携帯電話(FOMA)サービスがご利用いただけない状況について
http://www.nttdocomo.co.jp/info/network/hokkaido/pages/100106_2_d.html

▽ サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.745.80 (01/05)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4526&pageNo=1&news_gu=04

▽ ウイルス情報
トレンドマイクロ、HTML_FAKEAV.WAF
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FFAKEAV%2EWAF

▽ ウイルス情報
トレンドマイクロ、JS_AGENT.AOEQ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FAGENT%2EAOEQ

▽ ウイルス情報
トレンドマイクロ、TROJ_FAKEAV.PTO
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKEAV%2EPTO

▽ ウイルス情報
トレンドマイクロ、TROJ_FAKEAV.XMS
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKEAV%2EXMS

▽ ウイルス情報
シマンテック、W32.Rixobot
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2010-010516-5435-99

▽ ウイルス情報
シマンテック、W32.SillyFDC.BDJ
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-010508-1001-99

▽ ウイルス情報
シマンテック、Packed.Generic.277
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-010506-3759-99

▽ ウイルス情報
マカフィー、Generic Dropper.op
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Dropper.op

▽ ウイルス情報
マカフィー、W32/IRCbot.worm
http://www.mcafee.com/japan/security/virI.asp?v=W32/IRCbot.worm

◆アップデート情報◆
───────────────────────────────────
●Gentoo LinuxがPHPのアップデートをリリース
───────────────────────────────────
 Gentoo LinuxがPHPのアップデートをリリースした。このアップデートによって、PHPにおける複数の問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Slackwareがmozilla-firefoxのアップデートをリリース
───────────────────────────────────
 Slackwareがmozilla-firefoxのアップデートをリリースした。このアップデートによって、mozilla-firefoxにおける複数の問題が修正される。


Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2009

───────────────────────────────────
●RedHat Linuxがcmanおよびacpidのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがcmanおよびacpidのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがkrbのアップデートをリリース
───────────────────────────────────
 RedHat Fedoraがkrbのアップデートをリリースした。このアップデートによって、krbにおける問題が修正される。


RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×