セキュリティホール情報＜2010/01/07＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2010年1月7日（木） 19時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽ jEmbed-Embed Anything component for Joomla!───────────
jEmbed-Embed Anything component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Liferay Portal──────────────────────────
Liferay Portalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：5.1.2、5.2.3
影響を受ける環境：UNIX、Linux、Windows
回避策：5.3.0以降へのバージョンアップ

▽ Movable Type───────────────────────────
Movable Typeは、特定されていない原因でセキュリティ制限やビューを回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のデータを修正される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：4.2、5.0
影響を受ける環境：UNIX、Linux、Windows
回避策：4.27あるいは5.01以降へのバージョンアップ

▽ LineWeb─────────────────────────────
LineWebは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ MS-Pro Portal Scripti──────────────────────
MS-Pro Portal Scriptiは、db.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Ninja Blog────────────────────────────
Ninja Blogは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：4.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ uF.Phpaw─────────────────────────────
uF.Phpawは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：0.6.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ CNR Hikaye Portal────────────────────────
CNR Hikaye Portalは、hikaye.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ FoT Video Siciripti───────────────────────
FoT Video Siciriptiは、特定のファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Bahadi──────────────────────────────
Bahadiは、DB.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ zirve portal───────────────────────────
zirve portalは、anket.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Esinti Video───────────────────────────
Esinti Videoは、video.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Edepyahu Video──────────────────────────
Edepyahu Videoは、efestech_video.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ PD Portal────────────────────────────
PD Portalは、db.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ SkyPortal────────────────────────────
SkyPortalは、sp_db2k6.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Vural Portal───────────────────────────
Vural Portalは、vuralportal.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Ublog──────────────────────────────
Ublogは、UblogMySQL.sqlファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にSQLファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Pay Per Minute Video Chat Script─────────────────
Pay Per Minute Video Chat Scriptは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ SLAED CMS────────────────────────────
SLAED CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：2.0 AR
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Alfresco component for Joomla!──────────────────
Alfresco component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ BF Survey component for Jooma!──────────────────
BF Survey component for Jooma!は、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：1.1以降へのバージョンアップ

▽ BF Survey Pro component for Joomla!───────────────
BF Survey Pro component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.2.6 Freeほか
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ BF Survey Basic component for Joomla!──────────────
BF Survey Basic component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ J-Projects component for Joomla!─────────────────
J-Projects component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Bible Study component for Joomla!────────────────
Bible Study component for Joomla!は、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：6.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ CARTwebERP component for Joomla!─────────────────
CARTwebERP component for Joomla!は、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.56.75
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Aprice component for Joomla!───────────────────
Aprice component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Smart Vsion Script News─────────────────────
Smart Vsion Script Newsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ pL-PHP──────────────────────────────
pL-PHPは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：0.9b
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Acidcat CMS───────────────────────────
Acidcat CMSは、acidcat_3.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックアップファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：3.5、3.5.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Serial Lib────────────────────────────
Serial Libは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Discuz!─────────────────────────────
Discuz!は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：5.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Mlxupload────────────────────────────
Mlxuploadは、細工されたHTTPリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ MrDomain─────────────────────────────
MrDomainは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：AR
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ WD-CMS──────────────────────────────
WD-CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Dating Agent PRO─────────────────────────
Dating Agent PROは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：4.7.1c
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ XlentCMS─────────────────────────────
XlentCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ BlaB!──────────────────────────────
BlaB!は、login.incバックアップファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にバックアップファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：2.1b2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Mini-Nuke────────────────────────────
Mini-Nukeは、mn7O4Z6J7L5W.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：2.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ DZOIC Handshakes─────────────────────────
DZOIC Handshakesは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Avosbillets component for Joomla!────────────────
Avosbillets component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Evo-Dev─────────────────────────────
Evo-Devは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Naxtor Shopping e-Cart──────────────────────
Naxtor Shopping e-Cartは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Easy Scripts Answer and Question Script─────────────
Easy Scripts Answer and Question Scriptは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Dailymeals component for Joomla!─────────────────
Dailymeals component for Joomla!は、細工されたURLリクエストを送ることで悪意あるファイルをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Events plugin for WordPress───────────────────
Events plugin for WordPressは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Left 4 Dead Stats────────────────────────
Left 4 Dead Statsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ X7CHAT──────────────────────────────
X7CHATは、install.phpスクリプトが適切な制限を行っていないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.3.6b
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽ list Web─────────────────────────────
list Webは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ 富士通製品────────────────────────────
富士通 InterstageおよびSystemwalker関連製品は、SSLクライアント認証サーバがクライアントSSL証明書を処理する際にバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/07 登録

危険度：高
影響を受けるバージョン：FUJITSU Interstage Application Serverほか
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ CommonSense CMS─────────────────────────
CommonSense CMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ XP Book─────────────────────────────
XP Bookは、admin_bady.htmlページを適切に制限していないことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：3.0
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ vCard PRO────────────────────────────
vCard PROは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：3.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ XOOPS──────────────────────────────
XOOPSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/05 登録

危険度：中
影響を受けるバージョン：2.4.2以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.4.3以降へのバージョンアップ

▽ MyBB───────────────────────────────
MyBBは、ユーザ入力を適切にチェックしていないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを列挙される可能性がある。 [更新]
2010/01/04 登録

危険度：低
影響を受けるバージョン：1.4.10
影響を受ける環境：UNIX、Linux、Windows
回避策：1.4.11以降へのバージョンアップ

▽ SQL-Ledger────────────────────────────
SQL-Ledgerは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/24 登録

危険度：中
影響を受けるバージョン：2.8.24
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ FAQ Ask module for Drupal────────────────────
FAQ Ask module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度：中
影響を受けるバージョン：5.x-1.0〜1.3、6.x-1.0〜2.0 alpha 1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ Mongoose─────────────────────────────
Mongooseは、細工されたHTTPリクエストを送ることで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバ上のファイルのソースコードを閲覧される可能性がある。[更新]
2009/10/19 登録

危険度：低
影響を受けるバージョン：2.4、2.8
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ MySQL──────────────────────────────
MySQLは、細工されたデータを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
[更新]
2009/09/04 登録

危険度：高
影響を受けるバージョン：5.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ sarg───────────────────────────────
sargは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/03/04 登録

危険度：高
影響を受けるバージョン：2.2.3.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Snitz Forums 2000────────────────────────
Snitz Forums 2000は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：3.4.07
影響を受ける環境：Windows
回避策：公表されていません

▽ WCPS───────────────────────────────
WCPS（WebCodePortalSystem）は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：4.3.1 ru
影響を受ける環境：Windows
回避策：公表されていません

▽ Bandwidth Meter─────────────────────────
Bandwidth Meterは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.2
影響を受ける環境：Windows
回避策：公表されていません

▽ AspBB──────────────────────────────
AspBBは、Webルートにストアされたbetaboard.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/07 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽ NetBiter Config─────────────────────────
NetBiter Configは、長いホスト名を送ることでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/12/16 登録

危険度：高
影響を受けるバージョン：1.3.0
影響を受ける環境：Windows
回避策：公表されていません

▽ HAURI ViRobot Desktop──────────────────────
HAURI ViRobot Desktopは、特定されていないエラーが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/09/08 登録

危険度：高
影響を受けるバージョン：5.5
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Obsession-Design Image-Gallery──────────────────
Obsession-Design Image-Galleryは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Kerberos─────────────────────────────
Kerberosは、KDC cross-realm referral processing code (do_tgs_req.c) のkdc_err() 機能のnull pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にKDCをクラッシュされる可能性がある。 [更新]
2010/01/04 登録

危険度：低
影響を受けるバージョン：krb5-1.7
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽ Condor──────────────────────────────
Condorは、特定されていないエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題は、リモートの攻撃者に悪用される可能性がある。[更新]
2009/12/24 登録

危険度：中
影響を受けるバージョン：7.4
影響を受ける環境：UNIX、Linux
回避策：7.4.1以降へのバージョンアップ

▽ NTP───────────────────────────────
NTPは、細工されたNTPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/12/10 登録

危険度：低
影響を受けるバージョン：4.2.4p8未満
影響を受ける環境：UNIX、Linux
回避策：4.2.4p8以降へのバージョンアップ

▽ BIND───────────────────────────────
BINDは、recursiveクライアントクエリレスポンスのadditionalセクションからのキャッシュへのDNS recordsの追加が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSキャッシュを汚染される可能性がある。 [更新]
2009/11/26 登録

危険度：中
影響を受けるバージョン：9.0〜9.4.2
影響を受ける環境：UNIX、Linux
回避策：9.4.3-P3、9.5.0、9.5.1、9.5.2、9.6.0、9.6.1-P1へのバージョンアップ

▽ FreeRADIUS────────────────────────────
FreeRADIUSは、特定されていないエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデーモンをクラッシュされる可能性がある。 [更新]
2009/09/08 登録

危険度：低
影響を受けるバージョン：1.1.7、0.9.2
影響を受ける環境：UNIX、Linux
回避策：1.1.8以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Skype for Linux─────────────────────────
Skype for Linuxは、過度に長いSMSメッセージを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/07 登録

危険度：高
影響を受けるバージョン：2.1 beta
影響を受ける環境：Linux
回避策：公表されていません

▽ Magento─────────────────────────────
Magentoは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/07 登録

危険度：中
影響を受けるバージョン：1.3.2.4
影響を受ける環境：Linux
回避策：公表されていません

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ NSD───────────────────────────────
NSD 3.2.4がリリースされた。
http://www.nlnetlabs.nl/nsd/

▽ PHPRunner────────────────────────────
PHPRunner 5.2がリリースされた。
http://www.asprunner.com/forums/topic/13378-asprunnerpro62phprunner52-beta-is-available-for-download/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc3-git1がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32.3がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31.10がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27.43がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
JVN、Movable Type におけるアクセス制限回避の脆弱性
http://jvn.jp/jp/JVN09872874/

▽ トピックス
JVN、Linear eMerge のマネージメントコンポーネントにおけるサービス
運用妨害 (DoS)
http://jvn.jp/cert/JVNVU571629/

▽ トピックス
JPNIC、臨時メンテナンスに伴うJPNIC資源管理認証局システム一時停止のお知らせ
http://www.nic.ad.jp/ja/topics/2010/20100107-01.html

▽ トピックス
JPRS、ドメイン名・DNSを漫画とともに楽しく学ぶことができる冊子「ポン太のネットの大冒険」を公開
http://jpinfo.jp/study/

▽ トピックス
トレンドマイクロ、Trend Micro Control Manager 5.0 Patch 4 公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1348

▽ トピックス
マカフィー、画期的なメール・Webセキュリティアプライアンスを提供開始
http://www.mcafee.com/japan/about/prelease/pr_10a.asp?pr=10/01/07-1

▽ トピックス
マカフィー、「2010 年のサイバー脅威予測」を発表
http://www.mcafee.com/japan/about/prelease/pr_10a.asp?pr=10/01/06-1

▽ トピックス
セキュアブレイン、「Gumblarウイルス」による企業ウェブサイトの改ざん被害が拡大セキュアブレインが『gred セキュリティサービス』の無償トライアルによるウェブサイト検査を呼びかけ
http://www.securebrain.co.jp/about/news/2010/01/gumblar.html

▽ トピックス
カスペルスキー、法人向け試用版ライセンスの適用方法について
http://www.kaspersky.co.jp/news?id=207578797

▽ トピックス
au、システムメンテナンスについて
http://www.notice.kddi.com/news/mainte/content/syougai/au_04_00004627.html

▽ トピックス
コアとソフトクリエイト、IT資産統合管理ソリューションと不正PC検知・排除システムの製品連携で協業
http://www.core.co.jp/news/2010/press_100107.html

▽ サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.747.80 (01/06)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ サポート情報
アンラボ、V3 / SpyZero アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4528&pageNo=1&news_gu=04

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽ ウイルス情報
トレンドマイクロ、TROJ_FAKEAV.MVE
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FFAKEAV%2EMVE

▽ ウイルス情報
シマンテック、Backdoor.Samkams.B
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-010612-1816-99

▽ ウイルス情報
シマンテック、JS.SecurityToolFraud.B
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-010610-4802-99

▽ ウイルス情報
シマンテック、Trojan.FakeAV!gen14
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2010-010605-0459-99

◆アップデート情報
───────────────────────────────────
●FreeBSDが複数のアップデートをリリース
───────────────────────────────────
　FreeBSDがzfs、ntpd、bindのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

FreeBSD Security Information
http://www.freebsd.org/ja/index.html

───────────────────────────────────
●Ubuntu Linuxがkrb5のアップデートをリリース
───────────────────────────────────
　Ubuntu Linuxがkrb5のアップデートをリリースした。このアップデートによって、krb5における問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/usn/

───────────────────────────────────
●RedHat Linuxがxenのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがxenのアップデートをリリースした。このアップデートによって、xenにおける問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがpdns-recursorおよびcondorのアップデートをリリース
───────────────────────────────────
　RedHat Fedoraがpdns-recursorおよびcondorのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html

《ScanNetSecurity》