セキュリティホール情報<2010/01/15> | ScanNetSecurity
2021.06.19(土)

セキュリティホール情報<2010/01/15>

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。 「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威 セキュリティホール・脆弱性
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。


<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽ OpenSSL─────────────────────────────
OpenSSLは、細工されたデータによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリリソースを消費される可能性がある。
2010/01/15 登録

危険度:
影響を受けるバージョン:0.9.8i
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ IBM Lotus Domino Web Access───────────────────
IBM Lotus Domino Web Accessは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:
影響を受けるバージョン:8.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ CiviCRM─────────────────────────────
CiviCRMは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:3.1 Beta 5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Populum─────────────────────────────
Populumは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:2.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Help Desk Software────────────────────────
Help Desk Softwareは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:2.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Tribisur─────────────────────────────
Tribisurは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ TYPO3 extension─────────────────────────
複数のTYPO3 extensionは、エラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に別のユーザアカウントに不正にログインされる可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:OpenID Extension 4.3.0、Vote rank for news 1.0.1、Helpdesk (mg_help) 1.1.6、TV21 Talkshow (tv21_talkshow) 1.0.1、Googlemaps for tt_news (jf_easymaps) 1.0.2、powermail (powermail) 1.5.1、Unit Converter (cs2_unitconv) 1.0.4、KJ: Imagelightbox 2.0.0、Developer log (devlog) 2.9.1、SB Folderdownload 0.2.2、Customer Reference List (ref_list) 1.0.1、Photo Book (goof_fotoboek) 1.7.14、MK-AnydropdownMenu 0.3.28
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PSI CMS─────────────────────────────
PSI CMS(Personal Simple Intuitive content management system)は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:0.3.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Public Media Manager───────────────────────
Public Media Managerは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Own Term module for Drupal────────────────────
Own Term module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:6.x-1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Node Blocks module for Drupal──────────────────
Node Blocks module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:5.x-1.1、6.x-1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Zope───────────────────────────────
Zopeは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:2.10、2.11、2.12、2.8、2.9
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Oracle製品────────────────────────────
複数のOracle製品は、複数のセキュリティホールが存在する。この問題が悪用されると、最悪の場合リモートの攻撃者にシステムを乗っ取られる可能性がある。 [更新]
2010/01/14 登録

危険度:
影響を受けるバージョン:BEA JRockit R27.6.5、Oracle BEA WebLogic Server and Portal、Oracle PeopleSoft Enterprise、JD Edwards EnterpriseOne、Oracle E-Business Suite、Oracle Application Server、Oracle Secure Backup、Oracle Database
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ IBM Lotus Domino─────────────────────────
IBM Lotus Dominoは、過度に長いストリングを送ることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートのシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。 [更新]
2010/01/14 登録

危険度:高
影響を受けるバージョン:7.0、8.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Sun Java System Identity Manager─────────────────
Sun Java System Identity Managerは、Sun Java System Access Manager、OpenSSO Enterprise、IBM Tivoli Access Managerと合わせて構成を設定する際にセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートあるいはローカルの攻撃者にアプリケーションへの無許可のアドミニストレーションアクセスを実行される可能性がある。 [更新]
2010/01/14 登録

危険度:中
影響を受けるバージョン:8.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ SBD Directory Software──────────────────────
SBD Directory Softwareは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/14 登録

危険度:中
影響を受けるバージョン:4.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ LayoutCMS────────────────────────────
LayoutCMSは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/14 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Mozilla Firefox─────────────────────────
Mozilla Firefoxは、nsObserverList::FillObserverArray機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2010/01/13 登録

危険度:低
影響を受けるバージョン:3.5.7未満
影響を受ける環境:UNIX、Linux、Windows
回避策:3.5.7以降へのバージョンアップ

▽ IBM Lotus Domino Web Access───────────────────
IBM Lotus Domino Web Accessは、特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。[更新]
2010/01/13 登録

危険度:低
影響を受けるバージョン:8.0、8.0.1、8.0.2
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ CS-Cart─────────────────────────────
CS-Cartは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/13 登録

危険度:中
影響を受けるバージョン:2.0.11
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Active Calendar─────────────────────────
Active Calendarは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/13 登録

危険度:中
影響を受けるバージョン:1.2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Glitter Central Script──────────────────────
Glitter Central Scriptは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/13 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ JVClouds3D module for Joomla!──────────────────
JVClouds3D module for Joomla!は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。[更新]
2010/01/13 登録

危険度:中
影響を受けるバージョン:1.0.9 b
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Ruby WEBrick───────────────────────────
Ruby WEBrickは、細工されたリクエストによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のターミナルコマンドを実行される可能性がある。 [更新]
2010/01/12 登録

危険度:高
影響を受けるバージョン:1.3.1以前
影響を受ける環境:UNIX、Windows
回避策:ベンダの回避策を参照

▽ Adobe Illustrator────────────────────────
Adobe Illustratorは、細工されたファイルを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2010/01/12 登録

危険度:高
影響を受けるバージョン:CS4 (14.0.0) 、CS3 (13.0.3以前)
影響を受ける環境:UNIX、Windows
回避策:ベンダの回避策を参照

▽ Simple PHP Guestbook───────────────────────
Simple PHP Guestbookは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ ProArcadeScript─────────────────────────
ProArcadeScriptは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ JCE-Tech PHP Calendars──────────────────────
JCE-Tech PHP Calendarsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ NetWin SurgeFTP─────────────────────────
NetWin SurgeFTPは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:2.3a6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ E-membres────────────────────────────
E-membresは、bdEMembres.mdbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。 [更新]
2010/01/12 登録

危険度:低
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Todoo Forum───────────────────────────
Todoo Forumは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ PPVChat─────────────────────────────
PPVChatは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。[更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ dotProject────────────────────────────
dotProjectは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:2.1.3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ IBM Lotus Domino Web Access───────────────────
IBM Lotus Domino Web Accessは、未サポートブラウザの"Try Lotus iNotes anyway"ページのリンクと関連する特定されていないエラーが原因でセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:8.0.2 FP3
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Zeeways eBay Clone Auction Script────────────────
Zeeways eBay Clone Auction Scriptは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/12 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Forward module for Drupal────────────────────
Forward module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:6.x-1.0〜1.11
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ Movable Type───────────────────────────
Movable Typeは、特定されていない原因でセキュリティ制限やビューを回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のデータを修正される可能性がある。[更新]
2010/01/07 登録

危険度:中
影響を受けるバージョン:4.2、5.0
影響を受ける環境:UNIX、Linux、Windows
回避策:4.27あるいは5.01以降へのバージョンアップ

▽ Obsession-Design Image-Gallery──────────────────
Obsession-Design Image-Galleryは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/07 登録

危険度:中
影響を受けるバージョン:1.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Randomizer module for Drupal───────────────────
Randomizer module for Drupalは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/14 登録

危険度:中
影響を受けるバージョン:5.x-1.0、6.x-1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照

▽ PHP Inventory──────────────────────────
PHP Inventoryは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/12/11 登録

危険度:中
影響を受けるバージョン:1.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Mamboleto component for Joomla!─────────────────
Mamboleto component for Joomla!は、細工されたURLリクエストをmamboleto.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2009/12/11 登録

危険度:中
影響を受けるバージョン:2.0 RC3
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

▽ Wowd───────────────────────────────
Wowdは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2009/10/30 登録

危険度:中
影響を受けるバージョン:1.3.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません

<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2010/01/15 登録

危険度:
影響を受けるバージョン:6、6 SP1、7、8
影響を受ける環境:Windows
回避策:公表されていません

▽ Microsoft Windows────────────────────────
Microsoft Windowsは、Internet Explorer、PowerPoint、Microsoft WordなどのEmbedded OpenType (EOT) フォントをレンダリングできるクライアント アプリケーションで、細工されたEOTフォントでレンダリングされたコンテンツを表示した場合、リモートからコードを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンピュータが完全に制御される可能性がある。 [更新]
2010/01/13 登録

最大深刻度 : 緊急
影響を受けるバージョン:2000 Server SP4、XP SP2、SP3、Server 2003 SP2、Vista、SP1、SP2、Server 2008、SP2、7
影響を受ける環境:Windows
回避策:WindowsUpdateの実行

▽ Windows Live Messenger ActiveX Control──────────────
Windows Live Messenger ActiveX Control(msgsc.14.0.8089.726.dll)は、過度に長いストリングアーギュメントを渡す細工されたWebページを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2010/01/12 登録

危険度:高
影響を受けるバージョン:2009
影響を受ける環境:Windows
回避策:公表されていません

<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ TIBCO Runtime Agent───────────────────────
TIBCO Runtime Agentは、TIBCO Domain Utilityがドメインプロパティを不適切なパーミッションで保存することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアドミニストレーターパスワードを奪取される可能性がある。
2010/01/15 登録

危険度:
影響を受けるバージョン:5.6.2未満
影響を受ける環境:Windows
回避策:5.6.2以降へのバージョンアップ

▽ HP Web Jetadmin─────────────────────────
HP Web Jetadminは、リモートSQLサーバとの暗号化されていないデータの交換が原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に不正なアクセスを実行される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:10.2
影響を受ける環境:Windows
回避策:公表されていません

▽ VevoCart Control System─────────────────────
VevoCart Control Systemは、vevocart.mdbデータベースファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースファイルをダウンロードされる可能性がある。
2010/01/15 登録

危険度:低
影響を受けるバージョン:3.0.4
影響を受ける環境:Windows
回避策:公表されていません

▽ TurboFTP─────────────────────────────
TurboFTPは、過度に長いリクエストをDELEコマンドに送ることでバッファオーバーフローによるDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2010/01/14 登録

危険度:低
影響を受けるバージョン:1.00 Build 712
影響を受ける環境:Windows
回避策:1.00 Build 720以降へのバージョンアップ

▽ Novell ZENWorks Asset Management─────────────────
Novell ZENWorks Asset Managementは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/14 登録

危険度:中
影響を受けるバージョン:7.5
影響を受ける環境:Windows
回避策:ベンダの回避策を参照

▽ Movie Player Pro SDK ActiveX control───────────────
Movie Player Pro SDK ActiveX control(MoviePlayer.ocx)は、過度に長いstrFontNameアーギュメントを渡す悪意あるWebページを開くことでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。 [更新]
2010/01/13 登録

危険度:高
影響を受けるバージョン:6.8
影響を受ける環境:Windows
回避策:公表されていません

▽ Kingston DataTraveler USB Flash Drive──────────────
Kingston DataTraveler USB Flash Driveは、アクセスコントロールを回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデバイス上のファイルにアクセスされる可能性がある。[更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Kingston DataTraveler
回避策:ベンダの回避策を参照

▽ Verbatim Corporate Secure USB Flash Drive────────────
Verbatim Corporate Secure USB Flash Driveは、アクセスコントロールを回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデバイス上のファイルにアクセスされる可能性がある。[更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Secure USB Flash Drive
回避策:ベンダの回避策を参照

▽ SanDisk Cruzer Enterprise USB Flash Drive────────────
SanDisk Cruzer Enterprise USB Flash Driveは、アクセスコントロールを回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にデバイス上のファイルにアクセスされる可能性がある。[更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:Cruzer Enterprise USB Flash Drive
回避策:ベンダの回避策を参照

▽ D-Link DKVM-IP8─────────────────────────
D-Link DKVM-IP8は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:
影響を受ける環境:D-Link DKVM-IP8
回避策:公表されていません

▽ Novell Netware──────────────────────────
Novell Netwareは、AFPTCP.nlmモジュールのNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2010/01/07 登録

危険度:低
影響を受けるバージョン:6.5 SP8
影響を受ける環境:Novell Netware
回避策:公表されていません

▽ Cherokee Web Server───────────────────────
Cherokee Web Serverは、細工されたHTTP GETリクエストを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2009/10/28 登録

危険度:低
影響を受けるバージョン:0.5.4
影響を受ける環境:Windows
回避策:公表されていません

<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ wview Weather System───────────────────────
wview Weather Systemは、FTP verbose loggingと関連する原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりデーモンをクラッシュされる可能性がある。 [更新]
2010/01/13 登録

危険度:高
影響を受けるバージョン:5.10、5.10.1、5.10.2、5.10.3
影響を受ける環境:UNIX、Linux
回避策:5.11.0以降へのバージョンアップ

▽ Transmission───────────────────────────
Transmissionは、"name"キーを保存する前に適切なチェックを行っていないことが原因でディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2010/01/08 登録

危険度:中
影響を受けるバージョン:1.41、1.50、1.76
影響を受ける環境:UNIX、Linux
回避策:1.77以降へのバージョンアップ

▽ PowerDNS Recursor────────────────────────
PowerDNS Recursorは、細工されたパケットによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2010/01/08 登録

危険度:高
影響を受けるバージョン:3.1.7.1
影響を受ける環境:UNIX、Linux
回避策:公表されていません

▽ NTP───────────────────────────────
NTPは、細工されたNTPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/12/10 登録

危険度:低
影響を受けるバージョン:4.2.4p8未満
影響を受ける環境:UNIX、Linux
回避策:4.2.4p8以降へのバージョンアップ

<SunOS/Solaris>━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Sun OpenSolaris─────────────────────────
Sun OpenSolarisは、Trusted Extensions installations用ライブラリの省略が原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2010/01/14 登録

危険度:中
影響を受けるバージョン:10
影響を受ける環境:Sun Solaris
回避策:ベンダの回避策を参照

<BSD>━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ NetBSD──────────────────────────────
NetBSDは、VFSファイルシステムのコーディングエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。
2010/01/15 登録

危険度:低
影響を受けるバージョン:5.0、5.0.1
影響を受ける環境:NetBSD
回避策:公表されていません

<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Linux Kernel───────────────────────────
Linux Kernelは、CAP_NET_ADMIN capability by the do_ebt_set_ctl() 機能およびdo_ebt_get_ctl() 機能が原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に無許可のアクセスを実行される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:2.6.0〜2.6.32 Git-6
影響を受ける環境:Linux
回避策:ベンダの回避策を参照

▽ Fedora SSSD───────────────────────────
Fedora SSSDは、認証にKerberosを使用する際のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの不正なアクセスを実行される可能性がある。
2010/01/15 登録

危険度:中
影響を受けるバージョン:0.99.1-1、1.0.0-1、1.0.0-2
影響を受ける環境:Linux
回避策:1.0.1以降へのバージョンアップ

▽ Sun Java System Web Server────────────────────
Sun Java System Web Serverは、細工されたデータとプロセスメモリアドレスをTCP 80ポートに送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2010/01/13 登録

危険度:高
影響を受けるバージョン:7.0 Update 6 Linux
影響を受ける環境:Linux
回避策:公表されていません

<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Samba 3.3.x 系──────────────────────────
Samba 3.3.10がリリースされた。
http://us1.samba.org/samba/

▽ 秀丸メール────────────────────────────
秀丸メール 5.31がリリースされた。
http://hide.maruo.co.jp/software/tk.html

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc4-git2がリリースされた。
http://www.kernel.org/

<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
JVN、Microsoft Internet Explorer において任意のコードが実行される脆弱性
http://jvn.jp/cert/JVNVU492515/index.html

▽ トピックス
JVN、Oracle 製品における複数の脆弱性に対するアップデート [更新]
http://jvn.jp/cert/JVNTA10-012A/

▽ トピックス
JVN、NTP におけるサービス運用妨害 (DoS) の脆弱性 [更新]
http://jvn.jp/cert/JVNVU568372/index.html

▽ トピックス
JVN、Microsoft Windows における EOT フォント エンジンおよび Adobe Flash Player 6 の脆弱性 [更新]
http://jvn.jp/cert/JVNTA10-012B/index.html

▽ トピックス
シマンテック、新しいストレージ技術と最適化された管理機能を持つVeritas Storage Foundation 最新版 (Ver. 5.1) 提供開始
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20100115_01

▽ トピックス
シマンテックと Message Systems、次世代のセキュリティおよびメッセージングソリューションの開発で協力
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20100114_01

▽ トピックス
フォーティネットジャパン、日本で最近発生している「ガンブラー」攻撃について
http://www.fortinet.co.jp/news/pr/2010/pr011510.html

▽ トピックス
ネットエージェント、年末年始(2009年12月26〜2010年1月13日)のWinny(ウィニー)・Share(シェア)・PerfectDark(パーフェクトダーク)のノード数推移のグラフと実数を公表
http://www.netagent.co.jp/

▽ トピックス
アンラボ、ホームページにウイルスが埋め込まれる脅威に対するアンラボの取り組みについて
http://www.ahnlab.co.jp/company/press/news_release_view.asp?seq=4537&pageNo=1&news_gu=01

▽ トピックス
エフセキュアブログ、実際には存在しないFacebookプライバシー
http://blog.f-secure.jp/archives/50335542.html

▽ トピックス
エフセキュアブログ、ハイチ地震:新たなローグがニュースを悪用
http://blog.f-secure.jp/archives/50335541.html

▽ トピックス
シマンテック:ブログ、Gumblar (ガンブラー) ?Web 攻撃を解説
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/45;jsessionid=7435396097D13FF06437DE32350FE013#A45

▽ トピックス
au、「au Music Port 」のダウンロード提供終了のお知らせ
http://www.au.kddi.com/customer/lismo/support/information/info_20100115.html

▽ トピックス
KDDI、EZ安心アクセスサービスにおけるEMA認定の閲覧可能なサイトについて
http://www.au.kddi.com/news/au_top/information/au_info_20100114174926.html

▽ トピックス
RSAセキュリティ、ソニー銀行がフィシング対策サービスの「RSA FraudActionトロイの木馬対策サービス」を採用
http://japan.rsa.com/press_release.aspx?id=10608

▽ サポート情報
トレンドマイクロ、ウイルスパターンファイル:6.767.80 (01/14)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽ サポート情報
トレンドマイクロ、マルウェアDCT:1070 (01/14)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽ サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4570&pageNo=1&news_gu=04

▽ 統計・資料
JPNIC、JPNICが管理するIPアドレス・AS番号・IRRサービスに関する統計を更新
http://www.nic.ad.jp/ja/stat/ip/20100114.html

▽ ウイルス情報
シマンテック、Trojan.Hydraq!gen1
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2010-011411-3125-99

▽ ウイルス情報
マカフィー、Exploit-Comele
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-Comele

◆アップデート情報◆==================================================
───────────────────────────────────
●Gentoo LinuxがRubyのアップデートをリリース
───────────────────────────────────
 Gentoo LinuxがRubyのアップデートをリリースした。このアップデートによって、Rubyにおける問題が修正される。


Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Ubuntu LinuxがTransmissionのアップデートをリリース
───────────────────────────────────
 Ubuntu LinuxがTransmissionのアップデートをリリースした。このアップデートによって、Transmissionにおける問題が修正される。


Ubuntu Linux
http://www.ubuntu.com/usn/

───────────────────────────────────
●RedHat Linuxがdhcpのアップデートをリリース
───────────────────────────────────
 RedHat Linuxがdhcpのアップデートをリリースした。このアップデートによって、dhcpにおける問題が修正される。


RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」
「経理」「営業」「企画」「プログラミング」「デザイン」と並ぶ、事業で成功するためのビジネスセンスが「セキュリティ」

ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)

×