セキュリティホール情報＜2010/01/19＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

脆弱性と脅威セキュリティホール・脆弱性

2010年1月19日（火） 18時45分

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽ LetoDMS─────────────────────────────
LetoDMS（旧MyDMS）は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトrequest forgeryを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebキャッシュを汚染されたりクロスサイトスクリプティングを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.7.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ FunkGallery───────────────────────────
FunkGalleryは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：0.08
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Max's Site Protector───────────────────────
Max's Site Protectorは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Hitmaaan Gallery─────────────────────────
Hitmaaan Galleryは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.3 fr
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Technology for Solutions─────────────────────
Technology for Solutionsは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Max's Image Uploader───────────────────────
Max's Image Uploaderは、悪意あるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ pc component for Joomla!─────────────────────
pc component for Joomla!は、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ prime component for Joomla!───────────────────
prime component for Joomla!は、「/../」を含む細工されたURLリクエストをindex.phpスクリプトに送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ libros component for Joomla!───────────────────
libros component for Joomla!は、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ CloneBid B2B Marketplace Script─────────────────
CloneBid B2B Marketplace Scriptは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ eBay Clone────────────────────────────
eBay Cloneは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Alibaba Clone──────────────────────────
Alibaba Cloneは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：3.2.73
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ RoseOnlineCMS──────────────────────────
RoseOnlineCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：3 Beta 1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Das Forum────────────────────────────
Das Forumは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：0.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Transload Script─────────────────────────
Transload Scriptは、細工されたHTTPリクエストを送ることで悪意あるPHPスクリプトをアップロードされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ PHP-Residence──────────────────────────
PHP-Residenceは、細工されたURLリクエストを送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：0.7.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ MoME CMS─────────────────────────────
MoME CMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ WebCalenderC3──────────────────────────
WebCalenderC3は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：0.31
影響を受ける環境：UNIX、Linux、Windows
回避策：0.31s2あるいは0.32s2以降へのバージョンアップ

▽ Testlink─────────────────────────────
Testlinkは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2010/01/19 登録

危険度：中
影響を受けるバージョン：1.7、1.8〜1.8.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Zenoss──────────────────────────────
Zenossは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2010/01/18 登録

危険度：中
影響を受けるバージョン：2.3.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ IBM Lotus Web Content Management─────────────────
IBM Lotus Web Content Managementは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2010/01/18 登録

危険度：中
影響を受けるバージョン：6.0.1.4、6.0.1.5、6.0.1.6、6.1.1、6.1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ Yoono extension for Firefox───────────────────
Yoono extension for Firefoxは、DOMイベントハンドラを処理する際に入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2010/01/18 登録

危険度：高
影響を受けるバージョン：6.1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：6.1.1以降へのバージョンアップ

▽ OpenSSL─────────────────────────────
OpenSSLは、細工されたデータによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリリソースを消費される可能性がある。 [更新]
2010/01/15 登録

危険度：低
影響を受けるバージョン：0.9.8i
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ TYPO3 extension─────────────────────────
複数のTYPO3 extensionは、エラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に別のユーザアカウントに不正にログインされる可能性がある。[更新]
2010/01/15 登録

危険度：中
影響を受けるバージョン：OpenID Extension 4.3.0、
Vote rank for news 1.0.1、
Helpdesk (mg_help) 1.1.6、
TV21 Talkshow (tv21_talkshow) 1.0.1、
Googlemaps for tt_news (jf_easymaps) 1.0.2、
powermail (powermail) 1.5.1、
Unit Converter (cs2_unitconv) 1.0.4、
KJ: Imagelightbox 2.0.0、
Developer log (devlog) 2.9.1、
SB Folderdownload 0.2.2、
Customer Reference List (ref_list) 1.0.1、
Photo Book (goof_fotoboek) 1.7.14、
MK-AnydropdownMenu 0.3.28、
VD/Geomap (vd_geomap) 0.3.1、
Tip many friends (mimi_tipfriends) 0.0.2、
Majordomo (majordomo) 1.1.3、
zak_store_management 1.0.0、
Clan Users List (pb_clanlist) 0.0.1、
Reports for Job (job_reports) 0.1.0、
BB Simple Jobs (bb_simplejobs) 0.1.0、
MJS Event Pro (mjseventpro) 0.2.1、
User Links (vm19_userlinks) 0.1.1、
TT_Products editor (ttpedit) 0.0.2、
tt_news Mail alert 0.2.0、
kiddog_mysqldumper 0.0.3
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ Ruby WEBrick───────────────────────────
Ruby WEBrickは、細工されたリクエストによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のターミナルコマンドを実行される可能性がある。 [更新]
2010/01/12 登録

危険度：高
影響を受けるバージョン：1.3.1以前
影響を受ける環境：UNIX、Windows
回避策：ベンダの回避策を参照

▽ PostgreSQL────────────────────────────
PostgreSQLは、認証されたユーザに権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースに無許可のアクセスを実行される可能性がある。 [更新]
2009/12/16 登録

危険度：高
影響を受けるバージョン：7.4、8.0、8.1、8.2、8.3、8.4
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security（TLS）プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度：中
影響を受けるバージョン：Apache 2.2.8、2.2.9、
Microsoft IIS 7.0、7.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ Mozilla Firefox─────────────────────────
Mozilla Firefoxは、セキュリティアップデートを公開した。このアップデートによって、複数のセキュリティホールが解消される。 [更新]
2009/10/28 登録

危険度：高
影響を受けるバージョン：Firefox 3.5.4未満、3.0.15未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ Pidgin──────────────────────────────
Pidginは、decrypt_out () 機能が適切なチェックを行っていないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/05/25 登録

危険度：高
影響を受けるバージョン：2.0.0、2.5.5
影響を受ける環境：UNIX、Linux、Windows
回避策：2.5.6以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Microsoft Windows Media Player ActiveX control──────────
Microsoft Windows Media Player ActiveX controlは、細工されたWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：11
影響を受ける環境：Windows
回避策：公表されていません

▽ Microsoft Internet Explorer ActiveX Control───────────
Microsoft Internet Explorer ActiveX Control（wshom.ocx）は、細工されたWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽ Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、細工されたHTMLによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2010/01/15 登録

危険度：高
影響を受けるバージョン：6、6 SP1、7、8
影響を受ける環境：Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ BS.Player────────────────────────────
BS.Playerは、過度に長いスキンのキーを含む細工されたBSIファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：2.51 Build 1022 Free
影響を受ける環境：Windows
回避策：公表されていません

▽ Allen-Bradley MicroLogix─────────────────────
Allen-Bradley MicroLogixは、特定されていない複数のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に権限を昇格される可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：1100、1400
影響を受ける環境：Allen-Bradley MicroLogix
回避策：ベンダの回避策を参照

▽ OpenOffice────────────────────────────
OpenOfficeは、細工された.csvファイルを開くことでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2010/01/19 登録

危険度：低
影響を受けるバージョン：3.1.1、3.1.0
影響を受ける環境：Windows
回避策：公表されていません

▽ Google Chrome──────────────────────────
Google Chromeは、スタイルシートLINKエレメントのHREF attributeにサイトURLを置くことで機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に別のユーザのセッションでリダイレクトされたURLを入手される可能性がある。
2010/01/19 登録

危険度：低
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽ TrendMicro Web-Deployment ActiveX Control────────────
TrendMicro Web-Deployment ActiveX Controlは、細工されたアーギュメントを渡す悪意あるWebサイトを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽ Google SketchUp─────────────────────────
Google SketchUpは、細工されたSKPファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。なお、lib3dsにも同様の脆弱性が存在する。 [更新]
2010/01/18 登録

危険度：高
影響を受けるバージョン：Google SketchUp 7、lib3ds 1.3.0
影響を受ける環境：Windows
回避策：7.1 - Maintenance 2以降へのバージョンアップ

▽ TIBCO Runtime Agent───────────────────────
TIBCO Runtime Agentは、TIBCO Domain Utilityがドメインプロパティを不適切なパーミッションで保存することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアドミニストレーターパスワードを奪取される可能性がある。 [更新]
2010/01/15 登録

危険度：
影響を受けるバージョン：5.6.2未満
影響を受ける環境：Windows
回避策：5.6.2以降へのバージョンアップ

▽ Overland Storage Snap Server 410─────────────────
Overland Storage Snap Server 410は、ユーザ入力を適切にチェックしていないことが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。 [更新]
2009/10/22 登録

危険度：高
影響を受けるバージョン：Snap Server 410、GuardianOS 5.1.041
影響を受ける環境：Overland Storage Snap Server 410
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ Zeus Web Server─────────────────────────
Zeus Web Serverは、細工されたSSL2_CLIENT_HELLOメッセージによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：
影響を受けるバージョン：4.3r4
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ CeleronDude Uploader───────────────────────
CeleronDude Uploaderは、settings.dbファイルを適切に制限していないことが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレータパスワードを入手されデータベースに不正なアクセスを実行される可能性がある。
2010/01/19 登録

危険度：低
影響を受けるバージョン：5.3.0
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ GNU C Library──────────────────────────
GNU C Libraryは、nis-pwd.cが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2010/01/19 登録

危険度：低
影響を受けるバージョン：2.10.2、2.7
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽ GNU Bash─────────────────────────────
GNU Bashは、60alias.shスクリプトによるLS_OPTIONSの─show-control-charsオプションの可動化が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2010/01/18 登録

危険度：高
影響を受けるバージョン：1.14.7、2.05b、3.0、3.2、3.2.48、4.0
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽ Kerberos─────────────────────────────
Kerberosは、細工された暗号データを送ることで整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2010/01/14 登録

危険度：高
影響を受けるバージョン：5-1.3〜5-1.6.4、5-1.7
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽ Pidgin──────────────────────────────
Pidginは、「/../」を含む細工されたURLリクエストを送ることでディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。なお、この問題はAdiumにも存在する。 [更新]
2010/01/13 登録

危険度：中
影響を受けるバージョン：Pidgin 2.6.4、Adium 1.3.8
影響を受ける環境：UNIX、Linux
回避策：Pidgin 2.6.5以降へのバージョンアップ

▽ Sendmail─────────────────────────────
Sendmailは、細工されたCommon Name fieldの証明書によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のサイトの証明書を偽装される可能性がある。 [更新]
2010/01/04 登録

危険度：
影響を受けるバージョン：8.14.4未満
影響を受ける環境：UNIX、Linux
回避策：8.14.4以降へのバージョンアップ

▽ NTP───────────────────────────────
NTPは、細工されたNTPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースを消費される可能性がある。 [更新]
2009/12/10 登録

危険度：低
影響を受けるバージョン：4.2.4p8未満
影響を受ける環境：UNIX、Linux
回避策：4.2.4p8以降へのバージョンアップ

▽ Pidgin──────────────────────────────
Pidginは、oscar protocol pluginのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に細工されたICQメッセージによってアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/19 登録

危険度：低
影響を受けるバージョン：2.4.0〜2.6.2
影響を受ける環境：UNIX、Linux
回避策：2.6.3以降へのバージョンアップ

▽ Pidgin──────────────────────────────
Pidginは、IRCプロトコルプラグインのNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/09/07 登録

危険度：低
影響を受けるバージョン：2.6.0、2.6.1
影響を受ける環境：UNIX、Linux
回避策：2.6.2以降へのバージョンアップ

▽ Pidgin──────────────────────────────
Pidginは、protocols/jabber/auth.cのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションをスニッフィングされる可能性がある。 [更新]
2009/09/04 登録

危険度：中
影響を受けるバージョン：2.6.0
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ LibThai Library─────────────────────────
LibThai Libraryは、細工されたストリングによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2010/01/19 登録

危険度：高
影響を受けるバージョン：1.1
影響を受ける環境：Linux
回避策：各ベンダの回避策を参照

▽ Linux Kernel───────────────────────────
Linux Kernelは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にe1000eドライバをクラッシュされる可能性がある。 [更新]
2010/01/12 登録

危険度：中
影響を受けるバージョン：2.6.31以前
影響を受ける環境：Linux
回避策：公表されていません

▽ Linux Kernel───────────────────────────
Linux Kernelは、細工された「RxMaxSize」フレームのサイズ値を含むデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にRealtek r8169 Ethernetドライバをクラッシュされる可能性がある。 [更新]
2010/01/12 登録

危険度：低
影響を受けるバージョン：2.6.12未満、2.6.30以降
影響を受ける環境：Linux
回避策：公表されていません

▽ Linux Kernel───────────────────────────
Linux Kernelは、drivers/firewire/ohci.cのNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルをクラッシュされる可能性がある。 [更新]
2009/12/17 登録

危険度：低
影響を受けるバージョン：2.6.0〜2.6.31
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽ Linux Kernel───────────────────────────
Linux Kernelは、"EXT4_IOC_MOVE_EXT" IOCTLを処理する際に適切なアクセス制限を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受けたり権限を昇格される可能性がある。 [更新]
2009/12/14 登録

危険度：高
影響を受けるバージョン：2.6.x
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽ Linux Kernel───────────────────────────
Linux Kernelは、gdth_read_event () 機能のエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルレベル特典でシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2009/11/24 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.31
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽ Linux Kernel───────────────────────────
Linux Kernelは、hfc_usb.c.のバッファオーバーフローが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2009/11/19 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.31
影響を受ける環境：Linux
回避策：2.6.32.-rc7以降へのバージョンアップ

▽ Linux Kernel───────────────────────────
Linux Kernelは、megaraid_sasドライバが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/11/16 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.27
影響を受ける環境：Linux
回避策：2.6.27-rc4以降へのバージョンアップ

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ 秀丸メール────────────────────────────
秀丸メール 5.32がリリースされた。
http://hide.maruo.co.jp/software/tk.html

▽ MariaDB─────────────────────────────
MariaDB 5.1.41 RCがリリースされた。
http://askmonty.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.33-rc4-git7がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.32.4がリリースされた。
http://www.kernel.org/

▽ Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.31.12がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽ トピックス
JPCERT/CC、Microsoft Internet Explorer の未修正の脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2010/at100004.txt

▽ トピックス
IPA/ISEC、修正プログラム提供前の脆弱性を悪用したゼロデイ攻撃について
http://www.ipa.go.jp/security/virus/zda.html

▽ トピックス
IPA/ISEC、情報詐取を目的として特定の組織に送られる不審なメールの相談窓口「不審メール110番」 [更新]
http://www.ipa.go.jp/security/virus/fushin110.html

▽ トピックス
IPA、脆弱性対策情報データベースJVN iPediaの登録状況[2009年第4四半期(10月〜12月)]
http://www.ipa.go.jp/security/vuln/report/JVNiPedia2009q4.html

▽ トピックス
迷惑メール相談センター、『チェーンメール対策BOOK』配布ページ　更新
https://www.dekyo.or.jp/soudan/pamphlet/chain-agree.html

▽ トピックス
迷惑メール相談センター、『撃退！迷惑メール』配布ページ　更新
https://www.dekyo.or.jp/soudan/pamphlet/pre_tbook-agree.html

▽ トピックス
迷惑メール相談センター、『迷惑メール対策』　更新
http://www.dekyo.or.jp/soudan/taisaku/index.html

▽ トピックス
迷惑メール相談センター、『撃退！チェーンメール』参考資料　更新
http://www.dekyo.or.jp/soudan/chain/reference_materials.html

▽ トピックス
CA、ITサービス・レベル管理ソフトのOblicore社を買収
http://www.ca.com/jp/press/release.aspx?cid=226335

▽ トピックス
Dr.WEB、2009年12月のウイルス・スパムレビュー
http://drweb.jp/news/20100118.html

▽ トピックス
ソフォス：ニュース、イラン・サイバー軍、中国の検索大手の「百度(バイドゥ)」の Web サイトに不正侵入
http://www.sophos.co.jp/pressoffice/news/articles/2010/01/yok0112.html

▽ トピックス
エフセキュアブログ、エフセキュアの「脆弱性シールド」が「Aurora」エクスプロイトをブロック
http://blog.f-secure.jp/archives/50337657.html

▽ トピックス
Panda Security：ブログ、悪意あるつぶやきがクリック課金詐欺ソフトウェアにリンク
http://pandajapanblogs.blogspot.com/2010/01/blog-post.html

▽ トピックス
NTTドコモ、【回復】東京都、神奈川県、埼玉県の一部地域において、FOMAのパケット通信がご利用出来ない、音声通話がしづらい状況について（午後5時50分更新）
http://www.nttdocomo.co.jp/info/network/kanto/pages/100118_1_d.html

▽ トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『IEのポインタ参照処理の脆弱性（CVE-2010-0249）に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20100118.pdf

▽ トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『Adobe Reader、及び、AcrobatのDoc.media.newPlayerの脆弱性（CVE-2009-4324）に関する検証レポート追記版』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091216.pdf

▽ トピックス
マイクロソフト：MSDN、Windows Azure の本番サービスが 1 月末まで無償、Step by Step で手順をご紹介
http://msdn.microsoft.com/ja-jp/azure/ee943806.aspx?rss_fdn=MSDNTopNewInfo

▽ トピックス
RSAセキュリティ、画期的な「セキュリティ・トークン化」技術により短期間、低コストでの準拠が可能な「PCI DSS準拠支援サービス」を提供開始
http://japan.rsa.com/press_release.aspx?id=10664

▽ トピックス
セキュアブレイン、ファーストサーバがレンタルサーバー利用者のウェブ改ざん対策としてセキュアブレインの「gredセキュリティサービス」を採用、本日より販売開始
http://www.securebrain.co.jp/about/news/2010/01/firstserver.html

▽ トピックス
ソフトバンク・テクノロジー、BSIジャパンからクレジットカード情報保護の国際的セキュリティ基準の認定取得
http://www.softbanktech.jp/news/20100119.html

▽ サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.779.80 (01/18)
http://jp.trendmicro.com/jp/support/download/pattern/?WT.ac=JPclusty_pattern&ossl=1

▽ サポート情報
アンラボ、V3 緊急アップデート情報
http://www.ahnlab.co.jp/securityinfo/update_info_view.asp?seq=4573&pageNo=1&news_gu=04

▽ ウイルス情報
トレンドマイクロ、JS_DLOADER.FIS
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JS%5FDLOADER%2EFIS

▽ ウイルス情報
シマンテック、Trojan.Skintrim!gen2
http://www.symantec.com/business/security_response/writeup.jsp?docid=2010-011809-3637-99

▽ ウイルス情報
マカフィー、FakeAlert-PC-Care
http://www.mcafee.com/japan/security/virF.asp?v=FakeAlert-PC-Care

▽ ウイルス情報
マカフィー、Exploit-PDF.bh
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-PDF.bh

▽ ウイルス情報
マカフィー、Roarur
http://www.mcafee.com/japan/security/virR.asp?v=Roarur

▽ ウイルス情報
マカフィー、Roarur.dll
http://www.mcafee.com/japan/security/virR.asp?v=Roarur.dll

▽ ウイルス情報
マカフィー、Roarur.dr
http://www.mcafee.com/japan/security/virR.asp?v=Roarur.dr

◆アップデート情報◆==================================================
───────────────────────────────────
●SuSE Linuxがkernelのアップデートをリリース
───────────────────────────────────
　SuSE Linuxがkernelのアップデートをリリースした。このアップデートによって、kernelにおける複数の問題が修正される。

SuSe Security Announcement
http://www.suse.de/de/security/

───────────────────────────────────
●Vine Linuxがntpおよびlibvorbisのアップデートをリリース
───────────────────────────────────
　Vine Linuxがntpおよびlibvorbisのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Vine Linux 最近発行された Errata
http://www.vinelinux.org/index.html

───────────────────────────────────
●Turbolinuxが複数のアップデートをリリース
───────────────────────────────────
　TurbolinuxがOpenSSL、sendmail、postgresql、webnaviのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Ubuntu Linuxがlibthaiおよびpidginのアップデートをリリース
───────────────────────────────────
　Ubuntu Linuxがlibthaiおよびpidginのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/usn/

《ScanNetSecurity》