セキュリティホール情報<2007/11/20>
2007年11月20日16時15分 / 提供:ネットセキュリティ
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
Ads by Google
コメントするにはログインが必要です
関連ニュース:セキュリティ
- 【ソニーの"bit-drive"】満席につき急遽追加講演決定!無料:12月9日東京開催、bit-drive・@IT・シマンテック・デジタルアーツの4社共催セミナー ソニーブロードバンドソリューション株式会社ニューズ・ツ・ーユー 11月27日09時00分
- ATMアジアNo.1の実績を活かしグローバル展開を本格化──OKI川崎社長基調講演
RBB TODAY 11月27日08時17分 - 「デジタルライフスタイルの未来はiPhoneにある」――フィル・シラー+D PC USER 11月26日18時59分
- 最近のオンライン詐欺師はSEOを駆使し、人の心を突く@IT 11月26日18時41分
- フォーティネット、新規公開株式の発行価格を発表シゴトの計画 11月26日18時03分
- << 日本ベリサイン、インター…
- IT一覧
- Webアドレスの入力ミスを… >>
関連商品
 10,120円
アウトレットプラザ
|
 1,980円
カウモール
|
 26,800円
コムロード オンラインストア
|
 8,340円
アウトレットプラザ
|
ITアクセスランキング
- 【ゲーム×コンボ】桃太郎電鉄が路線をジャック? 今度はWiFi対戦も可能に!ゲーム×コンボ 26日12時40分(2)
- 2ちゃんねる「一年前まで彼女だった女の名言」がおもしろい!ガジェット通信 26日17時37分
- ニコン「D3S」の連写で毎秒90MB転送可能なサンディスクのコンパクトフラッシュ「Extreme Pro」の実力を試すGIGAZINE 26日19時17分(1)
- 『ラブプラス』結婚式、海外のゲーマーから「英雄」と称えられるKotaku JAPAN 26日22時00分
- ソニー、またも痛恨のミスに謝罪!一部のパソコンが低温時に起動しない不具合ITライフハック 27日07時00分(2)
- AppleのMagicMouseをWindowsで使う裏ワザライフハッカー[日本版] 26日20時00分
- 【コラム】 サイトに入会しただけで満足してはいけないネット婚活体験者が語る事前準備の大切さR25.jp 26日11時00分(1)
- 写真で見る「BlackBerry Bold」Whiteモデル+D Mobile 26日16時55分
- インターネット生放送でリストカットを放送し視聴者が騒然ロケットニュース24 25日10時03分(7)
- 「マリオ」の旧名は「ミスター・ビデオ」だった?Kotaku JAPAN 26日16時00分
Amazon ランキング
|
|
|
|
|
|||||
注目の情報
47才の男が使うと…今、このシャンプーが90万本もバカ売れしている。なんでも通販のみ
にも関わらず、「毛髪に悩む男性」に凄く売れてるのだと。試しに注文
してみると…「えーっ!」と驚くほど。それは47才の…
ある男が語る秘密≫
![偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]](http://image.news.livedoor.com/newsimage/7/8/78f52_58_339ac550f54d5427383243ea184dbca4-s.jpg)
行きの電車、帰りの電車で