セキュリティホール情報<2007/11/20>
2007年11月20日16時15分 / 提供:ネットセキュリティ
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
Ads by Google
コメントするにはログインが必要です
関連ニュース:セキュリティ
- 【パソコン快適活用術】セキュリティソフトは役に立たない?Techinsight Japan 11月11日08時48分(12)
- VERSION UP! ひとりひとりのあなたへ。ドコモ、冬春の新ケータイ20機種を発表
ITライフハック 11月11日10時00分 - サンモアテックとテプコシステムズ、医療機関向け職員研修と安全管理支援のパッケージソフトウェア販売で協業@Press 11月11日10時00分
- 今日は毎月恒例「Windows Update」の日、全部で6件GIGAZINE 11月11日09時14分
- 「値段が高すぎるiPhoneアプリ」(2):笑えるアプリなどWIRED VISION 11月11日08時34分
- << 日本ベリサイン、インター…
- IT一覧
- Webアドレスの入力ミスを… >>
関連商品
 12,520円
アウトレットプラザ
|
 11,190円
アウトレットプラザ
|
 13,800円
コムロード オンラインストア
|
 33,800円
コムロード オンラインストア
|
ITアクセスランキング
- 市橋容疑者「逮捕」で書き込み殺到 2ちゃんねる、繋がりにくい状況J-CASTニュース 10日20時34分(11)
- 【パソコン快適活用術】セキュリティソフトは役に立たない?Techinsight Japan 11日08時48分(9)
- ジブリ顔負け!? 自主制作アニメがすごすぎる! 『ニコニコ動画』で大注目ガジェット通信 10日14時26分(7)
- 任天堂が「真摯な対応が見られない」とマジコン業者に激怒ロケットニュース24 10日17時37分(13)
- 新Android携帯『Droid』:高性能でも乗り換えない理由WIRED VISION 10日11時20分(2)
- 世界初の分離合体するセパレートケータイ、NTTドコモの「F-04B」速攻フォトレビューGIGAZINE 10日16時48分(6)
- 【速報】NTTドコモが2009年冬モデルおよび2010年春モデルを発表、上下に分離する世界初の「セパレートケータイ」など20機種を発売へGIGAZINE 10日12時57分(2)
- ビックリなご近所事情で決まる中国静音PCの運命+D PC USER 10日12時53分(3)
- アップル、ハッキントッシュ締め出しへ! ネットブックへのSnow Leopardインストールを阻止する方針が明らかにGIZMODO 10日12時00分(12)
- ファンの熱意でBD化が決定した「true tears」、本日からブルーレイBOXの予約受付開始GIGAZINE 10日14時20分(6)
注目の情報
過払い金返還の無料弁護士相談!消費者金融に払い過ぎた利息が取り返せる可能性があります
完済後もOK。返済中であれば取り立てを止めることができます
借金215万円がゼロになり、368万円戻ってきた事例も!!
弁護士相談24時間受付中
![[新製品]東芝、Windows7 Professionalを搭載した企業向けノートPCを発表](http://image.news.livedoor.com/newsimage/6/3/634a1_58_f6d3fc617d235627da2fc8a0bc5964c8-s.jpg)
![偽セキュリティ対策ソフトの脅威が再拡大 〜 10月のウイルス・不正アクセス状況[IPA]](http://image.news.livedoor.com/newsimage/7/8/78f52_58_339ac550f54d5427383243ea184dbca4-s.jpg)
行きの電車、帰りの電車で