セキュリティホール情報<2007/11/20>
2007年11月20日16時15分 / 提供:ネットセキュリティ
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox---------------------------------------------------
Mozilla Firefoxは、細工されたsubjectAltName:dNSName特質を含む証明書を作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にある特定のケースで証明書を偽アドレスで送信される可能性がある。
2007/11/20 登録
危険度:
影響を受けるバージョン:2.0.0.9未満
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BugHotel Reservation System---------------------------------------
BugHotel Reservation Systemは、main.phpスクリプトが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に無許可のアクセス権を奪取される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:4.9.9 P2
影響を受ける環境:UNIX、Linux、Windows
回避策:4.9.9 P3以降へのバージョンアップ
▽phpBBViet---------------------------------------------------------
phpBBVietは、細工されたURLリクエストをfunctions_mod_user.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽IceBB-------------------------------------------------------------
IceBBは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0-rc5、1.0-rc6
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Rigs of Rods------------------------------------------------------
Rigs of Rodsは、Sequencer::queueMessage()機能がユーザ入力を適切にチェックしないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:0.33d
影響を受ける環境:UNIX、Linux、Windows
回避策:0.33d-SP1以降へのバージョンアップ
▽Autonomy KeyView Viewer / Filter / Export SDK---------------------
Autonomy KeyView Viewer、FilterおよびExport SDKは、過度に長いContent-Typeヘッダーを含む細工されたEMLファイルを見るよう誘導されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:9.2.0.12未満、
影響を受ける環境:Mac OS X、Linux、Windows
回避策:9.2.0.12以降へのバージョンアップ
▽Sciurus Hosting Panel---------------------------------------------
Sciurus Hosting Panelは、acp/savenews.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のニュース記事を変更される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.04
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽LIVE555 Media Server----------------------------------------------
LIVE555 Media Serverは、parseRTSPRequestString ()機能がユーザ入力を適切にチェックしないことが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2007.11.01
影響を受ける環境:UNIX、Linux、Windows
回避策:2007.11.18以降へのバージョンアップ
▽JiRo´s Banner System---------------------------------------------
JiRo´s Banner Systemは、login.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:2.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽meBiblio----------------------------------------------------------
meBiblioは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:0.4.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Datecomm Social Networking Script---------------------------------
Datecomm Social Networking Scriptは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:全てのバージョン
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ProfileCMS--------------------------------------------------------
ProfileCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/11/20 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Pioneers----------------------------------------------------------
Pioneersは、細工されたデータを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/11/13 登録
危険度:低
影響を受けるバージョン:0.11.3未満
影響を受ける環境:UNIX、Linux、Windows
回避策:0.11.3以降へのバージョンアップ
▽Net-SNMP----------------------------------------------------------
Net-SNMPは、細工されたGETBULKリクエストを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に大量のメモリリソースを消費される可能性がある。 [更新]
2007/11/09 登録
危険度:低
影響を受けるバージョン:5.4.1未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.4.1以降へのバージョンアップ
▽MySQL-------------------------------------------------------------
MySQLは、ha_innodb.cc:3896 binaryでのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされたりリブートされる可能性がある。 [更新]
2007/11/07 登録
危険度:低
影響を受けるバージョン:5.0.44、5.1.16-17、5.1.23-BK
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Perl regular expression engine------------------------------------
Perl regular expression engineは、細工されたユニコードデータを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/07 登録
危険度:高
影響を受けるバージョン:5.8.8未満
影響を受ける環境:UNIX、Linux、Windows
回避策:5.9.5以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、mod_autoindex.cスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/09/14 登録
危険度:中
影響を受けるバージョン:2.2.5以前
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6以降へのバージョンアップ
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverのmod_proxyモジュールは、ap_proxy_date_canon () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/08/31 登録
危険度:低
影響を受けるバージョン:2.0.x〜2.0.59、2.2.0〜2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:2.2.6-dev以降および2.0.61-dev以降へのバージョンアップ
▽Apache HTTPD's mod_cache------------------------------------------
Apache HTTPD's mod_cacheは、child processをクラッシュさせる細工されたリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を受ける可能性がある。 [更新]
2007/06/27 登録
危険度:低
影響を受けるバージョン:2.2.4未満
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽Apache HTTPD's mod_status-----------------------------------------
Apache HTTPD's mod_statusは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/06/27 登録
危険度:中
影響を受けるバージョン:2.2.4
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Invensys Wonderware InTouch---------------------------------------
Wonderware InTouchは、NetDDE universal shareがWindows 2000上にインストールする際にデフォルトでNetDDE接続を受け入れるように設定されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上であらゆるアプリケーションを実行される可能性がある。
2007/11/20 登録
危険度:高
影響を受けるバージョン:8.0
影響を受ける環境:Windows
回避策:9.0以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CUPS (Common UNIX Printing System)--------------------------------
CUPS (Common UNIX Printing System)は、細工されたtextWithLanguageあるいはnameWithLanguageタグをIPP (Internet Printing Protocol)リクエストに送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。 [更新]
2007/11/01 登録
危険度:高
影響を受けるバージョン:1.3.3
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
▽Apache HTTP Server------------------------------------------------
Apache HTTP Serverは、証明されていない子プロセスシグナルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを応答不能にされる可能性がある。 [更新]
2007/06/28 登録
危険度:低
影響を受けるバージョン:1.3.37、2.0.59、2.2.4
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel------------------------------------------------------
Linux kernelは、tcp_sacktag_write_queue ()機能が原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/11/20 登録
危険度:低
影響を受けるバージョン:2.6.23.8
影響を受ける環境:Linux
回避策:2.6.23.8以降へのバージョンアップ
<Mac OS X> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS XおよびMac OS X Serverの新バージョン10.5を公開した。10.5へのバージョンアップにより、複数のセキュリティホールが修正される。
2007/11/19 登録
危険度:高
影響を受けるバージョン:10.5未満、Server 10.5未満
影響を受ける環境:Mac OS X
回避策:10.5へのバージョンアップ
▽Apple Mac OS X----------------------------------------------------
Appleは、Mac OS Xに関するセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2007/11/15 登録
危険度:高
影響を受けるバージョン:10.4.11未満、Server 10.4.11未満
影響を受ける環境:Mac OS X
回避策:Security Updateの適用
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Daemonlogger------------------------------------------------------
Daemonlogger 1.0.1がリリースされた。
http://www.snort.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、広帯域移動無線アクセスシステムに関する公開カンファレンスの開催
http://www.soumu.go.jp/s-news/2007/071119_4.html
▽トピックス
総務省、「重要通信の高度化の在り方に関する研究会」の開催
http://www.soumu.go.jp/s-news/2007/071119_3.html
▽トピックス
JVN、RoundCube Webmail におけるクロスサイトリクエストフォージェリの脆弱性
http://jvn.jp/jp/JVN%2333820033/index.html
▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/
▽トピックス
NTTドコモ、「N900iG」 ソフトウェアアップデートのお知らせ
http://www.nttdocomo.co.jp/info/notice/page/071119_00.html
▽トピックス
au、au携帯電話におけるCメール「おしゃべりモード」の提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20071
116174449.html
▽トピックス
au、広告表示に関する警告等について
http://www.kddi.com/news/topics/20071116.html
▽トピックス
NTTアドバンステクノロジ、負荷分散装置「Webアクセスシェイパ」の販売を開始
http://www.ntt-at.co.jp/news/2007/release35.html
▽トピックス
マイクロソフト、無料動画配信サービス「GyaO」が、Microsoft(R)Silverlight(TM) による配信を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3275
▽トピックス
マイクロソフト、Microsoft Visual Studio(R) 2008 英語版、および.NET Framework 3.5 の開発を完了、完成版の提供を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=
3277
▽トピックス
MSDN、"Open XML ソリューション開発セミナー" 参加受付中
http://www.microsoft.com/japan/partner/innovateon/2007office
/preview.mspx
▽トピックス
ライフボート、ファイルサーバのログ収集とアクセス制御ソフトの『ファイルサーバ防衛スタータパック』、『ファイルサーバ完全防衛パック』を2007年12月3日から発売
http://www.lifeboat.jp/
▽トピックス
日本セキュアジェネレーション、Active Directory対応指紋認証ソフトウェア「SecuAD」を発表
http://www.secugen.co.jp/
▽トピックス
先端技術研究所、ファイアウォール運用管理ソフトウェア「Tufin SecureTrack 4.1」販売開始
http://www.ART-Sentan.co.jp/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2712
▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2711
▽セミナー情報
IPA/ISEC、CC Ver3.1 ST作成講座 参加者募集について
http://www.ipa.go.jp/security/jisec/st_seminar20071219.html
▽セミナー情報
図研ネットウエイブ、「今必要なセキュリティ対策セミナー」開催
http://www.znw.co.jp/s_event/index.html
▽統計・資料
経済産業省、Embedded Technology 2007 カンファレンス(2007年11月14日)における講演資料を公開
http://www.meti.go.jp/policy/it_policy/technology/ET2007pres
entation.html
▽ウイルス情報
トレンドマイクロ、TROJ_DROPPER.DCU
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?
VName=TROJ%5FDROPPER%2EDCU
▽ウイルス情報
ソフォス、Troj/Dload-Y (英語)
http://www.sophos.com/security/analyses/trojdloady.html
▽ウイルス情報
ソフォス、Troj/NTRootK-CE (英語)
http://www.sophos.com/security/analyses/trojntrootkce.html
▽ウイルス情報
ソフォス、Troj/Zlob-AER (英語)
http://www.sophos.com/security/analyses/trojzlobaer.html
▽ウイルス情報
ソフォス、Troj/Virtum-BA (英語)
http://www.sophos.com/security/analyses/trojvirtumba.html
▽ウイルス情報
ソフォス、Troj/Istbar-DQ (英語)
http://www.sophos.com/security/analyses/trojistbardq.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFN (英語)
http://www.sophos.com/security/analyses/trojdloadrbfn.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIW (英語)
http://www.sophos.com/security/analyses/w32sdbotdiw.html
▽ウイルス情報
ソフォス、Troj/Steam-AK (英語)
http://www.sophos.com/security/analyses/trojsteamak.html
▽ウイルス情報
ソフォス、Troj/Revenge-Q (英語)
http://www.sophos.com/security/analyses/trojrevengeq.html
▽ウイルス情報
ソフォス、Troj/OnLineG-Y (英語)
http://www.sophos.com/security/analyses/trojonlinegy.html
▽ウイルス情報
ソフォス、W32/Rbot-GVH (英語)
http://www.sophos.com/security/analyses/w32rbotgvh.html
▽ウイルス情報
ソフォス、W32/Rbot-GVG (英語)
http://www.sophos.com/security/analyses/w32rbotgvg.html
▽ウイルス情報
ソフォス、W32/Malas-A (英語)
http://www.sophos.com/security/analyses/w32malasa.html
▽ウイルス情報
ソフォス、Troj/Agent-GGM (英語)
http://www.sophos.com/security/analyses/trojagentggm.html
▽ウイルス情報
ソフォス、Troj/FakeVir-AM (英語)
http://www.sophos.com/security/analyses/trojfakeviram.html
▽ウイルス情報
ソフォス、Troj/Banker-EJS (英語)
http://www.sophos.com/security/analyses/trojbankerejs.html
▽ウイルス情報
ソフォス、Troj/Proxy-HZ (英語)
http://www.sophos.com/security/analyses/trojproxyhz.html
▽ウイルス情報
ソフォス、Troj/Flux-EF (英語)
http://www.sophos.com/security/analyses/trojfluxef.html
▽ウイルス情報
ソフォス、Troj/Dloadr-BFA (英語)
http://www.sophos.com/security/analyses/trojdloadrbfa.html
▽ウイルス情報
ソフォス、Troj/Noia-A (英語)
http://www.sophos.com/security/analyses/trojnoiaa.html
▽ウイルス情報
ソフォス、W32/Sdbot-DIV (英語)
http://www.sophos.com/security/analyses/w32sdbotdiv.html
▽ウイルス情報
ソフォス、Mal/Delf-G (英語)
http://www.sophos.com/security/analyses/maldelfg.html
▽ウイルス情報
ソフォス、Troj/DwnLdr-GYV
http://www.sophos.co.jp/security/analyses/trojdwnldrgyv.html
▽ウイルス情報
ソフォス、W32/SillyFDC-BK (英語)
http://www.sophos.com/security/analyses/w32sillyfdcbk.html
▽ウイルス情報
ソフォス、Troj/StraDr-A
http://www.sophos.co.jp/security/analyses/trojstradra.html
▽ウイルス情報
ソフォス、Troj/KillFile-G (英語)
http://www.sophos.com/security/analyses/trojkillfileg.html
▽ウイルス情報
ソフォス、Troj/AgenPi-Gen (英語)
http://www.sophos.com/security/analyses/trojagenpigen.html
▽ウイルス情報
ソフォス、Troj/Autoit-E (英語)
http://www.sophos.com/security/analyses/trojautoite.html
▽ウイルス情報
マカフィー、W32/Lecivio.worm
http://www.mcafee.com/japan/security/virL.asp?v=W32/Lecivio.
worm
▽ウイルス情報
マカフィー、Downloader-BFX
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-B
FX
◆アップデート情報◆
----------------------------------------------------------------------
●Debianがcupsysのアップデートをリリース
----------------------------------------------------------------------
Debianがcupsysのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行されたりサービスをクラッシュされる問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
----------------------------------------------------------------------
●Gentoo LinuxがPerlのアップデートをリリース
----------------------------------------------------------------------
Gentoo LinuxがPerlのアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
Gentoo Linux
http://www.gentoo.org/
----------------------------------------------------------------------
●SuSE Linuxがapache2のアップデートをリリース
----------------------------------------------------------------------
SuSE Linuxがapache2のアップデートをリリースした。このアップデートによって、システム上で任意のコードを実行される問題が修正される。
SuSe Security Announcement
http://www.suse.de/de/security/
----------------------------------------------------------------------
●Turbolinuxがhttpdのアップデートをリリース
----------------------------------------------------------------------
Turbolinuxがhttpdのアップデートをリリースした。このアップデートによって、Group値などが初期状態に戻ってしまう問題が修正される。
Turbolinux Security Center
http://www.turbolinux.co.jp/security/
Ads by Google
このサイトへ広告を掲載
コメントするにはログインが必要です
関連ニュース:セキュリティ
- ネットスター、PC利用状況の可視化で利用効率向上とコスト削減を実現する中小規模オフィス向けクラウド型マネージドサービス「ICTセンサー」を発売 ネットスター株式会社ニューズ・ツ・ーユー 06日14時00分
- 上半期のマルウェア感染が2倍近くに増加――トレンドマイクロ調べITmedia 06日13時33分
- イーシステムの名刺管理サービス「アルテマブルー」をGMOホスティング & セキュリティが販売開始 イーシステム株式会社ニューズ・ツ・ーユー 06日13時20分
- インテック、ID管理ソリューションに新機能を追加〜Active Directoryのパスワード情報が「結人」「束人」で同期可能に〜@Press 06日13時00分
- メディアファイブ、脳トレ用ソフト「10倍脳を鍛える!」10タイトルBCNランキング 06日12時37分
- << 日本ベリサイン、インター…
- IT一覧
- Webアドレスの入力ミスを… >>
関連商品
 4,880円
DOSPARA
|
 5,250円
ニッセン
|
 3,280円
マイカウネット
|
 29,505円
エレコムダイレクトショップ
|
ITアクセスランキング
- 美少女のパンツが丸見え! 人気PS3ゲームに重大なバグ?ロケットニュース24 05日05時31分(3)
- 【トレビアン】秋葉原でlivedoor BlogPROチケット配布! 20分で配布終了!
トレビアンニュース 06日10時15分(1) - ようやく1.5TBのHDDが1番お買い得に、本体価格は1万円割れ目前GIGAZINE 05日23時52分(1)
- 任天堂が初心者向けにゲームの難しい部分をスキップできる機能を搭載へGIGAZINE 06日12時18分(3)
- なぜ売れる!?300万円のシリコンオーディオ【最新口コミ モノ・トレンド】ITライフハック 05日09時00分(7)
- お金をかけずにパソコンを安全に使いおう!無料のセキュリティ対策【知っ得!虎の巻】ITライフハック 05日09時00分(2)
- iPhone&iPod touchに卑猥なアプリ登場「ヌード禁止なのにナゼ」の声ガジェット通信 06日11時00分
- 迷走続けるマイクロソフト社=サービス名称変更で消費者は混乱―中国メディアRecord China 06日10時16分
- “Vista”不人気の反動で大ヒットか?先行予約で見えた「Windows 7」の期待度 ダイヤモンド・オンライン 06日11時05分(1)
- 精密機械は水洗いで治る?ライフハッカー[日本版] 03日20時30分(27)
注目の情報
遼くんから学ぶ英語
「英語で話すとき、日本語では考えられないんです!」と遼くん!頭の
中で日本語をいちいち訳してから英語を話すということは一切していな
いことが、『スピードラーニング』で養った英語脳効果!
→ スピードラーニングについて
行きの電車、帰りの電車で