セキュリティホール情報＜2006/07/12＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Trac───────────────────────────────
Tracは、'reStructuredText'インプリメンテーションが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2006/07/12 登録

危険度：
影響を受けるバージョン：0.9.5以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽QTOFileManager──────────────────────────
QTOFileManagerは、qtofm.phpスクリプトに細工されたURLリクエストを送ることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを閲覧される可能性がある。
2006/07/12 登録

危険度：低
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ZIG Game Engine─────────────────────────
ZIG Game Engineは、細工されたパケットを送ることなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDos攻撃を実行されるなどの可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：CVS 24Jun2006未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TOPo───────────────────────────────
TOPoは、index.phpスクリプトに細工されたHTTPポストのリクエストを送ることが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。
2006/07/12 登録

危険度：高
影響を受けるバージョン：2.2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽vBulletin────────────────────────────
vBulletinは、upgrade_301.phpスクリプトに細工されたURLリクエストを送信することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：3.5.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FarsiNews────────────────────────────
FarsiNewsは、tiny_mce_gzip.phpスクリプトに細工されたURLリクエストを送信することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたり、機密情報を奪取される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：3.0 BETA 1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TWiki──────────────────────────────
TWikiは、アップロードフィルターを回避して細工されたファイル名の悪意があるPHPファイルをアップロードされることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2006/07/12 登録

危険度：高
影響を受けるバージョン：20001201、20011201、20030201、20040901、
20040902、20040903、20040904、4.0.0、4.0.1、
4.0.2、4.0.3
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Juniper Networks DX───────────────────────
Juniper Networks DXは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：DX 5.1.x以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽AjaxPortal────────────────────────────
AjaxPortalは、細工されたSQLステートメントによってSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PcCookBook────────────────────────────
Joomla用のコンポーネントであるPcCookBookは、細工されたURLリクエストをpccookbook.phpスクリプトに送ることで任意のファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：0.3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Papoo──────────────────────────────
Papooは、ユーザ入力を適切にチェックしていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にSQLインジェクションやクロスサイトスクリプティングを実行される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：3 RC3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Webvizyon Portal─────────────────────────
Webvizyon Portalは、SayfalaAltList.aspスクリプトに細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改竄やデータの盗難などを実行される可能性がある。 [更新]
2006/07/11 登録

危険度：中
影響を受けるバージョン：2006
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Graffiti Forums─────────────────────────
Graffiti Forumsは、topics.phpスクリプトに細工されたSQLステートメントを送ることが原因でSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース内容の改竄やデータの盗難などを実行される可能性がある。 [更新]
2006/07/11 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BosClassifieds Classified Ad System───────────────
BosClassifieds Classified Ad Systemは、insPathパラメータでのユーザ入力を適切にチェックしないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のPHPコードとシステムコマンドを実行される可能性がある。 [更新]
2006/07/10 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Macromedia Flash Player─────────────────────
Macromedia Flash Playerは、圧縮された.swfファイルを適切にチェックしないことが原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebブラウザをクラッシュされる可能性がある。 [更新]
2006/07/10 登録

危険度：高
影響を受けるバージョン：8.0.24.0
影響を受ける環境：UNIX、Linux、Windows
回避策：9.0.16.0以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Internet Explorer───────────────────
Microsoft Internet Explorerは、フォントプロパティでHtmlDlgSafeHelper ActiveXオブジェクトを処理するときにDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるWebページに誘導され、ブラウザをクラッシュされる可能性がある。
2006/07/12 登録

危険度：低
影響を受けるバージョン：6.x
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Office─────────────────────────
Microsoft Officeは、不正な形式のPNGファイルやGIFファイルによってセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：2003 SP1、SP2、XP SP3、2000 SP3
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Office─────────────────────────
Microsoft Officeは、適切な処理を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：2003 SP1、SP2、XP SP3、2000 SP3
影響を受ける環境：Windows、Mac OS X
回避策：WindowsUpdateの実行

▽Microsoft Excel─────────────────────────
Microsoft Excelは、適切な処理を行っていないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：2003 SP1、SP2、XP SP3、2000 SP3
影響を受ける環境：Windows
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、DHCP クライアントサービスが原因でバッファオーバーランを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：
影響を受ける環境：Windows Server 2003、SP1、XP SP1、SP2、2000 SP4
回避策：WindowsUpdateの実行

▽Microsoft Windows────────────────────────
Microsoft Windowsは、Mailslot ヒープのオーバーフローやSMBの情報漏洩のセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行されたり機密情報を奪取される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：
影響を受ける環境：Windows Server 2003、SP1、XP SP1、SP2、2000 SP4
回避策：WindowsUpdateの実行

▽Microsoft IIS──────────────────────────
Microsoft IIS（Internet Information Services）は、不正な形式の Active Server Pagesによってセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 重要
影響を受けるバージョン：6.0、5.1、5.0
影響を受ける環境：Windows Server 2003、SP1、XP SP1、SP2、2000 SP4
回避策：WindowsUpdateの実行

▽Microsoft Windows / .NET Framework────────────────
Microsoft Windowsは、.NET Frameworkのアプリケーションフォルダが原因でセキュリティホールが存在する。この問題が悪用されると、機密情報を奪取される可能性がある。
2006/07/12 登録

最大深刻度 : 重要
影響を受けるバージョン：.NET Framework 2.0
影響を受ける環境：Windows Server 2003、SP1、XP SP1、SP2、2000 SP4
回避策：WindowsUpdateの実行

▽Microsoft Excel─────────────────────────
Microsoft Excelは、細工されたファイルを作成されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2006/07/11 登録

危険度：高
影響を受けるバージョン：2000、2003、XP
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Excel─────────────────────────
Microsoft Excelは、ハイパーリンクについて適切にチェックしないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2006/06/21 登録

危険度：高
影響を受けるバージョン：2000、2002、2003、Viewer 2003
影響を受ける環境：Windows XP SP1、SP2、2000 SP4、Server 2003
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽FlexWATCH Network Cameras────────────────────
FlexWATCH Network Camerasは、細工されたURLリクエストをバイパス認証に送信することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドミニストレーションのインタフェースへのアクセス権を奪取される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：2.0 (PAL)、2.3 (NTSC)、
3.0 (FW-3400-A(PAL))
影響を受ける環境：FlexWATCH Network Camera
回避策：公表されていません

▽Juniper devices running certain versions of JUNOS────────
Juniper devices running certain versions of JUNOSは、細工されたIPv6パケットを送信することが原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なカーネルメモリリソースを全て消費されルーターをクラッシュされる可能性がある。
2006/07/12 登録

危険度：低
影響を受けるバージョン：6.4〜8.0
影響を受ける環境：JUNOS
回避策：ベンダの回避策を参照

▽BT Voyager 2091 Wireless ADSL router───────────────
BT Voyager 2091 Wireless ADSL routerは、psiBackupInfoあるいはconnect.htmlファイルに直接のリクエストを送信することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコンフィギュレーションやPPPユーザインフォメーションなどの機密情報を奪取される可能性がある。
2006/07/12 登録

危険度：低
影響を受けるバージョン：3.01m未満
影響を受ける環境：BT Voyager 2091 Wireless ADSL router
回避策：公表されていません

▽IBM N series───────────────────────────
IBM N seriesは、未知のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格され任意のコマンドを実行される可能性がある。
2006/07/12 登録

危険度：中
影響を受けるバージョン：Data ONTAP 7.1.0.1x、7.1x
影響を受ける環境：Data ONTAP
回避策：パッチのインストール

▽Hosting Controller────────────────────────
Hosting Controllerは、error.aspスクリプトがエラーパラメータでのユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2006/07/11 登録

危険度：
影響を受けるバージョン：6.1未満
影響を受ける環境：Windows
回避策：公表されていません

▽MIMEsweeper for Web───────────────────────
MIMEsweeper for Webは、ユーザに入力されたHTMLコードを適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2006/07/11 登録

危険度：中
影響を受けるバージョン：5.1.5
影響を受ける環境：Windows
回避策：5.1.15 Hotfixへのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Samba──────────────────────────────
Sambaは、smbdに多数の接続を行うことが原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に使用可能なメモリリソースを全て消費される可能性がある。
2006/07/12 登録

危険度：低
影響を受けるバージョン：3.0.1〜3.0.22
影響を受ける環境：UNIX、Linux
回避策：3.0.23以降へのバージョンアップ

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office─────────────────────────
Microsoft Officeは、適切な処理を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートからコードを実行される可能性がある。
2006/07/12 登録

最大深刻度 : 緊急
影響を受けるバージョン：2003 SP1、SP2、XP SP3、2000 SP3
影響を受ける環境：Windows、Mac OS X
回避策：WindowsUpdateの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox─────────────────────────
Mozilla Firefox 2.0 Beta 1 RCがリリースされた。
http://www.mozillazine.org/talkback.html?article=10874

▽Samba──────────────────────────────
Samba 3.0.23がリリースされた。
http://us1.samba.org/samba/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.18-rc1-git4がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
@police、マイクロソフト社のセキュリティ修正プログラムについて(MS06-033,034,035,036,037,038,039)
http://www.cyberpolice.go.jp/important/2006/20060712_072107.html

▽トピックス
ICANNの指名委員会が提出期限を2006年8月1日に延長
http://www.nic.ad.jp/ja/topics/2006/20060711-03.html

▽トピックス
ICANN、2006年7月-2010年6月の戦略計画のためのコンサルテーションプロセスを開始
http://www.nic.ad.jp/ja/topics/2006/20060711-02.html

▽トピックス
NASKとICANN、DNSルートゾーン管理を自動化するソフトウェア開発に関して前進
http://www.nic.ad.jp/ja/topics/2006/20060711-01.html

▽トピックス
トレンドマイクロ、インターネットのセキュリティ向上のためウイルス検体を収集するウイルスハンタープロジェクトの成果発表
http://www.trendmicro.com/jp/about/news/pr/archive/2006/news060712.htm

▽トピックス
シマンテック、Microsoft ISA Server 2004 向けに最大限の Web 保護機能を発揮する新製品を発表
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20060712_01

▽トピックス
フューチャースピリッツ、スパイウェア対策サービス「SpyZero」にウィニー・Share 検出・駆除機能を搭載
http://www.future-s.com/server_domain/spy_zero/share/index.html

▽トピックス
NTTドコモ、「SIMPURE N」「SIMPURE L」の一時販売停止について
http://www.nttdocomo.co.jp/info/news_release/page/20060712a.html

▽トピックス
マイクロソフト、2006 年 7 月のセキュリティ情報
http://www.microsoft.com/japan/technet/security/bulletin/ms06-jul.mspx

▽トピックス
マイクロソフト、通信コストの削減と生産性向上を実現するコミュニケーションツール Microsoft Office CommunicatorがWindows Mobile 端末に対応
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=2754

▽トピックス
マキエンタープライズ、フィルタリングソフト「KidsGoGoGo」（キッズゴ−ゴ−ゴ−）10.6 for Mac OS Xの出荷を開始
http://www.makie.com

▽トピックス
ティーディー・セキュリティ、「データベース・セキュリティ診断サービス」を開始
http://www.tdsecurity.jp/press/release2006/20060711databasecheck.html

▽トピックス
京セラコミュニケーションシステム、脆弱性管理システム「nCircle IP360 Ver.6.6」を提供開始
http://www.kccs.co.jp/press/release/060712.html

▽トピックス
バリオセキュア・ネットワークス、企業情報の漏えい対策強化にWinnyp対応サービス開始を検討
http://www.variosecure.net/

▽トピックス
Panda、セキュリティアプライアンス製品であるGateDefender Performa 8000 シリーズのシステムソフトウェアーの新バージョン2.03.00 と既知の問題を修正したパッチ0017 の出荷を開始
http://www.otsuka-shokai.co.jp

▽トピックス
大塚商会、セキュリティポリシー策定・プライバシーマーク及びISMS認証取得を目指す企業を強力バックアップ必要ドキュメント群を安価に提供する「リミテッドシリーズ」発売
http://www.otsuka-shokai.co.jp

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=1719&pageNo=1&news_gu=04

▽セミナー情報
コミュニケーションテクノロジーズ、「第二回　中堅・新興企業のための内部統制セミナー」を開催
http://www.value-press.com/pressrelease.php?article_id=7353&medium_id=969

▽ウイルス情報
シマンテック、Trojan.Mdropper.K
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.mdropper.k.html

▽ウイルス情報
シマンテック、Backdoor.Sdbot.AU
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.sdbot.au.html

▽ウイルス情報
シマンテック、Backdoor.Pcclient.B
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.pcclient.b.html

▽ウイルス情報
シマンテック、W32.Banwarum.G@mm
www.symantec.com/region/jp/avcenter/venc/data/jp-w32.banwarum.g@mm.html

▽ウイルス情報
シマンテック、W32.Yawmo
http://www.symantec.com/region/jp/avcenter/venc/data/jp-w32.yawmo.html

▽ウイルス情報
シマンテック、Trojan.Nakani
http://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.nakani.html

▽ウイルス情報
ソフォス、Troj/Clagger-W
http://www.sophos.co.jp/security/analyses/trojclaggerw.html

▽ウイルス情報
ソフォス、Troj/VB-BVA (英語)
http://www.sophos.com/security/analyses/trojvbbva.html

▽ウイルス情報
ソフォス、Troj/Deldoc-D (英語)
http://www.sophos.com/security/analyses/trojdeldocd.html

▽ウイルス情報
ソフォス、Troj/Oscor-F (英語)
http://www.sophos.com/security/analyses/trojoscorf.html

▽ウイルス情報
ソフォス、Troj/Drsmart-BC (英語)
http://www.sophos.com/security/analyses/trojdrsmartbc.html

▽ウイルス情報
ソフォス、Troj/Drsmart-BD (英語)
http://www.sophos.com/security/analyses/trojdrsmartbd.html

▽ウイルス情報
ソフォス、Troj/Drsmart-BB (英語)
http://www.sophos.com/security/analyses/trojdrsmartbb.html

▽ウイルス情報
ソフォス、Troj/Drsmart-BE (英語)
http://www.sophos.com/security/analyses/trojdrsmartbe.html

▽ウイルス情報
ソフォス、Troj/CashGrab-R (英語)
http://www.sophos.com/security/analyses/trojcashgrabr.html

▽ウイルス情報
ソフォス、DS060711
http://www.sophos.co.jp/security/analyses/ds060711.html

▽ウイルス情報
ソフォス、W32/Tilebot-FY
http://www.sophos.co.jp/security/analyses/w32tilebotfy.html

▽ウイルス情報
ソフォス、Troj/Dloadr-ZO (英語)
http://www.sophos.com/security/analyses/trojdloadrzo.html

▽ウイルス情報
ソフォス、Troj/Zapchas-BR (英語)
http://www.sophos.com/security/analyses/trojzapchasbr.html

▽ウイルス情報
ソフォス、Troj/Agent-CKM (英語)
http://www.sophos.com/security/analyses/trojagentckm.html

▽ウイルス情報
ソフォス、Troj/Clicker-CZ (英語)
http://www.sophos.com/security/analyses/trojclickercz.html

▽ウイルス情報
ソフォス、Troj/Adload-HO (英語)
http://www.sophos.com/security/analyses/trojadloadho.html

▽ウイルス情報
ソフォス、Troj/Ranck-ER (英語)
http://www.sophos.com/security/analyses/trojrancker.html

▽ウイルス情報
ソフォス、Troj/Torpig-BB (英語)
http://www.sophos.com/security/analyses/trojtorpigbb.html

▽ウイルス情報
ソフォス、Troj/Dloadr-ZL
http://www.sophos.co.jp/security/analyses/trojdloadrzl.html

▽ウイルス情報
ソフォス、WM97/Lakpo-A (英語)
http://www.sophos.com/security/analyses/wm97lakpoa.html

▽ウイルス情報
ソフォス、W32/Forbot-GK
http://www.sophos.co.jp/security/analyses/w32forbotgk.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-DKY (英語)
http://www.sophos.com/security/analyses/trojdwnldrdky.html

◆アップデート情報◆
───────────────────────────────────
●Mandriva Linuxがpppおよびsambaのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがpppおよびsambaのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security