セキュリティホール情報＜2007/07/05＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Oliver Library Management System─────────────────
Oliver Library Management Systemは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/07/05 登録

危険度：低
影響を受けるバージョン：0.9.8未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Elite Bulletin Board───────────────────────
Elite Bulletin Boardは、Profile.phpやPM.phpのエラーが原因でセキュリティホールが存在するる。この問題が悪用されると、リモートの攻撃者にデータを改竄される可能性がある。
2007/07/05 登録

危険度：中
影響を受けるバージョン：1.0.10未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.0.10以降へのバージョンアップ

▽MyCMS──────────────────────────────
MyCMSは、細工されたリクエストをadmin/settings.php、snakep.php、tetrisp.phpおよびgames.phpスクリプトに送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムで任意のコマンドを実行される可能性がある。 [更新]
2007/07/04 登録

危険度：中
影響を受けるバージョン：0.9.8未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Girlserv ads───────────────────────────
Girlserv adsは、details_news.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/04 登録

危険度：中
影響を受けるバージョン：1.5未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽SuperCali────────────────────────────
SuperCaliは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/04 登録

危険度：中
影響を受けるバージョン：0.4.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Liesbeth base CMS────────────────────────
Liesbeth base CMSは、config.incスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/07/04 登録

危険度：低
影響を受けるバージョン：全てのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Moodle──────────────────────────────
Moodleは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/07/04 登録

危険度：中
影響を受けるバージョン：1.7.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽AV Arcade────────────────────────────
AV Arcadeは、細工されたクッキーを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションへの無許可のアクセス権を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：2.1b
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽eTicket─────────────────────────────
eTicketは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.5.1.1未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FireFlier────────────────────────────
FireFlierは、getChains機能が原因でsymlink攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.1.7未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.1.7以降へのバージョンアップ

▽Efendy Blog───────────────────────────
Efendy Blogは、ara.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：Windows
回避策：公表されていません

▽Claroline────────────────────────────
Clarolineは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.8.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.8.4以降へのバージョンアップ

▽Ripe Website Manager───────────────────────
Ripe Website Managerは、includes/phpinfo.phpスクリプトにダイレクトリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/07/03 登録

危険度：低
影響を受けるバージョン：0.8.9未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ArcadeBuilder Game Portal Manager────────────────
ArcadeBuilder Game Portal Managerは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.7
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Easybe 1-2-3 Music Store─────────────────────
Easybe 1-2-3 Music Storeは、process.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：全てのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpEventCalendar─────────────────────────
phpEventCalendarは、eventdisplay.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：0.2.3未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽XCMS───────────────────────────────
XCMSは、細工されたURLリクエストをGalerie.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2007/07/03 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Buddy Zone────────────────────────────
Buddy Zoneは、view_sub_cat.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2007/07/02 登録

危険度：中
影響を受けるバージョン：1.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FreeType─────────────────────────────
FreeTypeは、細工されたTTFイメージが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/05/22 登録

危険度：高
影響を受けるバージョン：2.3.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽MySQL──────────────────────────────
MySQLは、ALTER テーブルステートメントが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/05/17 登録

危険度：中
影響を受けるバージョン：5.1.18未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.1.18へのバージョンアップ

▽MySQL──────────────────────────────
MySQLは、細工されたIF clauseを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2007/05/17 登録

危険度：低
影響を受けるバージョン：5.x〜5.0.40未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.40以降へのバージョンアップ

▽MySQL──────────────────────────────
MySQLは、細工されたステートメントを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベースサービスをクラッシュされる可能性がある。 [更新]
2007/03/14 登録

危険度：低
影響を受けるバージョン：5.x〜5.0.37未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.37へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP Instant Support Driver Check ActiveX control─────────
HP Instant Support Driver Check ActiveX controlは、細工されたWebページに誘導されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/07/03 登録

危険度：高
影響を受けるバージョン：1.5.0.3未満
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Yoggie Pico Pro / Yoggie Pico──────────────────
Yoggie Pico ProおよびYoggie Picoは、runDiagnostics.cgiスクリプトに細工されたpingリクエストを送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行される可能性がある。 [更新]
2007/07/03 登録

危険度：高
影響を受けるバージョン：全てのバージョン
影響を受ける環境：
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽bbs100──────────────────────────────
Debian GNU/Linux for PPC platformが動作しているbbs100は、v*printf()機能のインプリメンテーションのエラーが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2007/07/04 登録

危険度：低
影響を受けるバージョン：3.2未満
影響を受ける環境：UNIX、Linux
回避策：3.2以降へのバージョンアップ

▽GNU C Library (glibc)──────────────────────
GNU C Library (glibc)は、process_envvars機能が原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/07/04 登録

危険度：中
影響を受けるバージョン：2.6未満
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽MIT Kerberos administration daemon (kadmind)───────────
MIT Kerberos administration daemon (kadmind)は、細工されたRPCのリクエストを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりデーモンをクラッシュされる可能性がある。 [更新]
2007/06/27 登録

危険度：高
影響を受けるバージョン：5 1.6.1未満
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP TCP/IP Services for OpenVMS──────────────────
HP TCP/IP Services for OpenVMSは、正当なユーザ名を列挙して送信されることが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/07/04 登録

危険度：低
影響を受けるバージョン：5.6
影響を受ける環境：HP-UX OpenVMS
回避策：公表されていません

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽KDE───────────────────────────────
KDE 4.0 alpha2がリリースされた。
http://kde.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.22-rc7-git4がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、電気通信事業分野におけるプライバシー情報に関する懇談会（第22回）議事要旨
http://www.soumu.go.jp/joho_tsusin/d_syohi/070618_1.html

▽トピックス
日本ベリサイン、法的評価を含む内部統制評価サービスを提供開始
https://www.verisign.co.jp/press/2007/pr_20070705.html

▽トピックス
オーシャンブリッジ、情報漏えいを防ぎながらCAD図面・文書を安全に共有できるセキュアコラボレーションシステム『ProjectDox』の最新バージョンを販売開始
http://www.oceanbridge.jp/news/release/20070705.html

▽トピックス
テラステクノロジー、中規模向けコンプライアンス対応メールアーカイブアプライアンス「Terrace Vault」をリリース
http://www.terracetech.com/jp/

▽トピックス
インフォベック株式会社、完全Web-ERP「 GRANDIT」「COBIT for SOX」をリファレンスとした内部統制強化版を出荷開始
http://www.infovec.co.jp/newsrelease/2007/0705.html

▽トピックス
エムオーテックス、メール・セキュリティ・システムLanScope Guard2に新しい機能をリリース
http://www.motex.co.jp/

▽トピックス
マイクロソフト、Windows Vista(R)およびMicrosoft(R) .Net Framework 2.0対応「Microsoft Office Visio(R) 内部統制文書化ツール」とソースコードの無償配布を開始
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3125

▽トピックス
ディーバ、創業10周年記念内部統制時代の即戦力育成に向けた『連結会計実務講座』に学生を無料で招待
http://www.diva.co.jp

▽トピックス
日本オラクル、監査統合・監査管理ソリューションの提供開始を発表
http://www.oracle.co.jp/

▽トピックス
TCBテクノロジーズと弥生、ネットワーク対応業務ソリューションの提供で協業
http://www.tcbtech.co.jp/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2377

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2376

▽ウイルス情報
シマンテック、W32.Tupofse.B
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070416-4741-99

▽ウイルス情報
シマンテック、W32.Tupofse.B!inf
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070416-3144-99

▽ウイルス情報
シマンテック、MagicAntiSpy
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070415-3925-99

▽ウイルス情報
シマンテック、SpyShredder
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-070415-3826-99

▽ウイルス情報
シマンテック、W32.Hairy.A
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2007-062723-1325-99

▽ウイルス情報
ソフォス、Troj/RKAgen-A (英語)
http://www.sophos.com/security/analyses/trojrkagena.html

▽ウイルス情報
ソフォス、Troj/RKAgen-Fam (英語)
http://www.sophos.com/security/analyses/trojrkagenfam.html

▽ウイルス情報
ソフォス、Troj/Agent-FXS (英語)
http://www.sophos.com/security/analyses/trojagentfxs.html

▽ウイルス情報
ソフォス、Troj/Dorfdo-A (英語)
http://www.sophos.com/security/analyses/trojdorfdoa.html

▽ウイルス情報
ソフォス、Mal/DorfSys-A (英語)
http://www.sophos.com/security/analyses/maldorfsysa.html

▽ウイルス情報
ソフォス、W32/Netsky-BP (英語)
http://www.sophos.com/security/analyses/w32netskybp.html

▽ウイルス情報
ソフォス、Mal/VB-J (英語)
http://www.sophos.com/security/analyses/malvbj.html

▽ウイルス情報
ソフォス、Troj/Asmado-B (英語)
http://www.sophos.com/security/analyses/trojasmadob.html

▽ウイルス情報
ソフォス、Troj/Libie-A (英語)
http://www.sophos.com/security/analyses/trojlibiea.html

▽ウイルス情報
ソフォス、Troj/SCLog-AG (英語)
http://www.sophos.com/security/analyses/trojsclogag.html

▽ウイルス情報
ソフォス、Troj/SCLog-AH (英語)
http://www.sophos.com/security/analyses/trojsclogah.html

▽ウイルス情報
ソフォス、Troj/Banker-EIA (英語)
http://www.sophos.com/security/analyses/trojbankereia.html

▽ウイルス情報
ソフォス、Mal/Sober-A (英語)
http://www.sophos.com/security/analyses/malsobera.html

▽ウイルス情報
ソフォス、W32/Agobot-AIW
http://www.sophos.co.jp/security/analyses/w32agobotaiw.html

▽ウイルス情報
ソフォス、Troj/QQPass-AOV (英語)
http://www.sophos.com/security/analyses/trojqqpassaov.html

▽ウイルス情報
ソフォス、Troj/SCLog-AF (英語)
http://www.sophos.com/security/analyses/trojsclogaf.html

▽ウイルス情報
ソフォス、Troj/SCLog-AD (英語)
http://www.sophos.com/security/analyses/trojsclogad.html

▽ウイルス情報
ソフォス、Troj/Agent-FXR (英語)
http://www.sophos.com/security/analyses/trojagentfxr.html

▽ウイルス情報
ソフォス、Troj/Agent-FXQ (英語)
http://www.sophos.com/security/analyses/trojagentfxq.html

▽ウイルス情報
ソフォス、Troj/Psyme-EU (英語)
http://www.sophos.com/security/analyses/trojpsymeeu.html

▽ウイルス情報
ソフォス、W32/Nuwar-B (英語)
http://www.sophos.com/security/analyses/w32nuwarb.html

▽ウイルス情報
ソフォス、Troj/SCLog-AE
http://www.sophos.co.jp/security/analyses/trojsclogae.html

▽ウイルス情報
ソフォス、Mal/Iframe-H (英語)
http://www.sophos.com/security/analyses/maliframeh.html

▽ウイルス情報
ソフォス、Mal/VB-G (英語)
http://www.sophos.com/security/analyses/malvbg.html

▽ウイルス情報
ソフォス、Troj/Dloadr-Gen (英語)
http://www.sophos.com/security/analyses/trojdloadrgen.html

▽ウイルス情報
ソフォス、W32/Hoxi-A
http://www.sophos.co.jp/security/analyses/w32hoxia.html

▽ウイルス情報
ソフォス、W32/Looked-AM
http://www.sophos.co.jp/security/analyses/w32lookedam.html

▽ウイルス情報
ソフォス、W32/Poebot-LV (英語)
http://www.sophos.com/security/analyses/w32poebotlv.html

▽ウイルス情報
ソフォス、Troj/OnLineG-E (英語)
http://www.sophos.com/security/analyses/trojonlinege.html

▽ウイルス情報
ソフォス、Troj/Agent-FXP (英語)
http://www.sophos.com/security/analyses/trojagentfxp.html

▽ウイルス情報
ソフォス、Troj/BHO-CQ (英語)
http://www.sophos.com/security/analyses/trojbhocq.html

▽ウイルス情報
ソフォス、Troj/PWS-ANX (英語)
http://www.sophos.com/security/analyses/trojpwsanx.html

▽ウイルス情報
ソフォス、Troj/Maran-AW (英語)
http://www.sophos.com/security/analyses/trojmaranaw.html

▽ウイルス情報
マカフィー、Del-520
http://www.mcafee.com/japan/security/virD.asp?v=Del-520

◆アップデート情報◆
───────────────────────────────────
●Mandriva Linuxが複数のアップデートをリリース
───────────────────────────────────
Mandriva Linuxがconsole-tools、rpmdrake、postfixおよびMySQLのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security