セキュリティホール情報＜2007/08/06＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Mozilla Firefox / Minimo─────────────────────
Mozilla FirefoxおよびMinimoは、パスワードマネージャーがURLの妥当性を検査していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：Firefox 2.0.0.6、Minimo .2以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽La-Nai CMS────────────────────────────
複数のLa-Nai CMSモジュールは、module.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：1.2.14
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Tor───────────────────────────────
Torは、複数の接続を処理する際にControlPortが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に設定ファイルの内容を変更される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：0.1.2.16未満
影響を受ける環境：UNIX、Linux、Windows
回避策：0.1.2.16以降へのバージョンアップ

▽OpenSSL─────────────────────────────
RSAアルゴリズムを使用するOpenSSLは、BN_from_montgomery () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2007/08/06 登録

危険度：低
影響を受けるバージョン：0.9.8e以前
影響を受ける環境：UNIX、Linux、Windows
回避策：パッチのインストール

▽Tour de France pool component for Joomla!────────────
Tour de France pool component for Joomla!は、細工されたURLリクエストをadmin.tour_toto.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：1.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽vtiger CRM────────────────────────────
vtiger CRMは、index.phpスクリプトが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者に無許可のアクセス権を奪取される可能性がある。 [更新]
2007/08/02 登録

危険度：中
影響を受けるバージョン：5.0.3未満
影響を受ける環境：UNIX、Linux、Windows
回避策：5.0.3以降へのバージョンアップ

▽Mozilla Firefox / Thunderbird / SeaMonkey────────────
Mozillaは、Firefox、Thunderbird、Seamonkeyは、細工されたWebページに誘導されることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/08/01 登録

危険度：高
影響を受けるバージョン：Firefox 2.0.0.5、Thunderbird 2.0.0.5、
SeaMonkey 1.1.3
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽GD Graphics Library───────────────────────
GD Graphics Libraryは、gdImageCreateTrueColor機能の整数オーバーフローなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。 [更新]
2007/06/28 登録

危険度：高
影響を受けるバージョン：2.0.34以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.0.35以降へのバージョンアップ

▽FreeType─────────────────────────────
FreeTypeは、細工されたTTFイメージが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/05/22 登録

危険度：高
影響を受けるバージョン：2.3.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽D-forum─────────────────────────────
D-forumは、複数のフィールドでユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2005/03/03 登録

危険度：中
影響を受けるバージョン：1.11
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽BlueCat Networks Adonis─────────────────────
BlueCat Networks Adonisは、細工されたUDPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にコントロールプロセスをクラッシュされる可能性がある。
2007/08/06 登録

危険度：
影響を受けるバージョン：5.0.2.8
影響を受ける環境：BlueCat Networks Adonis
回避策：パッチのインストール

▽Atheros Wirelessドライバ─────────────────────
Atheros Wirelessドライバは、細工されたマネージメントフレームによってバッファオーバーフローによるDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムをクラッシュされる可能性がある。
2007/08/06 登録

危険度：低
影響を受けるバージョン：5.3.0.35未満、6.0.3.67未満
影響を受ける環境：Windows
回避策：5.3.0.35以降あるいは6.0.3.67以降へのバージョンアップ

▽Next Gen Portfolio Manager────────────────────
Next Gen Portfolio Managerは、default.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：Windows
回避策：公表されていません

▽BS.Player────────────────────────────
BS.Playerは、ムービー再生時のLoad subtitles機能のNULL pointer dereferenceが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2007/08/06 登録

危険度：低
影響を受けるバージョン：2.22
影響を受ける環境：Windows
回避策：2.23以降へのバージョンアップ

▽Panda Antivirus─────────────────────────
Panda Antivirusは、%ProgramFiles%Panda SecurityPanda Antivirus 2008デフォルトインストールフォルダに適切なアクセス許可を設定しないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：2008
影響を受ける環境：Windows
回避策：公表されていません

▽Hunkaray Okul Portaly──────────────────────
Hunkaray Okul Portalyは、duyuruoku.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：Windows
回避策：公表されていません

▽Mozilla Firefox / Thunderbird / Netscape Navigator────────
Mozilla Firefox、Thunderbird、Netscape Navigatorは、多数のURIを適切に処理していないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/08/01 登録

危険度：高
影響を受けるバージョン：Firefox 2.0.0.5以前、SeaMonkey 1.1.4未満、
Thunderbird 1.5.0.13未満、2.0.0.6未満、
Netscape Navigator 9.0
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Kaspersky Anti-Spam───────────────────────
Kaspersky Anti-Spamは、アプリケーションコンポーネントのファイルに不安定なパーミションを設定することが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアプリケーションへの無許可のアクセスを実行される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：CF1 3.0.274.0未満
影響を受ける環境：UNIX、Linux
回避策：CF1 3.0.274.0以降へのバージョンアップ
://secunia.com/advisories/26312

▽KDE kpdf/xpdf──────────────────────────
KDE kpdf/xpdfは、細工されたPDFファイルを作成されることが原因で整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/07/31 登録

危険度：
影響を受けるバージョン：3.2.0〜3.5.7
影響を受ける環境：UNIX、Linux
回避策：パッチのインストール

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽NVIDIAドライバ──────────────────────────
Gentoo Linuxに採用されるNVIDIAドライバは、不安定なパーミッションで/dev/nvidiaデバイスファイルを作成することが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にコンピュータを接続不能にされる可能性がある。
2007/08/06 登録

危険度：低
影響を受けるバージョン：1.0.7185未満、1.0.9639未満、100.14.11未満
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、入力を適切にチェックしていないことが原因でレスポンス分裂攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にキャッシュ汚染やクロスサイトスクリプティングなどを実行される可能性がある。
2007/08/06 登録

危険度：中
影響を受けるバージョン：7.0、6.1
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX──────────────────────────────
Tomcatは、ARPA Transportが動作しているときにDos攻撃を受けるセキュリティホールが存在する。尚、これ以上の詳細は公表されていない。 [更新]
2007/08/03 登録

危険度：
影響を受けるバージョン：B.11.11、B.11.23
影響を受ける環境：HP-UX
回避策：パッチノインストール

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽GPL Ghostscript─────────────────────────
GPL Ghostscript 8.60がリリースされた。
http://www.cs.wisc.edu/~ghost/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.23-rc2がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、情報通信審議会　情報通信技術分科会　IPネットワーク設備委員会　技術検討作業班(第14回)の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/070808_1.html

▽トピックス
総務省、デジタル・コンテンツの流通の促進に向けて「21世紀におけるインターネット政策の在り方」(情報通信審議会平成13年諮問第3号　第4次中間答申)「地上デジタル放送の利活用の在り方と普及に向けて行政の果たすべき役割」(情報通信審議会平成16年諮問第8号　第4次中間答申)に対する意見募集の実施
http://www.soumu.go.jp/s-news/2007/070803_4.html

▽トピックス
総務省、平成18年度における行政手続オンライン化等の状況
http://www.soumu.go.jp/s-news/2007/pdf/070803_6.pdf

▽トピックス
総務省、「モバイルビジネス研究会」報告書案に対する意見の募集の結果
http://www.soumu.go.jp/s-news/2007/070803_5.html

▽トピックス
総務省、携帯端末向けマルチメディア放送サービス等の在り方に関する懇談会(第1回)配付資料
http://www.soumu.go.jp/joho_tsusin/policyreports/chousa/mobile_media/070802_2.html

▽トピックス
内閣官房情報セキュリティセンター、第13回情報セキュリティ政策会議開催
http://www.nisc.go.jp/conference/seisaku/index.html#seisaku13

▽トピックス
@police、Firefox および Thunderbird の脆弱性について
http://www.cyberpolice.go.jp/important/2007/20070803_111605.html

▽トピックス
日本レコード協会、YouTube社と著作権関係権利者の2度目の協議について
http://www.riaj.or.jp/release/2007/pr070802.html

▽トピックス
トレンドマイクロ、ウイルスバスターコーポレートエディション 8.0 用Security Patch公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=994

▽トピックス
日本エフ・セキュア、「F-Secure PCプロテクションサービス」の提供を拡大
http://www.f-secure.co.jp/news/200708021/

▽トピックス
キングソフト、『Kingsoft Internet Security』「VB100(Virus Bulletin 100% award)」を受賞
http://www.kingsoft.jp/release/070803.htm

▽トピックス
Dr.WEB、フランス GOTO Software 社との日本総代理店契約を締結
http://drweb.jp/news/?20070801

▽トピックス
NTTドコモ、ドコモPHSサービスをご利用中のお客様へ
http://www.nttdocomo.co.jp/info/notice/page/070806_00.html

▽トピックス
NTTデータ、社内外のサービスのシングルサインオン連携を実現
http://www.nttdata.co.jp/release/index.html

▽トピックス
WILLCOM、NTTドコモさまPHSサービスをご利用のお客さまへ
http://www.willcom-inc.com/ja/info/07080601.html

▽トピックス
マイクロソフト、2.4GHz キーボードとマウスのセット製品Microsoft(R) Natural(R) Ergonomic Desktop 7000 を 8 月 31 日 (金) より発売
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3153

▽トピックス
ベストコミュニケーションズ、データ連携によるマスター情報構築と手軽でセキュアな顧客管理を両立 Web顧客管理システム「e顧客」を発売
http://www.bcom.co.jp/

▽トピックス
トランセンド・ジャパン、新しい指紋認証のUSBメモリ、JetFlash(tm) 220を発表
http://www.transcend.co.jp/

▽トピックス
ぷららネットワークス、「ネットバリアベーシック　URLフィルタ」の機能向上について
http://www.plala.or.jp/corporate/news_releases/2007/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2438

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2437

▽ウイルス情報
ソフォス、Troj/Lineag-GLG (英語)
http://www.sophos.com/security/analyses/trojlineagglg.html

▽ウイルス情報
ソフォス、Mal/PWS-M (英語)
http://www.sophos.com/security/analyses/malpwsm.html

▽ウイルス情報
ソフォス、Troj/Agent-FZQ (英語)
http://www.sophos.com/security/analyses/trojagentfzq.html

▽ウイルス情報
ソフォス、Troj/VB-DXA (英語)
http://www.sophos.com/security/analyses/trojvbdxa.html

▽ウイルス情報
ソフォス、Troj/PWS-AOC (英語)
http://www.sophos.com/security/analyses/trojpwsaoc.html

▽ウイルス情報
ソフォス、Troj/WowPWS-BD (英語)
http://www.sophos.com/security/analyses/trojwowpwsbd.html

▽ウイルス情報
ソフォス、W32/Potty-B (英語)
http://www.sophos.com/security/analyses/w32pottyb.html

▽ウイルス情報
ソフォス、Troj/Banloa-EC (英語)
http://www.sophos.com/security/analyses/trojbanloaec.html

▽ウイルス情報
ソフォス、Troj/Banloa-ED (英語)
http://www.sophos.com/security/analyses/trojbanloaed.html

▽ウイルス情報
ソフォス、Troj/Agent-FZP (英語)
http://www.sophos.com/security/analyses/trojagentfzp.html

▽ウイルス情報
ソフォス、W32/SillyFD-I (英語)
http://www.sophos.com/security/analyses/w32sillyfdi.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BCQ (英語)
http://www.sophos.com/security/analyses/trojdloadrbcq.html

▽ウイルス情報
ソフォス、Troj/LegMir-ARG (英語)
http://www.sophos.com/security/analyses/trojlegmirarg.html

▽ウイルス情報
ソフォス、Troj/Wimad-D (英語)
http://www.sophos.com/security/analyses/trojwimadd.html

▽ウイルス情報
ソフォス、VBS/Deskto-A (英語)
http://www.sophos.com/security/analyses/vbsdesktoa.html

▽ウイルス情報
ソフォス、Troj/Keylog-TL (英語)
http://www.sophos.com/security/analyses/trojkeylogtl.html

▽ウイルス情報
ソフォス、Troj/RKRun-Gen (英語)
http://www.sophos.com/security/analyses/trojrkrungen.html

▽ウイルス情報
ソフォス、W32/Rbot-GSP (英語)
http://www.sophos.com/security/analyses/w32rbotgsp.html

▽ウイルス情報
ソフォス、W32/AutoRun-B (英語)
http://www.sophos.com/security/analyses/w32autorunb.html

▽ウイルス情報
ソフォス、Mal/EncPk-AP (英語)
http://www.sophos.com/security/analyses/malencpkap.html

▽ウイルス情報
ソフォス、Mal/Dropper-L
http://www.sophos.co.jp/security/analyses/maldropperl.html

▽ウイルス情報
ソフォス、W32/Sdbot-DGP (英語)
http://www.sophos.com/security/analyses/w32sdbotdgp.html

▽ウイルス情報
ソフォス、W32/KillAV-DX (英語)
http://www.sophos.com/security/analyses/w32killavdx.html

▽ウイルス情報
ソフォス、W32/Tilebot-KC
http://www.sophos.co.jp/security/analyses/w32tilebotkc.html

▽ウイルス情報
ソフォス、Troj/Pushdo-Gen (英語)
http://www.sophos.com/security/analyses/trojpushdogen.html

▽ウイルス情報
ソフォス、W32/Rbot-GSO (英語)
http://www.sophos.com/security/analyses/w32rbotgso.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GXF (英語)
http://www.sophos.com/security/analyses/trojdwnldrgxf.html

▽ウイルス情報
ソフォス、Troj/Dropper-QT (英語)
http://www.sophos.com/security/analyses/trojdropperqt.html

▽ウイルス情報
ソフォス、W32/WoWMovs-A (英語)
http://www.sophos.com/security/analyses/w32wowmovsa.html

▽ウイルス情報
マカフィー、Exploit-YWIDGET
http://www.mcafee.com/japan/security/virE.asp?v=Exploit-YWIDGET

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
Debianがiceweasel、xulrunner、iceape、xpdfおよびpopplerのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Mandriva Linuxがimapおよびgdのアップデートをリリース
───────────────────────────────────
Mandriva Linuxがimapおよびgdのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●MIRACLE Linuxがxpdfのアップデートをリリース
───────────────────────────────────
Miracle Linuxがxpdfのアップデートをリリースした。このアップデートによって、任意のコードを実行される問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●Turbolinuxがturbonetworkcfgのアップデートをリリース
───────────────────────────────────
Turbolinuxがturbonetworkcfgのアップデートをリリースした。このアップデートによって、turbonetworkcfgが起動しない問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/