セキュリティホール情報＜2007/10/09＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽ElseIf CMS────────────────────────────
ElseIf CMSは、細工されたURLリクエストをcontenus.php、votes.php、espaceperso.php、enregistrement.php、commentaire.php、coeurusr.php、fonctions.php、usrarticles.php、usrdepot.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：Beta 0.6
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽wzdftpd─────────────────────────────
wzdftpdは、過度に長いargumentを含む細工されたリクエストをユーザコマンドに送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：0.8.2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Picturesolution─────────────────────────
Picturesolutionは、細工されたURLリクエストをconfig.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：2.1未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TorrentTrader Classic Edition──────────────────
TorrentTrader Classic Editionは、css.phpおよびbrowse.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.07
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Verlihub Control Panel──────────────────────
Verlihub Control Panelは、細工されたURLリクエストを特定されていないスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.7.x未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenH323─────────────────────────────
OpenH323は、細工されたSIPパケットを送信されることが原因でDos攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：2.2.4未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Php Homepage───────────────────────────
Php Homepageは、galerie.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽IDMOS CMS────────────────────────────
IDMOS CMSは、ia.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：Phoenix
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WMT Portfolio component for Joomla!───────────────
WMT Portfolio component for Joomla!は、細工されたURLリクエストをadmin.wmtportfolio.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Panoramic Picture Viewer component for Joomla!──────────
Panoramic Picture Viewer component for Joomla!は、細工されたURLリクエストをadmin.panoramic.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HP System Management Homepage──────────────────
HP System Management Homepage（SMH）は、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：2.1.10未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽CMS Creamotion──────────────────────────
CMS Creamotionは、細工されたURLリクエストをsecurite.phpあるいはsave_config.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Wikepage / TipiWiki───────────────────────
WikepageおよびTipiWikiは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：Wikepage 13 2007.2
TipiWiki 2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Minki──────────────────────────────
Minkiは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.30
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Directory Image Gallery─────────────────────
Directory Image Galleryは、photos.cfmスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.1
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽DropTeam─────────────────────────────
DropTeamは、ユーザ名を含む細工されたパケットなどによってフォーマットストリング攻撃を受けたりバッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：1.3.3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Dawn of Time───────────────────────────
Dawn of Timeは、細工されたユーザ名やパスワードによってフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：1.69s beta4以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Trionic Cite CMS─────────────────────────
Trionic Cite CMSは、細工されたURLリクエストをcustom.phpあるいはcustom.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.2 rev9
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Furkan Tastan Blog────────────────────────
Furkan Tastan Blogは、kategori.aspスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Hitachi TPBroker─────────────────────────
Hitachi TPBrokerは、TSCドメインのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：03-00ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Hitachi Cosminexus────────────────────────
Hitachi Cosminexusは、JSSE（Java Secure Socket Extension）のエラーなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：Operator 7.5ほか
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Stuffed Tracker─────────────────────────
Stuffed Trackerは、いくつかのスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BlackBoard Academic Suit─────────────────────
BlackBoard Academic Suitは、composeMessage.jspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：6.3.1.424
影響を受ける環境：UNIX、Linux、Windows
回避策：最新版へのバージョンアップ

▽AppFuse─────────────────────────────
AppFuseは、messages.jspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：2.0未満
影響を受ける環境：UNIX、Linux、Windows
回避策：2.0以降へのバージョンアップ

▽InterBase────────────────────────────
InterBaseは、細工されたattachリクエストを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/10/05 登録

危険度：高
影響を受けるバージョン：8.1.0.257未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Sun Java Runtime Environment (JRE)────────────────
Sun Java Runtime Environment (JRE)は、ファイルの取り扱いが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデスクトップアプリケーションのパーミションで任意のシステムファイルを動かされたりコピーされる可能性がある。 [更新]
2007/10/05 登録

危険度：中
影響を受けるバージョン：1.3.1_20未満、1.4.2_15未満、5 Update12未満、
6 Update 2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽OpenSSL─────────────────────────────
RSAアルゴリズムを使用するOpenSSLは、BSSL_get_shared_ciphers () 機能が原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサーバをクラッシュされる可能性がある。 [更新]
2007/10/02 登録

危険度：高
影響を受けるバージョン：0.9.7m未満、0.9.8e未満
影響を受ける環境：UNIX、Linux、Windows
回避策：OpenSSL_0_9_8-stable branchへのバージョンアップ

▽OpenSSL─────────────────────────────
OpenSSLは、SSLv2 client get_server_hello()機能が原因でDos攻撃を実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意があるサーバーに接続されてOpenSSLクライアントをクラッシュされる可能性がある。 [更新]
2006/09/29 登録

危険度：高
影響を受けるバージョン：0.9.7〜0.9.7k、0.9.8〜0.9.8c
影響を受ける環境：UNIX、Linux、Windows
回避策：0.9.7lおよび0.9.8d以降へのバージョンアップ

▽Xen───────────────────────────────
Xenは、grub.confスクリプトを修正されることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されて任意のコマンドを実行される可能性がある。 [更新]
2007/09/28 登録

危険度：中
影響を受けるバージョン：3.0.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽libsndfile────────────────────────────
libsndfileは、flac_buffer_copy 機能が適切なチェックを行っていないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/09/25 登録

危険度：高
影響を受けるバージョン：1.0.17以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽KDE───────────────────────────────
KDEは、KDMサービスでのエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。 [更新]
2007/09/21 登録

危険度：中
影響を受けるバージョン：3.3.0〜3.5.7
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽OpenSSL─────────────────────────────
RSAアルゴリズムを使用するOpenSSLは、BN_from_montgomery () 機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/08/06 登録

危険度：低
影響を受けるバージョン：0.9.8e以前
影響を受ける環境：UNIX、Linux、Windows
回避策：パッチのインストール

▽libvorbis────────────────────────────
libvorbisは、block.cスクリプトでのエラーなどが原因でDos攻撃を受けるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されるなど様々な可能性がある。 [更新]
2007/07/27 登録

危険度：高
影響を受けるバージョン：1.1.2
影響を受ける環境：UNIX、Linux、Windows
回避策：1.2.0以降へのバージョンアップ

▽Opera / Konqueror────────────────────────
OperaおよびKonquerorは、細工されたウェブサイトを訪問して悪意があるリンクをクリックするよう誘導されることが原因でフィッシング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドレスバーを偽装される可能性がある。 [更新]
2007/07/17 登録

危険度：中
影響を受けるバージョン：Opera 9.21未満、Konqueror 3.5.7未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽QEMU───────────────────────────────
QEMUは、cirrus_invalidate_region機能が原因でスタックベースのバッファオーバーフローを引き起こされるなど複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されるなど様々な可能性がある。 [更新]
2007/05/07 登録

危険度：高
影響を受けるバージョン：0.8.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Qt────────────────────────────────
Qtは、UTF-8 decoderを適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/04/04 登録

危険度：中
影響を受けるバージョン：3.3.8、4.2.3
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Windows Live Messenger──────────────────────
Windows Live Messengerは、細工されたjpg、wmf、gif、ico、docファイルによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：8.1
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Windows Explorer────────────────────
Microsoft Windows Explorerは、細工されたPNGファイルによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に利用可能なCPUリソースをすべて消費される可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：すべてのバージョン
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Windows Explorer────────────────────
Microsoft Windows Explorerは、過度に長いストリングを含む細工されたDLLファイルによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：6.0.2900.2180
影響を受ける環境：Windows
回避策：公表されていません

▽Microsoft Windows Shell User Logon ActiveX control────────
Microsoft Windows Shell User Logon ActiveX controlは、shgina.dll libraryが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。 [更新]
2007/03/06 登録

危険度：中
影響を受けるバージョン：6.0.2900.2180
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ImagXpress PegasusImaging.ActiveX.ImagXpress8.dll────────
ImagXpress PegasusImaging.ActiveX.ImagXpress8.dllは、CompactFile() methodの不安定な使用が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：8.0
影響を受ける環境：Windows
回避策：公表されていません

▽DB Manager────────────────────────────
DB Managerは、Edit.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：Windows
回避策：公表されていません

▽dbList──────────────────────────────
dbListは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：8.1
影響を受ける環境：Windows
回避策：公表されていません

▽Symantec Veritas Backup Exec───────────────────
Symantec Veritas Backup Exec for Windows Serversは、特定されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：11d
影響を受ける環境：Windows
回避策：公表されていません

▽MailBee WebMail Pro───────────────────────
MailBee WebMail Proは、login.phpあるいはdefault.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：3.4以前
影響を受ける環境：Windows
回避策：公表されていません

▽PowerArchiver──────────────────────────
PowerArchiverは、過度に長いファイル名を含む細工されたBlackHoleアーカイブによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：10.2
影響を受ける環境：Windows
回避策：10.20.21以降へのバージョンアップ

▽NetSupport Manager────────────────────────
NetSupport Manager ClientおよびNetSupport School Studentは、特定されていない原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：Manager 10.00、10.20、School Student 9.00
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Helm───────────────────────────────
Helmは、いくつかのスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：3.2.16
影響を受ける環境：Windows
回避策：公表されていません

▽Solidweb Novus──────────────────────────
Solidweb Novusは、buscar.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：Windows
回避策：公表されていません

▽Cart32──────────────────────────────
Cart32は、c32web.exeファイルが適切なチェックを行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：6.3
影響を受ける環境：Windows
回避策：6.4以降へのバージョンアップ
ベンダ：http://www.cart32.com/

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽AlsaPlayer────────────────────────────
AlsaPlayerは、vorbisインプットプラグインが原因で多数のバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：0.99.80-rc3未満
影響を受ける環境：UNIX、Linux
回避策：0.99.80-rc3以降へのバージョンアップ

▽Nagios Plugins──────────────────────────
Nagios Pluginsは、redir () 機能が適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2007/10/09 登録

危険度：高
影響を受けるバージョン：1.4.10未満
影響を受ける環境：UNIX、Linux
回避策：1.4.10以降へのバージョンアップ

▽Firebird─────────────────────────────
Firebirdは、細工されたattachリクエストを送信されることが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/10/05 登録

危険度：高
影響を受けるバージョン：2.0.3.12981未満
影響を受ける環境：UNIX、Linux
回避策：2.0.3.12981へのバージョンアップ

▽X.Org XFS────────────────────────────
X.Org XFSは、swap_char2b () 機能に細工されたリクエストを送信されることが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/10/04 登録

危険度：高
影響を受けるバージョン：X11R7.2-1.0.4
影響を受ける環境：UNIX、Linux
回避策：1.0.5以降へのバージョンアップ

▽Sun Solaris───────────────────────────
Sun Solarisは、Solaris Named Pipesでのエラーが原因でメモリへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。 [更新]
2007/10/04 登録

危険度：低
影響を受けるバージョン：8 x86、8 SPARC、9 x86、9 SPARC、10 x86、
10 SPARC
影響を受ける環境：UNIX、Linux、Sun Solaris
回避策：ベンダの回避策を参照

▽KDE Konqueror──────────────────────────
KDE Konquerorは、HTMLコメントのHTMLタグを適切に処理していないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2007/02/01 登録

危険度：中
影響を受けるバージョン：3.5.5
影響を受ける環境：UNIX、Linux
回避策：公表されていません

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Ekiga──────────────────────────────
Ekigaは、細工されたSIPパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にメモリをクラッシュされる可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：2.0.11未満
影響を受ける環境：Linux
回避策：2.0.11以降へのバージョンアップ

▽guilt──────────────────────────────
guiltは、一時ファイルを作成する際にセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルを上書きされる可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：0.27
影響を受ける環境：Linux
回避策：公表されていません

▽Gforge──────────────────────────────
Gforgeは、verify.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2007/10/09 登録

危険度：中
影響を受けるバージョン：4.6b2
影響を受ける環境：Linux
回避策：最新版へのバージョンアップ

▽QGit───────────────────────────────
QGitは、DataLoader :: dataloader.cpp機能が不安定な一時ファイルを作成することが原因でシムリンク攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上の任意のファイルに上書きされる可能性がある。 [更新]
2007/09/10 登録

危険度：中
影響を受けるバージョン：1.5.6 - 2pre1
影響を受ける環境：Linux
回避策：公表されていません

▽KDE Konqueror──────────────────────────
KDE Konquerorは、細工されたウェブサイトを訪問して悪意があるリンクをクリックするよう誘導されることが原因でフィッシング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアドレスバーを偽装される可能性がある。 [更新]
2007/08/20 登録

危険度：
影響を受けるバージョン：3.5.7未満
影響を受ける環境：Linux
回避策：3.5.7へのバージョンアップ

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽OpenVMS Intel gigabit driver───────────────────
OpenVMS Intel gigabit driverは、細工されたパケットによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にアプリケーションをクラッシュされる可能性がある。
2007/10/09 登録

危険度：低
影響を受けるバージョン：Alpha 8.3
影響を受ける環境：HP OpenVMS
回避策：パッチのインストール

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽ProFTPD─────────────────────────────
ProFTPD 1.3.1がリリースされた。
http://www.proftpd.org/

▽Delegate─────────────────────────────
Delegate 9.7.4 (STABLE) がリリースされた。
http://www.delegate.org/delegate/

▽PostgreSQL 8.3.x 系───────────────────────
PostgreSQL 8.3 Betaがリリースされた。
http://www.postgresql.org/

▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.40.02がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽libpng──────────────────────────────
libpng 1.2.21がリリースされた。
http://www.libpng.org/pub/png/libpng.html

▽Jedit X─────────────────────────────
Jedit X Rev.1.41がリリースされた。
http://www.artman21.net/product/JeditX/history.html

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.23-rc9-git6がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、郵便事業分野における個人情報保護に関する研究会（第２回）
http://www.soumu.go.jp/yusei/yubin_kojin_hogo/070926_2.html

▽トピックス
総務省、郵便事業分野における個人情報保護に関する研究会（第１回）議事要旨
http://www.soumu.go.jp/yusei/yubin_kojin_hogo/pdf/070807_2.pdf

▽トピックス
@police、QuickTime の脆弱性について(10/5)
http://www.cyberpolice.go.jp/important/2007/20071005_152642.html

▽トピックス
JVN、JRE (Java Runtime Environment) に遠隔の第三者がネットワークリソースへ接続可能な脆弱性
http://jvn.jp/cert/JVNVU%23336105/index.html

▽トピックス
JVN、PowerArchiver におけるバッファオーバーフローの脆弱性
http://jvn.jp/jp/JVN%2361323184/index.html

▽トピックス
JNSA、「2007 情報セキュリティ人材育成シンポジウム秋」を開催
http://www.jnsa.org/seminar/2007/071114/index.html

▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」 [更新]
http://www.iajapan.org/anti_spam/portal/

▽トピックス
シマンテック、Veritas NetBackup 6.5、VMware環境向けの包括的なデータ保護におけるリーダーシップと革新性を実証
http://www.symantec.com/ja/jp/

▽トピックス
エレコム、強固な暗号化方式「AES128bit」採用の高セキュリティ機能付きUSBメモリを発売
http://www.elecom.co.jp/news/200710/mf-eu2/index.html

▽トピックス
日本ユニシス、『統合ログ管理ソリューション』で新たにJP1とログ連携する機能を提供開始
http://www.unisys.co.jp/news/NR_071009_log_management.html

▽トピックス
電机本舗、攻勢防壁を備えたディスク丸ごと暗号化＆デバイスロックソフト「PeopleLock3」ネットワークディスク丸ごと暗号化「Peopleネットワークマスター」を発表
http://www.dnki.co.jp/

▽トピックス
SSHコミュニケーションズ・セキュリテ、SSH Tectia Server for IBM z/OS 製品の新バージョン 5.5 をリリース：IBM メインフレームを使用したセキュアなファイル転送がより容易に
http://www.jp.ssh.com/products/

▽トピックス
上勝町とマイクロソフトが、ICTを利活用した地域振興に関する覚書を締結
http://www.microsoft.com/japan/presspass/detail.aspx?newsid=3219

▽トピックス
マイクロソフト、Microsoft BizTalk Server 2006 R2日本語版の概要および日本におけるパートナー支援策を発表
http://www.microsoft.com/japan/

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2608

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=2607

▽ウイルス情報
トレンドマイクロ、HTML_IFRAME.HS
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=HTML%5FIFRAME%2EHS

▽ウイルス情報
トレンドマイクロ、WORM_FUBALCA.AQ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FFUBALCA%2EAQ

▽ウイルス情報
シマンテック、W32.Pajetbin
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-100707-0651-99

▽ウイルス情報
シマンテック、JS.Harunaut
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-100607-1312-99

▽ウイルス情報
シマンテック、MalwareMonitor
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-100514-3800-99

▽ウイルス情報
シマンテック、W32.Stemclover
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-100507-3046-99

▽ウイルス情報
シマンテック、VBS.Stemclover
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-100507-1315-99

▽ウイルス情報
シマンテック、Spyware.LocalKeylog
http://www.symantec.com/business/security_response/writeup.jsp?docid=2007-100510-4638-99

▽ウイルス情報
シマンテック、MalWarrior
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-100414-1706-99

▽ウイルス情報
シマンテック、Spyware.InfineKeylog
http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-100411-4103-99

▽ウイルス情報
ソフォス、Troj/BagleDl-DA (英語)
http://www.sophos.com/security/analyses/trojbagledlda.html

▽ウイルス情報
ソフォス、Mal/Emogen-G (英語)
http://www.sophos.com/security/analyses/malemogeng.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEP (英語)
http://www.sophos.com/security/analyses/trojdloadrbep.html

▽ウイルス情報
ソフォス、Troj/NtDwnl-B (英語)
http://www.sophos.com/security/analyses/trojntdwnlb.html

▽ウイルス情報
ソフォス、W32/Rbot-GUE (英語)
http://www.sophos.com/security/analyses/w32rbotgue.html

▽ウイルス情報
ソフォス、Troj/Fortn-Fam (英語)
http://www.sophos.com/security/analyses/trojfortnfam.html

▽ウイルス情報
ソフォス、W32/Rbot-GUD (英語)
http://www.sophos.com/security/analyses/w32rbotgud.html

▽ウイルス情報
ソフォス、Troj/Keylog-JM (英語)
http://www.sophos.com/security/analyses/trojkeylogjm.html

▽ウイルス情報
ソフォス、Troj/Zapchas-DV (英語)
http://www.sophos.com/security/analyses/trojzapchasdv.html

▽ウイルス情報
ソフォス、Troj/Dload-P (英語)
http://www.sophos.com/security/analyses/trojdloadp.html

▽ウイルス情報
ソフォス、Troj/Psyme-FJ (英語)
http://www.sophos.com/security/analyses/trojpsymefj.html

▽ウイルス情報
ソフォス、Mal/DownLdr-O (英語)
http://www.sophos.com/security/analyses/maldownldro.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEN (英語)
http://www.sophos.com/security/analyses/trojdloadrben.html

▽ウイルス情報
ソフォス、W32/Sdbot-DHZ (英語)
http://www.sophos.com/security/analyses/w32sdbotdhz.html

▽ウイルス情報
ソフォス、Troj/Dropper-RO (英語)
http://www.sophos.com/security/analyses/trojdropperro.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEO (英語)
http://www.sophos.com/security/analyses/trojdloadrbeo.html

▽ウイルス情報
ソフォス、Troj/NtDwnl-A
http://www.sophos.co.jp/security/analyses/trojntdwnla.html

▽ウイルス情報
ソフォス、Mal/Emogen-H (英語)
http://www.sophos.com/security/analyses/malemogenh.html

▽ウイルス情報
ソフォス、Mal/Emogen-G (英語)
http://www.sophos.com/security/analyses/malemogeng.html

▽ウイルス情報
ソフォス、Mal/Behav-066 (英語)
http://www.sophos.com/security/analyses/malbehav066.html

▽ウイルス情報
ソフォス、Mal/Emogen-F (英語)
http://www.sophos.com/security/analyses/malemogenf.html

▽ウイルス情報
ソフォス、JS/FeebsZip-Fam
http://www.sophos.co.jp/security/analyses/jsfeebszipfam.html

▽ウイルス情報
ソフォス、W32/Stucco-B
http://www.sophos.co.jp/security/analyses/w32stuccob.html

▽ウイルス情報
ソフォス、JS/Psyme-FI (英語)
http://www.sophos.com/security/analyses/jspsymefi.html

▽ウイルス情報
ソフォス、Troj/Agent-GDT (英語)
http://www.sophos.com/security/analyses/trojagentgdt.html

▽ウイルス情報
ソフォス、Mal/Horst-E (英語)
http://www.sophos.com/security/analyses/malhorste.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GYC (英語)
http://www.sophos.com/security/analyses/trojdwnldrgyc.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEL (英語)
http://www.sophos.com/security/analyses/trojdloadrbel.html

▽ウイルス情報
ソフォス、Troj/DwnLdr-GYD (英語)
http://www.sophos.com/security/analyses/trojdwnldrgyd.html

▽ウイルス情報
ソフォス、Mal/ObfJS-L (英語)
http://www.sophos.com/security/analyses/malobfjsl.html

▽ウイルス情報
ソフォス、Troj/Zapchas-DU (英語)
http://www.sophos.com/security/analyses/trojzapchasdu.html

▽ウイルス情報
ソフォス、Troj/Dloadr-BEM (英語)
http://www.sophos.com/security/analyses/trojdloadrbem.html

▽ウイルス情報
ソフォス、Troj/Dorf-X
http://www.sophos.co.jp/security/analyses/trojdorfx.html

▽ウイルス情報
ソフォス、Troj/Agent-GDS (英語)
http://www.sophos.com/security/analyses/trojagentgds.html

▽ ウイルス情報
ソフォス、Troj/BDoor-AHH (英語)
http://www.sophos.com/security/analyses/trojbdoorahh.html

▽ウイルス情報
ソフォス、Troj/BkDoor-B
http://www.sophos.co.jp/security/analyses/trojbkdoorb.html

▽ウイルス情報
ソフォス、W32/IRCBot-YG
http://www.sophos.co.jp/security/analyses/w32ircbotyg.html

▽ウイルス情報
ソフォス、W32/Rbot-GUB
http://www.sophos.co.jp/security/analyses/w32rbotgub.html

▽ウイルス情報
ソフォス、W32/Inject-Fam (英語)
http://www.sophos.com/security/analyses/w32injectfam.html

▽ウイルス情報
ソフォス、Troj/QHost-B
http://www.sophos.co.jp/security/analyses/trojqhostb.html

▽ウイルス情報
ソフォス、W32/Rbot-GUC (英語)
http://www.sophos.com/security/analyses/w32rbotguc.html

▽ウイルス情報
ソフォス、Troj/Agent-GDR (英語)
http://www.sophos.com/security/analyses/trojagentgdr.html

▽ウイルス情報
ソフォス、W32/Viking-I
http://www.sophos.co.jp/security/analyses/w32vikingi.html

▽ウイルス情報
ソフォス、W32/Sdbot-DHY (英語)
http://www.sophos.com/security/analyses/w32sdbotdhy.html

▽ウイルス情報
ソフォス、W32/IRCBot-YF (英語)
http://www.sophos.com/security/analyses/w32ircbotyf.html

▽ ウイルス情報
ソフォス、Troj/AdClick-EK (英語)
http://www.sophos.com/security/analyses/trojadclickek.html

▽ウイルス情報
ソフォス、Troj/Dorf-W
http://www.sophos.co.jp/security/analyses/trojdorfw.html

▽ウイルス情報
ソフォス、Troj/Bifrose-VA (英語)
http://www.sophos.com/security/analyses/trojbifroseva.html

▽ウイルス情報
ソフォス、Troj/Zlob-AEY (英語)
http://www.sophos.com/security/analyses/trojzlobaey.html

▽ウイルス情報
ソフォス、Troj/Zlob-AEZ
http://www.sophos.co.jp/security/analyses/trojzlobaez.html

▽ウイルス情報
ソフォス、Troj/DllHid-Gen
http://www.sophos.co.jp/security/analyses/trojdllhidgen.html

▽ウイルス情報
マカフィー、W32/Zua.worm
http://www.mcafee.com/japan/security/virXYZ.asp?v=W32/Zua.worm

▽ウイルス情報
マカフィー、Downloader-BEW
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-BEW

◆アップデート情報◆
───────────────────────────────────
●Debianがgforgeおよびxen-utilsのアップデートをリリース
───────────────────────────────────
Debianがgforgeおよびxen-utilsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
Gentoo Linuxがphp、libvorbis、libsndfile、qgit、opensslおよびtkのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●Mandriva Linuxが複数のアップデートをリリース
───────────────────────────────────
Mandriva Linuxがdrakx-net、mcおよびcdrecordのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Mandriva Security Advisory
http://www.mandriva.com/security

───────────────────────────────────
●RedHat Linuxがkdebaseおよびkdelibsのアップデートをリリース
───────────────────────────────────
RedHat Linuxがkdebaseおよびkdelibsのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
http://rhn.redhat.com/errata/