セキュリティホール情報＜2008/06/19＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽TorrentTrader──────────────────────────
TorrentTraderは、account-signup.phpおよびaccount-inbox.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：1.08 06-17-2008未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.08 06-17-08以降へのバージョンアップ

▽doITLive─────────────────────────────
doITLiveは、showmedia.aspスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：2.50未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ManageEngine OpUtils───────────────────────
ManageEngine OpUtilsは、MainLayout.doスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：5
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽EroCMS──────────────────────────────
EroCMSは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：1.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽WebCalendar───────────────────────────
WebCalendarは、細工されたURLリクエストをsend_reminders.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：1.0.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽easyTrade────────────────────────────
easyTradeは、detail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：etv_patch_2_3_2.zipのインストール

▽Novell eDirectory────────────────────────
Novell eDirectoryは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：8.7.3.9未満、8.8.2未満
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽PHP Site Lock──────────────────────────
PHP Site Lockは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Adobe Flex────────────────────────────
Adobe Flexは、History Management functionがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：Flex 3.0.1 SDK、Flex Builder 3
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽FreeCMS─────────────────────────────
FreeCMSは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：0.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽BaSiC-CMS────────────────────────────
BaSiC-CMSは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Comparison Engine Power─────────────────────
Comparison Engine Powerは、product.detail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：1.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenDocMan────────────────────────────
OpenDocManは、out.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：1.2.5
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Lyris ListManager────────────────────────
Lyris ListManagerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/06/18 登録

危険度：中
影響を受けるバージョン：9.3d未満
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Open Azimyt CMS─────────────────────────
Open Azimyt CMSは、細工されたURLリクエストをlang-system.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/06/17 登録

危険度：中
影響を受けるバージョン：0.22
影響を受ける環境：UNIX、Linux、Windows
回避策：パッチのインストール

▽vBulletin────────────────────────────
vBulletinは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/06/17 登録

危険度：中
影響を受けるバージョン：3.6.10、3.7.1
影響を受ける環境：UNIX、Linux、Windows
回避策：3.7.1 PL1および3.6.10 PL1以降へのバージョンアップ

▽FreeType2────────────────────────────
FreeType2は、Printer Font Binary (PFB)フォントファイルを解析するときにメモリ汚染エラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムで任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/06/11 登録

危険度：高
影響を受けるバージョン：2.3.5
影響を受ける環境：UNIX、Linux、Windows
回避策：2.3.6以降へのバージョンアップ

▽CRE Loaded────────────────────────────
CRE Loadedは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/06/09 登録

危険度：中
影響を受けるバージョン：6.2.13.1以前
影響を受ける環境：UNIX、Linux、Windows
回避策：パッチのインストール

▽Exero CMS────────────────────────────
Exero CMSは、細工されたURLリクエストを多数のスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/03/18 登録

危険度：中
影響を受けるバージョン：1.0.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽System Center Configuration Manager───────────────
System Center Configuration Managerは、Systems Management Services (SMS) 2003 クライアントに対して更新プログラムを展開できない問題が存在する。なお、現在のところこの問題が悪用される可能性はない（脆弱性ではない）としている。
2008/06/19 登録

最大深刻度 :
影響を受けるバージョン：2007
影響を受ける環境：System Center Configuration Manager
回避策：更新プログラムのインストール

▽Microsoft Word──────────────────────────
Microsoft Wordは、unordered listを含む細工されたWordドキュメントを開くことによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2008/06/19 登録

危険度：高
影響を受けるバージョン：2000、2003
影響を受ける環境：Windows
回避策：公表されていません

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CA ARCserve Backup────────────────────────
CA ARCserve Backupは、細工されたデータを送ることによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。
2008/06/19 登録

危険度：
影響を受けるバージョン：12未満
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Cisco Intrusion Prevention System────────────────
Cisco Intrusion Prevention System (IPS)の特定のバージョンで動作している多数のCisco IDS/IPSデバイスは、イーサネットフレームが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にカーネルパニックを引き起こされる可能性がある。
2008/06/19 登録

危険度：低
影響を受けるバージョン：4240、4250、4255、4260、4270、5.1(1)、
5.1(8)、6.0、6.0(5)
影響を受ける環境：
回避策：ベンダの回避策を参照

▽Symantec Altiris Notification Server───────────────
Symantec Altiris Notification Serverは、Graphical User Interface (GUI)での特定されていないエラーによってセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。
2008/06/19 登録

危険度：高
影響を受けるバージョン：6.0 SP3 R7、6.0 SP3、6.0、6.0 SP1、6.0 SP2
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽クライアントアプリケーション───────────────────
複数のクライアントアプリケーションは、細工されたIOCTLリクエストを送ることによってCitrix Deterministic Network Enhancer driver (dne2000.sys)でエラーが発生するセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/06/19 登録

危険度：高
影響を受けるバージョン：BlueCoat WinProxy 6.1 rc1ほか、
Cisco VPN Client 5.0.2.0090ほか、
dne2000.sys 3.21.7.17464ほか、
SafeNet HighAssurance SoftRemote 1.4ほか
影響を受ける環境：Windows
回避策：公表されていません

▽UltraEdit────────────────────────────
UltraEditは、「../」を含むリストコマンドによってディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のファイルを閲覧されたり書き込みされる可能性がある。
2008/06/19 登録

危険度：低
影響を受けるバージョン：14.00b
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Novell iPrint Client───────────────────────
Novell iPrint Clientは、未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。 [更新]
2008/06/17 登録

危険度：低
影響を受けるバージョン：4.34
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Traindepot────────────────────────────
Traindepotは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/06/19 登録

危険度：中
影響を受けるバージョン：0.1
影響を受ける環境：UNIX、Linux
回避策：公表されていません

▽Clam AntiVirus──────────────────────────
Clam AntiVirusは、libclamav/petite.cでの無効なメモリアクセスエラーが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/06/18 登録

危険度：低
影響を受けるバージョン：0.93未満
影響を受ける環境：UNIX、Linux
回避策：0.93.1以降へのバージョンアップ

▽Fetchmail────────────────────────────
Fetchmailは、過度に長いヘッダを含む細工されたメールによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2008/06/18 登録

危険度：低
影響を受けるバージョン：6.3.8
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Samba──────────────────────────────
Sambaは、receive_smb_raw () 機能がSMBパケットを適切に処理していないことが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/05/29 登録

危険度：高
影響を受けるバージョン：3.0.29ほか
影響を受ける環境：UNIX、Linux
回避策：3.0.30以降へのバージョンアップ

▽Samba──────────────────────────────
Sambaは、細工されたGETDC mailslotリクエストによってスタックベースのバッファオーバーフローを引き起こされるなど複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2007/11/19 登録

危険度：高
影響を受けるバージョン：3.0.0〜3.0.26a
影響を受ける環境：UNIX、Linux
回避策：3.0.27以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Java System Calendar Server─────────────────
Sun Java System Calendar Serverは、特定されていないエラーによってDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサーバをクラッシュされる可能性がある。 [更新]
2008/06/18 登録

危険度：高
影響を受けるバージョン：6、6.3
影響を受ける環境：Sun Solaris 8、9
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Skype for Windows────────────────────────
Skype 4.0.0.145 Beta for Windowsがリリースされた。
https://developer.skype.com/WindowsSkype/ReleaseNotes

▽PLAYSTATION 3 システムソフトウェア────────────────
PLAYSTATION 3 システムソフトウェア 2.36がリリースされた。
http://www.jp.playstation.com/ps3/update/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.26-rc6-git5がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
総務省、OECDインターネット経済の将来に関する閣僚会合の結果
http://www.soumu.go.jp/s-news/2008/080618_3.html

▽トピックス
総務省、デジタル・コンテンツの流通の促進等に関する検討委員会（第39回）
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/digitalcontent.html

▽トピックス
総務省、情報通信審議会情報通信政策部会デジタル・コンテンツの流通の促進等に関する検討委員会 (第４０回) の開催について
http://www.soumu.go.jp/joho_tsusin/policyreports/joho_tsusin/kaisai/080619_1.html

▽トピックス
JVN、SNMPv3 実装の不適切な HMAC 処理による認証回避の脆弱性 [更新]
http://jvn.jp/cert/JVNVU878044/index.html

▽トピックス
シマンテック、「パソコン利用時のストレス調査」結果を発表
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20080618_01

▽トピックス
NTTドコモと日本通信、相互接続の実現に向け合意
http://www.nttdocomo.co.jp/info/news_release/page/080618_00.html

▽トピックス
au、au携帯電話「W61S」の「ケータイアップデート」開始のお知らせ
http://www.au.kddi.com/news/information/au_info_20080618_01.html

▽トピックス
au、【重要】岩手・宮城内陸地震に伴う緊急復旧工事の実施について
http://www.au.kddi.com/02aut/080618.html

▽トピックス
WILLCOM、Ultra Mobile「WILLCOM D4」を7月11日（金）より発売開始
http://www.willcom-inc.com/ja/corporate/press/2008/06/17/index.html

▽トピックス
WILLCOM、WILLCOM 03を6月27日（金）より発売開始
http://www.willcom-inc.com/ja/corporate/press/2008/06/18/index.html

▽トピックス
NTT東日本、「岩手・宮城内陸地震」等による通信サービス等への影響について
http://www.ntt-east.co.jp/release/0806/080618a.html

▽トピックス
ジャングル、「完全データ復元PRO2008 ガイドブック付き」「完全復元PRO2008Premium ガイドブック付き」2008年7月3日発売
http://www.junglejapan.com/release/2008/0618b/

▽トピックス
RSAセキュリティ、NTTネオメイトと「RSA SecurID」の販売代理店契約を締結
http://www.rsasecurity.com/japan/

▽トピックス
インターネットメディア総合研究所、「インターネット白書2008　リサーチャー/アナリスト向け特別調査報告書　RAWデータ付き」を6月20日より順次発売
http://www.impressRD.jp/

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.349.00 (06/19)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3205

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3203

▽ウイルス情報
シマンテック、Packed.Generic.83
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2008-061815-4844-99

▽ウイルス情報
シマンテック、Packed.Generic.81
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2008-061815-2653-99

▽ウイルス情報
シマンテック、Packed.Generic.80
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2008-061815-1916-99

▽ウイルス情報
シマンテック、Packed.Generic.78
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2008-061815-1310-99

◆アップデート情報◆
───────────────────────────────────
●RedHat Fedoraがfreetypeのアップデートをリリース
───────────────────────────────────
RedHat Fedoraがfreetypeのアップデートをリリースした。このアップデートによって、freetypeにおける複数の問題が修正される。

The Fedora Legacy Project Download
https://rhn.redhat.com/errata/

───────────────────────────────────
●Ubuntu Linuxがsambaのアップデートをリリース
───────────────────────────────────
Ubuntu Linuxがsambaのアップデートをリリースした。このアップデートによって、sambaにおける複数の問題が修正される。

Ubuntu Linux
http://www.ubuntu.com/