セキュリティホール情報＜2008/08/01＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Sun Java─────────────────────────────
Sun Javaは、更新ソフトウェアが適切に更新を確認しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に目標ユーザのシステムに任意のコードをインストールされる可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽OpenOffice────────────────────────────
OpenOfficeは、更新ソフトウェアが適切に更新を確認しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に目標ユーザのシステムに任意のコードをインストールされる可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽ImpressCMS────────────────────────────
ImpressCMSは、admin.phpスクリプトが関係する未知のセキュリティホールが存在する。なお、これ以上の詳細は公表されていない。
2008/08/01 登録

危険度：中
影響を受けるバージョン：1.0 de
影響を受ける環境：UNIX、Linux、Windows
回避策：1.0.1以降へのバージョンアップ

▽Article Friendly─────────────────────────
Article Friendlyは、categorydetail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：Standard
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpFreeChat───────────────────────────
phpFreeChatは、nickid値がsession_id値と同じことが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にチャットセッションを乗っ取られる可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：1.0 beta7、1.0 final、1.0 beta11、
1.0 beta10、1.0 beta9、1.0 beta8、
1.0 beta、1.0 beta6、1.0 beta5、
1.0 beta4、1.0 beta3、1.0 beta2、1.1
影響を受ける環境：UNIX、Linux、Windows
回避策：1.2以降へのバージョンアップ

▽eNdonesia────────────────────────────
eNdonesiaは、mod.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：8.4
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽TubeGuru Video Sharing Script──────────────────
TubeGuru Video Sharing Scriptは、ugroups.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Classified Ads Script──────────────────────
Classified Ads Scriptは、browsecats.phpおよびshowcategory.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽PHP Hosting Directory──────────────────────
PHP Hosting Directoryは、細工されたURLリクエストをadmin.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/31 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Unreal Tournament 2004──────────────────────
Unreal Tournament 2004は、細工されたパケットの特定のシーケンスを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にサービスをクラッシュされる可能性がある。 [更新]
2008/07/31 登録

危険度：低
影響を受けるバージョン：3369
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Unreal Tournament 3───────────────────────
Unreal Tournament 3は、細工されたパケットを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/07/31 登録

危険度：高
影響を受けるバージョン：1.2、1.3 beta4
影響を受ける環境：Linux、Windows
回避策：公表されていません

▽Reviews Opinions Rating Posting Engine Web-Site PHP Script────
Reviews Opinions Rating Posting Engine Web-Site PHP Scriptは、comments.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/31 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽nzFotolog────────────────────────────
nzFotologは、細工されたURLリクエストをindex.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/31 登録

危険度：中
影響を受けるバージョン：0.4.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HIOX Web Browsers Statistics───────────────────
HIOX Web Browsers Statisticsは、細工されたURLリクエストをhioxupdate.phpあるいはhioxstats.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/31 登録

危険度：中
影響を受けるバージョン：2.0
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽HIOX Random Ad──────────────────────────
HIOX Random Adは、細工されたURLリクエストをhioxRandomAd.phpスクリプトに送ることで悪意あるファイルを追加されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にWebサーバ上で任意のコードを実行される可能性がある。 [更新]
2008/07/31 登録

危険度：中
影響を受けるバージョン：1.3
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽FizzMedia────────────────────────────
FizzMediaは、comment.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2008/07/29 登録

危険度：中
影響を受けるバージョン：1.51.2
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Mobius──────────────────────────────
Mobiusは、browse.phpおよびdetail.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2008/07/29 登録

危険度：中
影響を受けるバージョン：1.4.4.1以前
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽VLC Media Player─────────────────────────
VLC Media Playerは、過度に長いfmtチャンクを含む細工されたWAVファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/07/03 登録

危険度：高
影響を受けるバージョン：0.8.6h
影響を受ける環境：UNIX、Linux、Windows
回避策：0.8.6i以降へのバージョンアップ

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽CA ARCserve Backup for Laptops and Desktops───────────
CA ARCserve Backup for Laptops and Desktopsは、TCP port 1900nのLGServer serviceに細工されたデータを送ることでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：11.0、11.1、11.1 SP1、11.1 SP2、11.5
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Winamp──────────────────────────────
Winampは、更新ソフトウェアが適切に更新を確認しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に目標ユーザのシステムに任意のコードをインストールされる可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽WinZip──────────────────────────────
WinZipは、更新ソフトウェアが適切に更新を確認しないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に目標ユーザのシステムに任意のコードをインストールされる可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽Blue Coat K9 Web Protection───────────────────
Blue Coat K9 Web Protectionは、過度に長いversion informationを含む細工されたHTTPリクエストを送信されることが原因で多数のスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりサービスをクラッシュされる可能性がある。
2008/08/01 登録

危険度：高
影響を受けるバージョン：3.2.44
影響を受ける環境：Windows
回避策：公表されていません

▽Eyeball MessengerSDK CoVideoWindow.ocx ActiveX control──────
Eyeball MessengerSDK CoVideoWindow.ocx ActiveX controlは、細工されたWebページを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2008/08/01 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

▽True Image Echo Enterprise Server────────────────
True Image Echo Enterprise Serverは、FTPに関して実行されたバックアップが適切に暗号化されないことが原因でセキュリティホールが存在する。この問題が悪用されると、攻撃者にセキュリティ制限を回避される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：
影響を受ける環境：Windows
回避策：公表されていません

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽SAP MaxDB────────────────────────────
SAP MaxDBは、細工されたパス環境変数値をセットされることでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：7.6.03.15
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽PAN───────────────────────────────
PANは、細工された.nzbファイルによってヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/06/02 登録

危険度：高
影響を受けるバージョン：0.132、0.131、0.130、0.129、0.128
影響を受ける環境：UNIX、Linux
回避策：パッチのインストール

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽nfs-utils on Red Hat Enterprise Linux──────────────
nfs-utils on Red Hat Enterprise Linuxは、TCP wrappersに対するサポートが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にNFSシステムに接続される可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Audit───────────────────────────
Linux Auditは、過度に長いコマンドアーギュメントを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/04/02 登録

危険度：高
影響を受けるバージョン：1.7未満
影響を受ける環境：Linux
回避策：1.7以降へのバージョンアップ

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX──────────────────────────────
HP-UXは、NFSの構成を設定するときにSystem Administration Manager (SAM)でエラーが発生するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへのアクセス権を奪取される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：11.11、11.23
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽nfs-utils on Red Hat Enterprise Linux──────────────
nfs-utils on Red Hat Enterprise Linuxは、TCP wrappersに対するサポートが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にNFSシステムに接続される可能性がある。
2008/08/01 登録

危険度：
影響を受けるバージョン：
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Audit───────────────────────────
Linux Auditは、過度に長いコマンドアーギュメントを送信されることが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2008/04/02 登録

危険度：高
影響を受けるバージョン：1.7未満
影響を受ける環境：Linux
回避策：1.7以降へのバージョンアップ

＜SunOS/Solaris＞━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Sun Solaris───────────────────────────
Sun Solarisは、Platform InformationおよびControl Library daemon (picld(1M))が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。
2008/08/01 登録

危険度：低
影響を受けるバージョン：OpenSolaris build snv_95 and prior SPARC、
OpenSolaris build snv_95 and prior x86、
10 SPARC、10 x86、9.0 SPARC、9.0 x86、
8.0 SPARC
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

▽Sun N1 Service Provisioning System (SPS)─────────────
Sun N1 Service Provisioning System (SPS) は、Java System Web Server pluginでのエラーによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへの無許可のアクセス権を奪取される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：5.2、6.0
影響を受ける環境：Sun Solaris
回避策：ベンダの回避策を参照

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP-UX──────────────────────────────
HP-UXは、NFSの構成を設定するときにSystem Administration Manager (SAM)でエラーが発生するセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムへのアクセス権を奪取される可能性がある。
2008/08/01 登録

危険度：中
影響を受けるバージョン：11.11、11.23
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.48.00がリリースされた。
http://www.rimarts.co.jp/becky-j.htm

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc1-git2がリリースされた。
http://www.kernel.org/

▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.27-rc1-mm1がリリースされた。
http://www.kernel.org/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
金融庁、電子記録債権法の施行に伴う金融庁関係内閣府令の整備に関する内閣府令（案）等の公表について
http://www.fsa.go.jp/news/20/sonota/20080731-5.html

▽トピックス
警察庁、「振り込め詐欺（恐喝）」の認知・検挙状況等について（平成20年1〜6月）
http://www.npa.go.jp/sousa/souni7/furikome_H20_1-6.pdf

▽トピックス
JPCERT/CC、[続報] 複数の DNS サーバ製品におけるキャッシュポイズニ
ングの脆弱性に関する注意喚起
http://www.jpcert.or.jp/at/2008/at080014.txt

▽トピックス
JVN、複数のパナソニックコミュニケーションズ株式会社製ネットワークカメラにおけるクロスサイトスクリプティングの脆弱性
http://jvn.jp/jp/JVN33706820/index.html

▽トピックス
シマンテック、2009 年第 1 四半期決算で、好調な売上と利益を計上
http://www.symantec.com/ja/jp/about/news/release/article.jsp?prid=20080801_01

▽トピックス
NTTドコモ、「ケータイ安全教室」の映像教材を無料配布
http://www.nttdocomo.co.jp/info/news_release/page/080731_00.html

▽トピックス
au、「お留守番サービス」メンテナンス工事のお知らせ
http://www.au.kddi.com/news/information/au_info_20080731.html

▽トピックス
WILLCOM、センターメンテナンスのお知らせ（8月7日）
http://www.willcom-inc.com/ja/info/08073103.html

▽トピックス
WILLCOM、京セラ製「WX330K」ソフトウェアバージョンアップのお知らせ
http://www.willcom-inc.com/ja/support/update/index.html

▽トピックス
NTT東日本、ビジネスイーサワイド新機能「LAN/WANモニタ」の提供開始について
http://www.ntt-east.co.jp/release/0807/080731a.html

▽トピックス
NTT西日本、NGN企業向けネットワークの新たな監視サービス「LAN/WANモニタ」の提供開始について
http://www.ntt-west.co.jp/news/0807/080731a.html

▽トピックス
NTTコミュニケーションズ、法人向けデータ通信サービスにおける「ワンストップ・マネジメントサービス」の提供について
http://www.ntt.com/release/monthNEWS/detail/20080731.html

▽トピックス
intego、INTEGO PERSONAL BACKUP X5がFTP/SFTPバックアップに対応
http://www.intego.com/jp/news/pr104.asp

▽トピックス
グリーンハウス、「情報漏えい防止」のための新製品 FogosPROを発売開始
http://www.green-house.co.jp/products/memorycard/usbflash/fogospro/index.html

▽トピックス
日立ソフト、セキュリティなどに配慮したメール環境を総合的に構築するソリューションを提供
http://hitachisoft.jp/news/news517.html

▽トピックス
マカフィー、HP業務用PC向けセキュリティソフトウエアを提供
http://www.mcafee.com/jp/

▽トピックス
大日本印刷、本人認証ソフトウエアが国内で初めてVisaの認定を取得
http://www.dnp.co.jp/jis/news/2008/080801.html

▽トピックス
JP-Secure、8月1日より「SiteGuard(サイトガード)」を販売開始
http://www.jp-secure.com/cont/news/2008/080801.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.447.00 (08/01)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3309

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3308

▽セミナー情報
JNSA、8/22「被害調査WG・リテラシーベンチマーク作成WG合同セキュリティ対策セミナー」の事前申込受付開始
http://www.jnsa.org/seminar/2008/0822/index.html

▽ウイルス情報
トレンドマイクロ、TROJ_RENOS.AEA
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FRENOS%2EAEA

▽ウイルス情報
トレンドマイクロ、TROJ_POPHOT.OJ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ%5FPOPHOT%2EOJ

▽ウイルス情報
シマンテック、Packed.Generic.177
http://www.symantec.com/business/security_response/writeup.jsp?docid=2008-073111-4243-99

▽ウイルス情報
日本エフ・セキュア、Trojan-Downloader:HTML/Agent.KM
http://www.f-secure.co.jp/v-descs/v-descs3/Trojan-Downloader-HTML-Agent_KM.htm

◆アップデート情報◆
───────────────────────────────────
●Debianが複数のアップデートをリリース
───────────────────────────────────
　Debianがlibxslt、dnsmasqおよびdnsmasqのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Debian Security Advisory
http://www.debian.org/security/

───────────────────────────────────
●Gentoo Linuxが複数のアップデートをリリース
───────────────────────────────────
　Gentoo Linuxがpython、pan、auditおよびvlcのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Gentoo Linux
http://www.gentoo.org/

───────────────────────────────────
●RedHat Linuxがnfs-utilsおよびlibxsltのアップデートをリリース
───────────────────────────────────
　RedHat Linuxがnfs-utilsおよびlibxsltのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html