セキュリティホール情報＜2008/09/02＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽Novell Identity Manager─────────────────────
Novell Identity Managerは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：Roles Based Provisioning Module 3.6.0、
3.6.1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Novell User Application─────────────────────
Novell User Applicationは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：3.0.1、3.5.0、3.5.1
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽EasyClassifields─────────────────────────
EasyClassifieldsは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：3.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Brim───────────────────────────────
Brimは、index.phpスクリプトに細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：2.x
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Novell eDirectory────────────────────────
Novell eDirectoryは、細工されたLDAPデータなどによってバッファオーバーフローを引き起こされる複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/09/01 登録

危険度：
影響を受けるバージョン：8.8 SP2以前
影響を受ける環境：UNIX、Linux、Windows
回避策：8.8 SP3以降へのバージョンアップ

▽Pidgin──────────────────────────────
Pidginは、細工されたSLPメッセージによって整数オーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。[更新]
2008/07/10 登録

危険度：高
影響を受けるバージョン：2.4.3以前
影響を受ける環境：UNIX、Linux、Windows
回避策：2.4.3へのバージョンアップ

▽FreeType2────────────────────────────
FreeType2は、Printer Font Binary (PFB)フォントファイルを解析するときにメモリ汚染エラーを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステムで任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2008/06/11 登録

危険度：高
影響を受けるバージョン：2.3.5
影響を受ける環境：UNIX、Linux、Windows
回避策：2.3.6以降へのバージョンアップ

▽Cairo──────────────────────────────
Cairoは、read_png機能の整数オーバーフローが原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2007/12/03 登録

危険度：高
影響を受けるバージョン：1.4.12未満
影響を受ける環境：UNIX、Linux、Windows
回避策：1.4.12以降へのバージョンアップ

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft BitLocker───────────────────────
Microsoft BitLockerは、BIOS keyboard bufferが適切にクリアされないことが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：Windows Vista
回避策：Service Pack 1のインストール

＜その他の製品＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽VMware ESX────────────────────────────
VMware ESXは、VMware Consolidated Backup (VCB) command-lineユーティリティが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に特定のVCBユーティリティに供給されたパスワードを奪取される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：3.0.1、3.0.2、3.0.3、3.5
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽VMware Workstation/ACE/Player/Server───────────────
VMware Workstation/ACE/Player/Serverは、細工されたHTMLを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：Workstation 5.x〜5.5.8 build 108000以前、
6.x〜6.0.5 build 109488以前、
Player 1.x〜1.0.8 build以前、
2.x〜2.0.5以前
影響を受ける環境：Windows
回避策：ベンダの回避策を参照

▽Acoustica MP3 CD Burner─────────────────────
Acoustica MP3 CD Burnerは、細工されたplaylistファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：4.x
影響を受ける環境：Windows
回避策：公表されていません

▽Acoustica Beatcraft───────────────────────
Acoustica Beatcraftは、細工されたBeatcraftプロジェクトファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行される可能性がある。
2008/09/02 登録

危険度：
影響を受けるバージョン：1.x
影響を受ける環境：Windows
回避策：公表されていません

▽Kyocera Mita Scanner File Utility────────────────
Kyocera Mita Scanner File Utilityは、ネットワークデータを処理する際の多数のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2008/08/28 登録

危険度：高
影響を受けるバージョン：3.3.0.1
影響を受ける環境：Kyocera Mita Scanner
回避策：公表されていません

▽DNSサーバ製品──────────────────────────
Cisco製品をはじめとする複数のDNSサーバ製品は、細工されたDNSクエリによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDNSキャッシュを汚染される可能性がある。 [更新]
2008/07/09 登録

危険度：中
影響を受けるバージョン：Cisco IOS 12.4XZほか
影響を受ける環境：Cisco製品、Blue Coat ProxyRA
回避策：ベンダの回避策を参照

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IPsec-Tools───────────────────────────
IPsec-Toolsは、racoonデーモンのメモリリークなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/08/18 登録

危険度：低
影響を受けるバージョン：0.7
影響を受ける環境：UNIX、Linux
回避策：0.7.1以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、sys32_ptrace機能が原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2008/07/11 登録

危険度：低
影響を受けるバージョン：2.6.9 rc1ほか
影響を受ける環境：Linux
回避策：2.6.25.10以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、細工されたパケットを送ることでDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にすべてのメモリリソースを消費される可能性がある。 [更新]
2008/05/16 登録

危険度：低
影響を受けるバージョン：2.6.25.2
影響を受ける環境：Linux
回避策：2.6.25.3以降へのバージョンアップ

▽Linux kernel───────────────────────────
Linux kernelは、UDFでエラーが引き起こされることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。[更新]
2006/08/21 登録

危険度：低
影響を受けるバージョン：2.6.12以前
影響を受ける環境：Linux
回避策：公表されていません

＜HP-UX＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽HP TCP/IP Services for OpenVMS──────────────────
HP TCP/IP Services for OpenVMSは、細工された.planあるいは.projectファイルによってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2008/09/01 登録

危険度：高
影響を受けるバージョン：
影響を受ける環境：OpenVMS
回避策：ベンダの回避策を参照

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xの新バージョンおよびセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2008/05/29 登録

危険度：高
影響を受けるバージョン：10.5.3未満
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽XOOPS 2.3.x 系──────────────────────────
XOOPS 2.3.0 RC2がリリースされた。
http://xoops.com/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
警察庁、振り込め詐欺被害者が現金等を送付した住所の公表について
http://www.npa.go.jp/pressrelease/souni/furikome_jyusyo.pdf

▽トピックス
JNSA、「2007年度情報セキュリティインシデント調査報告書」の一部を改訂しVer.1.3を公開
http://www.jnsa.org/result/2007/pol/incident/index.html

▽トピックス
JNSA、2007年度「インターネット安全教室」報告書公開
http://www.jnsa.org/caravan/

▽トピックス
JPNIC、「IPv4アドレス枯渇対応タスクフォース」発足式のご案内(プレスリリース)を掲載
http://www.nic.ad.jp/ja/pressrelease/2008/20080902-01.html

▽トピックス
IAjapan、「有害情報対策ポータルサイト−迷惑メール対策編−」更新
http://www.iajapan.org/anti_spam/portal/

▽トピックス
トレンドマイクロ、「Trend Micro Security Pro」に「マイページ機能」を追加
http://jp.trendmicro.com/jp/home/index.html

▽トピックス
au、災害用伝言板サービスの提供終了について
http://www.au.kddi.com/news/au_top/information/au_info_20080901185539.html

▽トピックス
NTT西日本、「116」等電話による受付体制の見直しについて
http://www.ntt-west.co.jp/news/0809/080901a.html

▽トピックス
KDDI、法人向けの内線番号による音声定額FMCサービス「KDDI ビジネスコールダイレクト」の提供について
http://www.kddi.com/corporate/news_release/2008/0901/index.html

▽トピックス
千葉興業銀行、「コスモスWEB」で「ソフトウェアキーボード」の機能を強化
http://www.chibakogyo-bank.co.jp/toushi/topics/main_01.html?topic_id=275

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：5.513.00 (09/02)
http://jp.trendmicro.com/jp/support/download/pattern/index.html

▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3401

▽サポート情報
アンラボ、V3 緊急アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=3400

▽ウイルス情報
マカフィー、GoGho
http://www.mcafee.com/japan/security/virG.asp?v=GoGho