セキュリティホール情報<2009/04/07>
以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
脆弱性と脅威
セキュリティホール・脆弱性
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。
★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━
▽VMware──────────────────────────────
VMwareは、パスワードを適切に管理していないことなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格されたりDoS攻撃を受ける可能性がある。
2009/04/07 登録
危険度:
影響を受けるバージョン:
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Web Help Desk──────────────────────────
Web Help Deskは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:9.1.22
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽BookJoomlas for Joomla!─────────────────────
BookJoomlas for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:1.0
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽AdaptBB─────────────────────────────
AdaptBBは、細工されたSQLステートメントをtopic.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:1.0 beta
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽FlexCMS─────────────────────────────
FlexCMSは、細工されたSQLステートメントを送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:2.5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Gravity Board X─────────────────────────
Gravity Board Xは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。
2009/04/07 登録
危険度:高
影響を受けるバージョン:2.0 beta
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽vBulletin────────────────────────────
vBulletinは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:3.8.0 rc2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Amaya──────────────────────────────
Amayaは、ParseCharsetAndContentType () 機能が適切なチェックを行っていないことが原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/04/07 登録
危険度:高
影響を受けるバージョン:11.0、11.0.1、11.1
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Family Connections────────────────────────
Family Connectionsは、細工されたSQLステートメントをinc/util_inc.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:1.8.1、1.8.2
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽RD-Autos component for Joomla!──────────────────
RD-Autos component for Joomla!は、細工されたSQLステートメントをindex.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:1.5.7
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽osCommerce────────────────────────────
osCommerceは、oscidクッキー変数にセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセッションを乗っ取られる可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:2.2 cvs〜3.0a5
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽ContentKeeper──────────────────────────
ContentKeeperは、細工されたHTTPリクエストを送ることで複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコマンドを実行されたり、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/04/06 登録
危険度:高
影響を受けるバージョン:125.09以前
影響を受ける環境:UNIX、Linux、Windows
回避策:125.10以降へのバージョンアップ
▽glFusion─────────────────────────────
glFusionは、細工されたSQLステートメントをlib-session.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。 [更新]
2009/04/06 登録
危険度:中
影響を受けるバージョン:1.12
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽Atlassian JIRA──────────────────────────
Atlassian JIRAは、細工されたWebページを開くことでヘッダインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクロスサイトスクリプティングやキャッシュ汚染、セッションハイジャックなど複数の攻撃を受ける可能性がある。[更新]
2008/04/06 登録
危険度:中
影響を受けるバージョン:JIRA 3.10.2〜3.13.2、Charting plugin for Atlassian JIRA 1.4
影響を受ける環境:UNIX、Linux、Windows
回避策:1.4.1以降へのバージョンアップ
▽ClamAV──────────────────────────────
ClamAVは、細工されたRAR圧縮ファイルによってセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に悪意あるファイルのスキャンを阻止される可能性がある。[更新]
2009/04/06 登録
危険度:中
影響を受けるバージョン:0.94、0.94.1、0.94.2
影響を受ける環境:UNIX、Linux
回避策:0.95以降へのバージョンアップ
▽IBM DB2 Content Manager─────────────────────
IBM DB2 Content Managerは、eClientと関連する公表されていないセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。[更新]
2009/04/03 登録
危険度:低
影響を受けるバージョン:8.4.1
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽OpenSSL─────────────────────────────
OpenSSLは、細工された署名によってセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2009/03/26 登録
危険度:中
影響を受けるバージョン:0.9.8h〜0.9.8j
影響を受ける環境:UNIX、Linux、Windows
回避策:0.9.8kへのバージョンアップ
▽GStreamer────────────────────────────
GStreamerは、過度に長いストリングを送信されることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/18 登録
危険度:高
影響を受けるバージョン:gst-plugins-base 0.10.23
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽PHP───────────────────────────────
PHPは、zip機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にアプリケーションをクラッシュされる可能性がある。 [更新]
2009/03/02 登録
危険度:低
影響を受けるバージョン:5.2.0〜5.2.8
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.9以降へのバージョンアップ
▽Python──────────────────────────────
Pythonは、sys.pathをセットする際のPySys_SetArgv ()機能のエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のPythonコードを実行される可能性がある。[更新]
2009/01/30 登録
危険度:高
影響を受けるバージョン:2.5.4ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:公表されていません
▽PHP───────────────────────────────
PHPは、mb_convert_encoding ()、mb_check_encoding ()、mb_convert_variables ()およびmb_parse_str ()機能が原因でヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2008/12/24 登録
危険度:高
影響を受けるバージョン:5.2.6ほか
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ
▽PHP───────────────────────────────
PHPは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。 [更新]
2008/12/22 登録
危険度:中
影響を受けるバージョン:5.2.7以前
影響を受ける環境:UNIX、Linux、Windows
回避策:5.2.8以降へのバージョンアップ
▽PHP───────────────────────────────
PHPは、細工されたdelimiterが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にsafe_mode制限を回避される可能性がある。 [更新]
2008/10/08 登録
危険度:
影響を受けるバージョン:4.4.x〜4.4.9未満、5.6〜5.2.6
影響を受ける環境:UNIX、Linux、Windows
回避策:ベンダの回避策を参照
▽PHP───────────────────────────────
PHPは、imageloadfontの特定されていないエラーなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、攻撃者にシステム上で任意のコードを実行されたりDoS攻撃を受ける可能性がある。[更新]
2008/08/18 登録
危険度:高
影響を受けるバージョン:4.4.8
影響を受ける環境:UNIX、Linux、Windows
回避策:4.4.9以降へのバージョンアップ
<Microsoft>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Office PowerPoint───────────────────
Microsoft Office PowerPointは、細工されたPowerPointファイルを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のコードを実行される可能性がある。 [更新]
2009/04/06 登録
危険度:高
影響を受けるバージョン:2000 SP3、2002 SP3、2003 SP3、2004 for Mac
影響を受ける環境:Windows、Mac OS X
回避策:ベンダの回避策を参照
<その他の製品> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽IntraLaunch Application Launcher ActiveX control─────────
IntraLaunch Application Launcher ActiveX control(IntraLaunch.ocx)は、細工されたWebページを開くことでセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。
2009/04/07 登録
危険度:高
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません
▽Magic ISO Maker─────────────────────────
Magic ISO Makerは、細工されたCCDファイルを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/04/07 登録
危険度:高
影響を受けるバージョン:5.5 build 0274
影響を受ける環境:Windows
回避策:公表されていません
▽UltraISO─────────────────────────────
UltraISOは、細工されたCCDあるいはIMGファイルを開くことでスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。
2009/04/07 登録
危険度:高
影響を受けるバージョン:9.3.3.2685
影響を受ける環境:Windows
回避策:公表されていません
▽4CMS───────────────────────────────
4CMSは、細工されたSQLステートメントをarticle.phpスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:
影響を受ける環境:Windows
回避策:公表されていません
▽ConnX──────────────────────────────
ConnXは、細工されたSQLステートメントをfrmLoginPwdReminderPopup.aspxスクリプトに送ることでSQLインジェクションを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にデータベース上のデータを修正されたり削除される可能性がある。[更新]
2009/04/06 登録
危険度:中
影響を受けるバージョン:4.0.20080606
影響を受ける環境:Windows
回避策:公表されていません
▽Autodesk IDrop ActiveX control──────────────────
Autodesk IDrop ActiveX control(IDrop.ocx)は、細工されたWebページを開くことでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりブラウザをクラッシュされる可能性がある。 [更新]
2009/04/06 登録
危険度:高
影響を受けるバージョン:17.1.51.160
影響を受ける環境:Windows
回避策:公表されていません
▽FortiClient───────────────────────────
FortiClientは、細工されたVPN接続名によってフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に権限を昇格される可能性がある。 [更新]
2009/04/03 登録
危険度:高
影響を受けるバージョン:3.0.614
影響を受ける環境:Windows
回避策:3.0 MR7 Patch Release 6以降へのバージョンアップ
▽UltraISO─────────────────────────────
UltraISOは、細工されたファイル名を持つファイルによってフォーマットストリング攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/04/03 登録
危険度:高
影響を受けるバージョン:9.3.1.2633
影響を受ける環境:Windows
回避策:9.3.3.2685以降へのバージョンアップ
<UNIX共通> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Banshee─────────────────────────────
Bansheeは、apps/web/vs_diag.cgiスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/04/07 登録
危険度:中
影響を受けるバージョン:1.4.2
影響を受ける環境:UNIX、Linux
回避策:公表されていません
▽MapServer────────────────────────────
MapServerは、'mapserv' CGIスクリプトに細工されたデータを送信されることなどが原因で複数のセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されるなどの可能性がある。 [更新]
2009/03/31 登録
危険度:高
影響を受けるバージョン:4.10.3、5.2.1
影響を受ける環境:UNIX、Linux
回避策:4.10.4および5.2.2へのバージョンアップ
▽Eye of GNOME───────────────────────────
Eye of GNOMEは、sys.pathをセットするときにPySys_SetArgv ()機能でエラーが発生することによってセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムで任意のPythonコードを実行される可能性がある。 [更新]
2009/01/28 登録
危険度:高
影響を受けるバージョン:2.20.4、2.22.3
影響を受ける環境:UNIX、Linux
回避策:公表されていません
▽Asterisk PBX───────────────────────────
Asterisk PBXは、ダイジェスト認証使用時にシステムへの無許可のアクセス権を奪取されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に機密情報を奪取される可能性がある。 [更新]
2008/09/12 登録
危険度:低
影響を受けるバージョン:1.2、1.2.22、1.4.21.1、1.6
影響を受ける環境:UNIX、Linux
回避策:ベンダの回避策を参照
<Linux共通>━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux kernel───────────────────────────
Linux kernelは、ロックされていないspinlockをアンロックしようとする際のudp_get_next () 機能でエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。 [更新]
2009/04/06 登録
危険度:低
影響を受けるバージョン:2.6.0 test1〜2.6.29 git1
影響を受ける環境:Linux
回避策:2.6.29.1以降へのバージョンアップ
▽Ghostscript───────────────────────────
Ghostscriptは、src/gdevpdtb.cのpdf_base_font_alloc () 機能が原因でスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/04/06 登録
危険度:高
影響を受けるバージョン:8.0.1〜8.61
影響を受ける環境:Linux
回避策:8.64以降へのバージョンアップ
▽Linux kernel───────────────────────────
Linux kernelは、shmサブシステムのshm_get_stat機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムを応答不能にされる可能性がある。
2009/03/16 登録
危険度:低
影響を受けるバージョン:2.6.28.4以前
影響を受ける環境:Linux
回避策:2.6.28.5以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、audit_syscall_entry ()機能でのエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にセキュリティ制限を回避される可能性がある。 [更新]
2009/03/05 登録
危険度:中
影響を受けるバージョン:2.6.9 finalほか
影響を受ける環境:Linux
回避策:arch/x86/kernel/ptrace.cのインストール
▽Linux kernel───────────────────────────
Linux kernelは、child process signalsの処理時にセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にサービスを不能にされる可能性がある。 [更新]
2009/02/27 登録
危険度:低
影響を受けるバージョン:2.6.9ほか
影響を受ける環境:Linux
回避策:公表されていません
▽Linux kernel───────────────────────────
Linux kernelは、fs/ext4/super.cのext4_fill_super ()機能でのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステムをクラッシュされる可能性がある。 [更新]
2009/02/25 登録
危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.27.19および2.6.28.7以降へのバージョンアップ
▽Linux kernel───────────────────────────
Linux kernelは、sock_getsockopt () 機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリを参照され、さらなる攻撃に利用される可能性がある。 [更新]
2009/02/23 登録
危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.28.6以降へのバージョンアップ
▽Linux kernel───────────────────────────
Linux kernelは、skfp_ioctl () 機能のエラーが原因でセキュリティ制限を回避されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にドライバ統計を修正される可能性がある。 [更新]
2009/02/23 登録
危険度:低
影響を受けるバージョン:
影響を受ける環境:Linux
回避策:2.6.27.18あるいは2.6.28.6以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、kprobes dynamic instrumentationシステムでのメモリ汚職エラーによってスタックベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/02/18 登録
危険度:高
影響を受けるバージョン:2.6.28.1、2.6.28.2、2.6.28.3、2.6.28.4
影響を受ける環境:Linux
回避策:2.6.28.5以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、コンソールセレクション中のメモリエラーが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりカーネルをクラッシュされる可能性がある。 [更新]
2009/02/16 登録
危険度:高
影響を受けるバージョン:2.6.28.3ほか
影響を受ける環境:Linux
回避策:2.6.28.4以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、dell_rbu.c内のread_rbu_image_type ()およびread_rbu_packet_size ()機能の中で多数のエラーが発生することでセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/01/27 登録
危険度:低
影響を受けるバージョン:2.6.28.1ほか
影響を受ける環境:Linux
回避策:2.6.27.13および2.6.28.2以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、細工されたリクエストによってバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。 [更新]
2009/01/26 登録
危険度:高
影響を受けるバージョン:2.6.28以前、2.4.36〜2.4.36.6、2.2.27
影響を受ける環境:Linux
回避策:2.6.28.1以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、security/keys/keyctl.cスクリプトが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に使用可能なメモリリソースを全て消費される可能性がある。[更新]
2009/01/20 登録
危険度:低
影響を受けるバージョン:2.6.0
影響を受ける環境:Linux
回避策:ベンダの回避策を参照
▽Linux Kernel───────────────────────────
Linux Kernelは、do_setlk ()機能が原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にDoS攻撃を受ける可能性がある。 [更新]
2009/01/15 登録
危険度:低
影響を受けるバージョン:2.6.25.5
影響を受ける環境:Linux
回避策:2.6.25.6以降へのバージョンアップ
▽Linux Kernel───────────────────────────
Linux Kernelは、FWD-TSN chunkを含む細工されたストリームを送ることでバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりアプリケーションをクラッシュされる可能性がある。[更新]
2009/01/09 登録
危険度:高
影響を受けるバージョン:2.6.28 rc5ほか
影響を受ける環境:Linux
回避策:ベンダの回避策を参照
▽Linux kernel───────────────────────────
Linux kernelは、未知のセキュリティホールが存在する。尚、これ以上の詳細は公表されていない。 [更新]
2008/05/28 登録
危険度:低
影響を受けるバージョン:2.6.13.4、2.6.22.17、2.6.25未満、2.6.25.2
影響を受ける環境:Linux
回避策:2.6.25.4以降へのバージョンアップ
<リリース情報> ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽KTorrent─────────────────────────────
KTorrent 3.2.1がリリースされた。
http://www.kde-apps.org/content/show.php/KTorrent?content=26353
▽MySQL Community Server──────────────────────
MySQL Community Server 5.1.33がリリースされた。
http://www.mysql.com/
▽Apple iTunes───────────────────────────
Apple iTunes 8.1.1がリリースされた。
http://www.apple.com/jp/itunes/
▽Becky! Internet Mail───────────────────────
Becky! Internet Mail 2.50.06がリリースされた。
http://www.rimarts.co.jp/becky-j.htm
▽Apache Mailet Base────────────────────────
Apache Mailet Base 1.0がリリースされた。
http://james.apache.org/mailet/base/
▽Linux kernel 2.6.x 系──────────────────────
Linux kernel 2.6.29-git14がリリースされた。
http://www.kernel.org/
<セキュリティトピックス> ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
IPA、「2009年度IPA情報セキュリティセミナー」の開催地の募集を開始
http://www.ipa.go.jp/security/event/2009/isec-semi/index.html
▽トピックス
シマンテック、リモート制御ソリューション「pcAnywhere」を発売
http://www.symantec.com/ja/jp/index.jsp
▽トピックス
ジャストシステム、一太郎の脆弱性を悪用した不正なプログラムの実行危険性について
http://www.justsystems.com/jp/info/js09002.html
▽トピックス
日本HP、コンプライアンス対応の統合ログ管理ソリューション「HP Compliance Log Warehouse 2.0」を販売開始
http://h50146.www5.hp.com/info/newsroom/pr/fy2009/fy09-086.html
▽トピックス
BBSec、クレジットカードセキュリティ基準のPCI DSS準拠支援サービス開始
http://www.bbsec.co.jp/aboutus/press/090407.html
▽トピックス
エスロジカル、SSL証明書を超低価格で提供
https://www.slogical.co.jp/ssl/
▽サポート情報
アンラボ、V3 / SpyZero 定期アップデート情報
http://japan.ahnlab.com/news/view.asp?seq=4031
▽ウイルス情報
シマンテック、W32.Woospi!inf
http://www.symantec.com/ja/jp/norton/security_response/writeup.jsp?docid=2009-040601-2622-99
▽ウイルス情報
シマンテック、Adware.Hotbar
http://www.symantec.com/norton/security_response/writeup.jsp?docid=2003-080410-3847-99
◆アップデート情報◆
───────────────────────────────────
●Gentoo LinuxがEye of GNOMEのアップデートをリリース
───────────────────────────────────
Gentoo LinuxがEye of GNOMEのアップデートをリリースした。このアップデートによって、Eye of GNOMEにおける複数の問題が修正される。
Gentoo Linux
http://www.gentoo.org/
───────────────────────────────────
●Debianがopensslのアップデートをリリース
───────────────────────────────────
Debianがopensslのアップデートをリリースした。このアップデートによって、opensslにおける複数の問題が修正される。
Debian Security Advisory
http://www.debian.org/security/
───────────────────────────────────
●SuSE LinuxがSecurity Summary Reportをリリース
───────────────────────────────────
SuSE LinuxがSecurity Summary Reportをリリースした。Summary Reportには、複数の問題の修正が含まれる。
SuSe Security Announcement
http://www.suse.de/de/security/
───────────────────────────────────
●RedHat Linuxがphpおよびgstreamerのアップデートをリリース
───────────────────────────────────
RedHat Linuxがperlおよびgstreamerのアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。
RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html
───────────────────────────────────
●Ubuntu Linuxがkernelのアップデートをリリース
───────────────────────────────────
Ubuntu Linuxがkernelのアップデートをリリースした。このアップデートによって、kernelにおける複数の問題が修正される。
Ubuntu Linux
http://www.ubuntu.com/
───────────────────────────────────
●RedHat Fedoraがmapserverのアップデートをリリース
───────────────────────────────────
RedHat Fedoraがmapserverのアップデートパッケージをリリースした。このアップデートによって、mapserverにおける問題が修正される。
RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html
《ScanNetSecurity》