セキュリティホール情報＜2009/11/17＞

以下のセキュリティホール情報は、日刊メールマガジン「Scan Daily Express」の見出しのみを抜粋したものです。
「Scan Daily Express」では、全文とセキュリティホールの詳細へのリンクURLをご覧いただけます。

★ お申込みはこちら ★
https://www.netsecurity.ne.jp/14_3683.html

＜プラットフォーム共通＞ ━━━━━━━━━━━━━━━━━━━━━━
▽PHD Help Desk──────────────────────────
PHD Help Deskは、ユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/17 登録

危険度：
影響を受けるバージョン：1.43
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽phpMyBackupPro──────────────────────────
phpMyBackupProは、get_file.phpが入力を適切にチェックしていないことが原因でディレクトリトラバーサルを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のファイルを閲覧されたりダウンロードされる可能性がある。
2009/11/17 登録

危険度：
影響を受けるバージョン：2.1
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Sun VirtualBox Guest Additions──────────────────
Sun VirtualBox Guest Additionsは、DoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にゲストオペレーティングシステムの使用可能なすべてのメモリを消費される可能性がある。
2009/11/17 登録

危険度：低
影響を受けるバージョン：1.6、2.0、2.1、2.2、3.0
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽ToutVirtual VirtualIQ──────────────────────
ToutVirtual VirtualIQは、JBoss WebアプリケーションのJMX ConsoleおよびWeb Consoleが適切な制限を行っていないことが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のシェルコマンドを実行される可能性がある。
2009/11/17 登録

危険度：高
影響を受けるバージョン：3.2 build 7882 Pro
影響を受ける環境：UNIX、Linux、Windows
回避策：3.5 build 10.14.2009以降へのバージョンアップ

▽Apple Safari───────────────────────────
Appleは、Safariのアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/11/13 登録

危険度：高
影響を受けるバージョン：4
影響を受ける環境：Mac OS X、Windows
回避策：4.0.4以降へのバージョンアップ

▽Sun Java SE───────────────────────────
Sun Java SEは、SwingインプリメンテーションのWindows Pluggable Look and Feel (PL&F) 機能に特定されていない複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2009/11/12 登録

危険度：高
影響を受けるバージョン：1.1.5.0 Update1〜21、1.1.6.0 Update1〜16
影響を受ける環境：UNIX、Linux、Windows
回避策：1.5.0_22あるいは1.6.0_17 (6u17) 以降へのバージョンアップ

▽XOOPS──────────────────────────────
XOOPSは、公表されていない複数のセキュリティホールが存在する。この問題は、攻撃者に悪用される可能性がある。 [更新]
2009/11/11 登録

危険度：中
影響を受けるバージョン：2.0〜2.3.3
影響を受ける環境：UNIX、Linux、Windows
回避策：2.4.0 FINAL以降へのバージョンアップ

▽Transport Layer Securityプロトコル────────────────
SSLを含むTransport Layer Security（TLS）プロトコルの複数のインプリメンテーションは、TLSハンドシェイクネゴシエーションの間にクライアント証明書の認証を適切に処理していないことが原因でセキュリティホールが存在する。この問題は、リモートの攻撃者にさらなる攻撃に悪用される可能性がある。 [更新]
2009/11/06 登録

危険度：中
影響を受けるバージョン：Apache 2.2.8、2.2.9、Microsoft IIS 7.0、7.5
影響を受ける環境：UNIX、Linux、Windows
回避策：公表されていません

▽Sun Java Runtime Environment───────────────────
Sun Java Runtime Environment（JRE）は、細工されたオーディオファイルやイメージファイルを含むJavaアプレットやJava Web Startアプリケーションによって整数オーバーフローやバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に任意のアプリケーションを実行される可能性がある。[更新]
2009/11/05 登録

危険度：高
影響を受けるバージョン：6 Update 16以前、5.0 Update 21以前、1.4.2_23以前、1.3.1_26以前
影響を受ける環境：UNIX、Linux、Windows
回避策：ベンダの回避策を参照

▽Network Security Services────────────────────
Network Security Services（NSS）は、細工された証明書を送ることでヒープベースのバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行される可能性がある。 [更新]
2009/08/03 登録

危険度：高
影響を受けるバージョン：3.11.2、3.11.3、3.11.4、3.11.5
影響を受ける環境：UNIX、Linux、Windows
回避策：3.12.3以降へのバージョンアップ

▽Apple Safari───────────────────────────
Appleは、Apple SafariにおけるWebKitのセキュリティアップデートを公開した。このアップデートによって、複数の問題が解消される。 [更新]
2009/07/09 登録

危険度：高
影響を受けるバージョン：4.0.2未満
影響を受ける環境：Mac OS X、Windows
回避策：セキュリティアップデートの実行

▽Apple Safari───────────────────────────
Appleは、Apple SafariにおけるCFNetwork、CoreGraphics、ImageIO、International Components for Unicode、libxml、Safari、Safari Windows Installer、WebKitのセキュリティアップデートを公開した。このアップデートによって、Safariにおける複数の問題が解消される。[更新]
2009/06/09 登録

危険度：
影響を受けるバージョン：4未満
影響を受ける環境：Mac OS X、Windows
回避策：セキュリティアップデートの実行

▽Apple Safari───────────────────────────
Appleは、Apple Safariにおけるlibxml、Safari、WebKitのセキュリティアップデートを公開した。このアップデートによって、Safariにおける複数の問題が解消される。 [更新]
2009/05/13 登録

危険度：
影響を受けるバージョン：4 Public Beta、3
影響を受ける環境：Mac OS X、Windows
回避策：セキュリティアップデートの実行

＜Microsoft＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Microsoft Windows────────────────────────
Microsoft Windowsは、KeAccumulateTicks () 機能のエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にカーネルをクラッシュされる可能性がある。 [更新]
2009/11/13 登録

危険度：低
影響を受けるバージョン：7、Server 2008 R2
影響を受ける環境：Windows
回避策：4.0.4以降へのバージョンアップ

＜UNIX共通＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽telepark.wiki──────────────────────────
telepark.wikiは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/17 登録

危険度：
影響を受けるバージョン：2.4
影響を受ける環境：UNIX、Linux
回避策：2.4.23以降へのバージョンアップ

▽SemanticScuttle─────────────────────────
SemanticScuttleは、index.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にクッキーベースの認証資格証明を奪取される可能性がある。
2009/11/17 登録

危険度：中
影響を受けるバージョン：0.94
影響を受ける環境：UNIX、Linux
回避策：0.94.1以降へのバージョンアップ

▽Asterisk─────────────────────────────
Asteriskは、SIP INVITEアクセス制御リストのチェックに失敗することが原因でセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にネットワーク上でコールを実行される可能性がある。[更新]
2009/10/28 登録

危険度：中
影響を受けるバージョン：1.6.1〜1.6.1.8未満
影響を受ける環境：UNIX、Linux
回避策：ベンダの回避策を参照

▽Pidgin──────────────────────────────
Pidginは、oscar protocol pluginのエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者に細工されたICQメッセージによってアプリケーションをクラッシュされる可能性がある。 [更新]
2009/10/19 登録

危険度：低
影響を受けるバージョン：2.4.0〜2.6.2
影響を受ける環境：UNIX、Linux
回避策：2.6.3以降へのバージョンアップ

＜Linux共通＞━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Linux Kernel───────────────────────────
Linux Kernelは、nfs4_proc_lock() 機能のNULL pointer dereferenceエラーが原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/09 登録

危険度：低
影響を受けるバージョン：2.6.0〜2.6.31
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、pipe_read_open()、pipe_write_open()、pipe_rdwr_open() pipe.c機能のNULL pointer dereferenceエラーが原因で権限を昇格されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルパニックを引き起こされる可能性がある。 [更新]
2009/11/06 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.32 rc4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、'net/sched/sch_api.c'のtc_fill_tclass() 機能が原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリの一部を参照される可能性がある。 [更新]
2009/11/04 登録

危険度：
影響を受けるバージョン：2.4.x〜2.4.37.6、2.6.x〜2.6.31-rc9
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、netlinkサブシステムが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にさらなる攻撃に利用される可能性がある。 [更新]
2009/10/22 登録

危険度：低
影響を受けるバージョン：2.4.1〜2.4.37.5、2.6.0〜2.6.12.6
影響を受ける環境：Linux
回避策：2.4.37.6あるいは2.6.13-rc1以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、af_ax25.cが適切なチェックを行っていないこと原因でDoS攻撃を受けるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にkernel OOPSを引き起こされる可能性がある。[更新]
2009/10/09 登録

危険度：高
影響を受けるバージョン：2.6.0〜2.6.31 rc1
影響を受ける環境：Linux
回避策：2.6.31.2以降へのバージョンアップ

▽Linux Kernel───────────────────────────
x86-64システム上で動作するLinux Kernelは、特定の64bitレジスタを不適切にクリアすることが原因でセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者に機密情報を奪取される可能性がある。[更新]
2009/10/05 登録

危険度：低
影響を受けるバージョン：2.6.11 rc1-bk6〜2.6.31 rc1
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、getname機能がデータの初期化に失敗することが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にカーネルメモリの内容を参照される可能性がある。 [更新]
2009/09/01 登録

危険度：低
影響を受けるバージョン：2.6.0〜2.6.31 rc4
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、execve機能が適切にcurrent->clear_child_tid pointeをクリアしていないことが原因でDoS攻撃を受けるキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にメモリをクラッシュされる可能性がある。 [更新]
2009/08/31 登録

危険度：低
影響を受けるバージョン：2.6.0〜2.6.30 rc3、2.2.27、2.4.36〜2.4.36.6
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

▽Linux Kernel───────────────────────────
Linux Kernelは、agpサブシステムのdrivers/char/agp/generic.cが原因で機密情報を奪取されるセキュリティホールが存在する。この問題が悪用されると、ローカルの攻撃者にページを閲覧される可能性がある。[更新]
2009/05/01 登録

危険度：低
影響を受けるバージョン：2.6.29 git1以前
影響を受ける環境：Linux
回避策：2.6.30-rc3以降へのバージョンアップ

▽Linux Kernel───────────────────────────
Linux Kernelは、decode_unicode_ssetup () 機能が適切なチェックを行っていないことが原因でバッファオーバーフローを引き起こされるセキュリティホールが存在する。この問題が悪用されると、リモートの攻撃者にシステム上で任意のコードを実行されたりシステムをクラッシュされる可能性がある。 [更新]
2009/04/28 登録

危険度：高
影響を受けるバージョン：2.6.29 git1以前
影響を受ける環境：Linux
回避策：ベンダの回避策を参照

＜Mac OS X＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Mac OS X─────────────────────────────
Appleは、Mac OS Xのセキュリティアップデートを公開した。このアップデートにより、複数のセキュリティホールが修正される。 [更新]
2009/11/10 登録

危険度：高
影響を受けるバージョン：10.6、10.5
影響を受ける環境：Mac OS X
回避策：セキュリティアップデートの実行

＜リリース情報＞ ━━━━━━━━━━━━━━━━━━━━━━━━━━
▽Wireshark 1.2.x 系────────────────────────
Wireshark 1.2.4がリリースされた。
http://www.wireshark.org/

▽Apache Solr───────────────────────────
Apache Solr 1.4がリリースされた。
http://www.apache.org/dyn/closer.cgi/lucene/solr/

▽WinRAR──────────────────────────────
WinRAR 3.91 beta 1英語版がリリースされた。
http://www.diana.dti.ne.jp/~winrar/

▽Spring Framework─────────────────────────
Spring Framework 3.0がリリースされた。
http://www.springsource.com/

＜セキュリティトピックス＞ ━━━━━━━━━━━━━━━━━━━━━
▽トピックス
法務省、「新オンライン登記申請システム骨子案」に関する意見募集結果等の公表及び意見募集について
http://www.moj.go.jp/oshirase20.html

▽トピックス
警察庁、「振り込め詐欺（恐喝）事件」にご注意！
http://www.npa.go.jp/safetylife/seianki31/1_hurikome.htm

▽トピックス
IPA、平成21年度秋期ITパスポート試験の難易度補正について
http://www.jitec.ipa.go.jp/1_00topic/topic_20091116_tokuten.html

▽トピックス
IPA、平成21年度秋期情報処理技術者試験（ITパスポート試験、基本情報技術者試験）の合格発表について
http://www.jitec.ipa.go.jp/1_00topic/topic_20091116_goukaku.html

▽トピックス
IAjapan、メールサーバ障害発生のお知らせ
http://www.iajapan.org/

▽トピックス
JPRS、「属性型（組織種別型）・地域型JPドメイン名登録等に関する規則」の改訂について（改訂主旨）（更新）
http://jprs.jp/info/notice/200909-rule.html

▽トピックス
トレンドマイクロ、Trend Micro LeakProof 5.0 Patch 1 (ビルド1347)公開のお知らせ
http://www.trendmicro.co.jp/support/news.asp?id=1322

▽トピックス
エフセキュア、教育機関向けオールインワン・アプライアンスサーバ『NetSHAKER Ver.5.1 for School』にエフセキュアのアンチウイルスエンジンを搭載
http://www.f-secure.com/ja_JP/about-us/pressroom/news/2009/fs-news_20091116_01_jp.html

▽トピックス
ソフォス、Juniper Networks (ジュニパーネットワークス) 社と OEM 契約を締結
http://www.sophos.co.jp/pressoffice/news/articles/2009/11/yok1116.html

▽トピックス
CA、アイデンティティ／アクセス管理とプロビジョニングに関する米国独立系技術調査会社のレポートで、「リーダー」のポジションを獲得
http://www.ca.com/jp/press/release.aspx?cid=221987

▽トピックス
マカフィー、Mac 対応の先進的なエンドポイント対策製品を提供開始
http://www.mcafee.com/japan/about/prelease/pr_09b.asp?pr=09/11/16-1

▽トピックス
Panda Security、緊急ネットワークメンテナンスのお知らせ
http://www.ps-japan.co.jp/supportnews/n88.html

▽トピックス
カスペルスキー、[続報] Gumblar に酷似、新たな脅威発生に警告
http://www.kaspersky.co.jp/news?id=207578791

▽トピックス
ソフォス：ニュース、iPhone がハッキングされ、 5ユーロの「身代金」が要求される
http://www.sophos.co.jp/pressoffice/news/articles/2009/11/yok1103.html

▽トピックス
トレンドマイクロ：ブログ、Windows 7およびWindows Server 2008 Release 2の脆弱性が確認される
http://blog.trendmicro.co.jp/archives/3203

▽トピックス
シマンテック：ブログ、インターネットセキュリティの最前線を体験！ノートンブロガーズミーティングのご案内
http://communityjp.norton.com/t5/blogs/blogarticlepage/blog-id/npbj/article-id/38%3bjsessionid=BCDC2CF3C9DBCF47CB2255DFC6A8C5F9#A38

▽トピックス
au、システムメンテナンスについて
http://www.notice.kddi.com/news/mainte/content/syougai/au_04_00004452.html

▽トピックス
au、au BOX ソフトウェアアップデートのお知らせ
http://www.au.kddi.com/seihin/ichiran/shuhenkiki/au_box/support/update.html

▽トピックス
NTTデータ・セキュリティ、脆弱性検証レポート『WindowsのSMB（KeAccumulateTicks関数）のDoS攻撃の脆弱性に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091113_2.pdf

▽トピックス
NTTデータ・セキュリティ、WindowsのEmbedded OpenType処理の脆弱性（MS09-065）に関する検証レポート』を更新
http://www.nttdata-sec.co.jp/article/vulner/pdf/report20091113_1.pdf

▽トピックス
マイクロソフト、Microsoft(R) Office 2007 の「その誤解をときまSHOW！」キャンペーンを開始
http://www.microsoft.com/japan/office/2007/gokai/default.mspx

▽トピックス
デジタルアーツ、安川情報システム株式会社が、教育機関向けオールインワン・アプライアンスサーバーの最新版「NetSHAKER Ver.5.1 for School」を販売開始
http://www.daj.jp/company/topics/2009/t111601.htm

▽トピックス
IIJほか、著作権保護機能を実装したFlash Videoストリーミング配信の実証実験を実施
http://www.iij.ad.jp/news/pressrelease/2009/1116.html

▽サポート情報
トレンドマイクロ、ウイルスパターンファイル：6.629.80 (11/17)
http://jp.trendmicro.com/jp/support/download/pattern/full/

▽セミナー情報
トレンドマイクロ、“企業内に潜む脅威の実例”解説セミナーのご案内
http://jp.trendmicro.com/jp/home/index.html

▽イベント情報
ISMS、「Business Continuity Management Conference 2009」開催案内
http://www.idg.co.jp/expo/bcm/2009/

▽ウイルス情報
シマンテック、Backdoor.Bapkri
http://www.symantec.com/ja/jp/business/security_response/writeup.jsp?docid=2009-111604-0211-99

▽ウイルス情報
マカフィー、Generic Downloader.x!brz
http://www.mcafee.com/japan/security/virG.asp?v=Generic%20Downloader.x!brz

◆アップデート情報◆
───────────────────────────────────
●SuSE Linuxがkernelのアップデートをリリース
───────────────────────────────────
　SuSE Linuxがkernelのアップデートをリリースした。このアップデートによって、kernelにおける複数の問題が修正される。

SuSe Security Announcement
http://www.suse.de/de/security/

───────────────────────────────────
●MIRACLE Linuxがkernelおよび外部ドライバrpmのアップデートをリリース
───────────────────────────────────
　Miracle Linuxがkernelおよび外部ドライバrpmのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Miracle Linux アップデート情報
http://www.miraclelinux.com/support/update/list.php?category=1

───────────────────────────────────
●Turbolinuxが複数のアップデートをリリース
───────────────────────────────────
　Turbolinuxがturbonetman、rpcbind、yp-tools、ypbindのアップデートをリリースした。このアップデートによって、それぞれの問題が修正される。

Turbolinux Security Center
http://www.turbolinux.co.jp/security/

───────────────────────────────────
●Slackwareがopensslのアップデートをリリース
───────────────────────────────────
　Slackwareがopensslのアップデートをリリースした。このアップデートによって、opensslにおける問題が修正される。

Slackware Security Advisories
http://www.slackware.com/security/list.php?l=slackware-security&y=2008

───────────────────────────────────
●RedHat Linuxがdevice-mapperおよびjava-1.6.0のアップデートをリリース
───────────────────────────────────
　RedHat Linuxがdevice-mapperおよびjava-1.6.0のアップデートパッケージをリリースした。このアップデートによって、それぞれの問題が修正される。

RedHat Linux Support
https://rhn.redhat.com/errata/rhel-server-errata.html

───────────────────────────────────
●RedHat Fedoraがasteriskのアップデートをリリース
───────────────────────────────────
　RedHat Fedoraがasteriskのアップデートパッケージをリリースした。このアップデートによって、asteriskにおける問題が修正される。

RedHat Fedora fedora-package-announce
https://www.redhat.com/archives/fedora-package-announce/index.html