2011-10-04

Daily Vuln Watch Japanお引っ越しのお知らせ

この10月より,Daily Vuln Watch Japanは,Livedoorブログにお引っ越しいたします。
今後とも宜しくお願いいたします。

2011-09-30

Cisco IOS

ソフト名:Cisco IOS 12.x/15.1
回避策:アップデートにて対応
脆弱性:システムアクセス, ローカルコード実行, 不明なエラー, 不正パケット
ソース:
CVE:CVE-2011-3271
危険性:Medium Risk

Cisco IOS, Cisco IOS XE

ソフト名:Cisco IOS 12.x/15.0/15.1, Cisco IOS XE 3.1.xSG
回避策:アップデートにて対応, 3.2.0SG以降へのアップデートにて対応
脆弱性:DoS攻撃, NAT変換エラー, デバイスのリロード, メモリリーク, メモリの浪費, 不正パケット
ソース:
CVE:CVE-2011-0946, CVE-2011-3276, CVE-2011-3277, CVE-2011-3278, CVE-2011-3279, CVE-2011-3280
危険性:Medium Risk

RPM Package Manager

ソフト名:RPM Package Manager 4.9.1.2未満
回避策:アップデートにて対応
脆弱性:システムアクセス, バウンダリエラー, バッファオーバーフロー, メモリ破壊, リモートコード実行
ソース:
CVE:CVE-2011-3378
危険性:Medium Risk

Cisco Unified Presence

ソフト名:Cisco Unified Presence 8.5(4)未満
回避策:アップデートにて対応
脆弱性:DoS攻撃, CPUリソースの浪費, メモリの浪費, クラッシュ
ソース:
CVE:CVE-2011-3288
危険性:Medium Risk

Cisco Jabber Extensible Communications Platform

ソフト名:Cisco Jabber Extensible Communications Platform (Jabber XCP) 4.x/5.x (jabberd 2.2.14未満)
回避策:5.4.0.27581/5.8.1.27561へのアップデートにて対応
脆弱性:DoS攻撃, CPUリソースの浪費, メモリの浪費
ソース:
CVE:CVE-2011-3287
危険性:Medium Risk

Cisco IOS

ソフト名:Cisco IOS 15.0/15.1
回避策:アップデートにて対応
脆弱性:DoS攻撃, メモリリーク, メモリの浪費, ハング, クラッシュ
ソース:
CVE:CVE-2011-3273, CVE-2011-3281
危険性:Medium Risk

Red Hat Fedora

ソフト名:Red Hat Fedora 14 (Django Software Foundation Django 1.2.7未満の1.2.x/1.3)
回避策:FEDORA-2011-12481にて対応
脆弱性:スプーフィング, データ操作, 機密情報の奪取, DoS攻撃, キャッシュ汚染攻撃, セッション情報の操作, サーバプロセスの浪費, メモリの浪費, リダイレクト脆弱性, HTTPヘッダ処理エラー
ソース:
危険性:Medium Risk

T3BLOG Extension for TYPO3

ソフト名:T3BLOG 1.1.2 Extension for TYPO3未満
回避策:アップデート, TYPO3-EXT-SA-2011-011にて対応
脆弱性:XSS, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

Puppet Labs Puppet, Puppet Labs Puppet Enterprise, Canonical Ltd. Ubuntu Linux

ソフト名:Puppet Labs Puppet 2.6.10/2.7.4未満, Puppet Labs Puppet Enterprise 1.0/1.1/1.2.x未満, Canonical Ltd. Ubuntu Linux 10.04/10.10
回避策:アップデートにて対応, USN-1217-1にて対応
脆弱性:データ操作, システムアクセス, ディレクトリトラバーサル, 入力サニタイズエラー, ファイル操作
ソース:
CVE:CVE-2011-3848
危険性:Medium Risk

Cisco Unified Communications Manager, Cisco IOS, Cisco IOS XE

ソフト名:Cisco Unified Communications Manager 6.x/7.x/8.x, Cisco IOS 12.x/15.0/15.1, Cisco IOS XE 2.5.x/2.6.x/3.1.x/3.2.x
回避策:7.1(5b)su4/8.5(1)su2/8.6(1)へのアップデートにて対応, 3.1.3Sへのアップデート, アップデートにて対応
脆弱性:DoS攻撃, メモリリーク, 不正音声メッセージ
ソース:
CVE:CVE-2011-0939, CVE-2011-2072, CVE-2011-3275
危険性:Medium Risk

Cisco IOS

ソフト名:Cisco IOS 12.x/15.0/15.1
回避策:アップデートにて対応
脆弱性:DoS攻撃, 未特定のエラー, 不正パケット, デバイスのリロード
ソース:
CVE:CVE-2011-0944
危険性:Medium Risk

Cisco IOS, Cisco IOS XE

ソフト名:Cisco IOS 12.x/15.0/15.1, Cisco IOS XE 2.1.x〜2.6.x/3.1.x/3.2.x
回避策:3.3.2Sへのアップデートにて対応
脆弱性:DoS攻撃, 不正パケット, クラッシュ
ソース:
CVE:CVE-2011-3274, CVE-2011-3282
危険性:Medium Risk

Cisco IOS, Cisco IOS XE

ソフト名:Cisco IOS 15.1, Cisco IOS XE 2.1.x/2.2.x/2.3.x/2.4.x/2.5.x/2.6.x/3.1.x/3.2.x/3.3.x
回避策:アップデートにて対応
脆弱性:DoS攻撃, 不正パケット
ソース:
CVE:CVE-2011-3272
危険性:Medium Risk

Cisco IOS, Cisco IOS XE

ソフト名:Cisco IOS 12.x/15.0/15.1, Cisco IOS XE 3.1.x/3.2.x
回避策:アップデートにて対応
脆弱性:DoS攻撃, メモリリーク, メモリの浪費
ソース:
CVE:CVE-2011-0945
危険性:Medium Risk

Blogs MU

ソフト名:Blogs MU 1.2.9未満 (theme for BuddyPress)
回避策:アップデートにて対応
脆弱性:XSS, スクリプト挿入攻撃, 不正HTMLの挿入
ソース:
危険性:Medium Risk

Livetecs TimeLive

ソフト名:Livetecs TimeLive 4.2.1
回避策:未対応
脆弱性:機密情報の奪取, ディレクトリトラバーサル, ファイル内容の曝露
ソース:
危険性:Medium Risk

Norman Security Suite

ソフト名:Norman Security Suite 8.00
回避策:未対応
脆弱性:権限の昇格, カーネルメモリアクセス, ローカルコード実行
ソース:
危険性:Medium Risk

Oboinus

ソフト名:Oboinus 2.1
回避策:2.2へのアップデートにて対応
脆弱性:システムアクセス, リモートコマンドインジェクション, シェルコマンドの挿入
ソース:
危険性:Medium Risk

Plone, Zope

ソフト名:Plone 4.0〜4.0.9/4.1/4.2 a1/4.2 a2, Zope 2.12.x/2.13.x
回避策:未対応
脆弱性:システムアクセス, 不正リクエスト, 不明なエラー, リモートコマンド実行
ソース:
危険性:High Risk

Magtrb Soft Digital College

ソフト名:Magtrb Soft Digital College 1.1
回避策:未対応
脆弱性:システムアクセス, RFI
ソース:
危険性:High Risk

Novell SUSE Linux Enterprise Server

ソフト名:Novell SUSE Linux Enterprise Server (SLES) 10/11 (Quagga 0.99.19未満)
回避策:SUSE-SU-2011:1075-1にて対応
脆弱性:DoS攻撃, クラッシュ, アサーションエラー, バッファオーバーフロー
ソース:
CVE:CVE-2011-3323, CVE-2011-3324, CVE-2011-3325, CVE-2011-3326, CVE-2011-3327
危険性:Medium Risk

Vaadin

ソフト名:Vaadin 6.6.7未満
回避策:アップデートにて対応
脆弱性:XSS, 機密情報の奪取, スクリプト挿入攻撃, CSRF, ディレクトリトラバーサル, 不正HTTPのリクエスト, 不正アクションの実行, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

NCSS

ソフト名:NCSS 2007 07.1.21
回避策:未対応
脆弱性:システムアクセス, 配列インデックスエラー, リモートコード実行
ソース:
危険性:High Risk

Perl.org Perl

ソフト名:Perl.org Perl 5.x
回避策:5.14.2へのアップデートにて対応
脆弱性:DoS攻撃, システムアクセス, バッファオーバーフロー, リモートコード実行
ソース:
CVE:CVE-2011-2728, CVE-2011-2939
危険性:Medium Risk

Mozilla Firefox, Mozilla SeaMonkey, Mozilla Thunderbird, Red Hat Desktop, Red Hat Enterprise Linux, Canonical Ltd. Ubuntu Linux

ソフト名:Mozilla Firefox 3.6.23未満/6.x, Mozilla SeaMonkey 2.4未満, Mozilla Thunderbird 6.x, Red Hat Desktop 4.x, Red Hat Enterprise Linux AS 4/ES 4/WS 4/5 (Server)/Desktop 5/Desktop Workstation 5/Desktop 6/HPC Node 6/Server 6/Workstation 6, Canonical Ltd. Ubuntu Linux 10.04/10.10
回避策:アップデート, 7.0へのアップグレードにて対応, アップデートにて対応, 7.0へのアップグレードにて対応, RHSA-2011:1341-01, RHSA-2011:1342-01, RHSA-2011:1343-1, RHSA-2011:1344-1にて対応, USN-1210-1, USN-1213-1にて対応
脆弱性:セキュリティ制限の回避, システムアクセス, 不特定のエラー, メモリ破壊, XSS保護の回避, 不正アプリケーションのダウンロード, 不正アプリケーションの実行, バッファオーバーフロー, 不正プラグインのインストール, リモートコード実行, 解放後使用エラー, キーストロークの閲覧, レスポンス分割攻撃, 整数アンダーフローエラー
ソース:
CVE:CVE-2011-2372, CVE-2011-2995, CVE-2011-2996, CVE-2011-2997, CVE-2011-2998, CVE-2011-2999, CVE-2011-3000, CVE-2011-3001, CVE-2011-3002, CVE-2011-3003, CVE-2011-3004, CVE-2011-3005, CVE-2011-3232
危険性:High Risk

WordPress Mingle Forum Plugin

ソフト名:WordPress Mingle Forum Plugin 1.0.31
回避策:未対応
脆弱性:データ操作, SQLインジェクション
ソース:
危険性:Medium Risk

RTG Files Extension for TYPO3, dev/null robots.txt Extension for TYPO3, jQuery Colorbox Extension for TYPO3

ソフト名:RTG Files Extension for TYPO3 1.5.1以下, dev/null robots.txt Extension for TYPO3 1.0.2未満, jQuery Colorbox Extension for TYPO3 1.3.5以下
回避策:1.5.2へのアップデート, 1.0.2へのアップデート, 1.4.0へのアップデートTYPO3-EXT-SA-2011-012にて対応
脆弱性:データ操作, SQLインジェクション, XSS, 不正HTMLの実行, すっくスクリプトコード実行
ソース:
危険性:Medium Risk

FreeBSD

ソフト名:FreeBSD 7.1/8.1
回避策:あり
脆弱性:権限の昇格, バウンダリエラー, バッファオーバーフロー, ローカルコード実行
ソース:
危険性:Medium Risk

FreeBSD

ソフト名:FreeBSD 7.3/8.1 (X.Org libXfont 1.4.4未満)
回避策:あり
脆弱性:権限の昇格, バウンダリエラー, 不正フォントファイル, バッファオーバーフロー
ソース:
CVE:CVE-2011-2895
危険性:Medium Risk

Sterling Trader

ソフト名:Sterling Trader 7.0.2
回避策:未対応
脆弱性:システムアクセス, 整数オーバーフローエラー, バッファオーバーフロー, ローカルコード実行
ソース:
危険性:Medium Risk

Ayco Shop

ソフト名:Ayco Shop 1.0
回避策:未対応
脆弱性:データ操作, SQLインジェクション
ソース:
危険性:Medium Risk

Debian GNU/Linux

ソフト名:Debian GNU/Linux 6.0 (Sun Java)
回避策:DSA-2311-1にて対応
脆弱性:データ操作, 機密情報の奪取, DoS攻撃, システムアクセス, 整数オーバーフローエラー, メモリ破壊, リモートコード実行, 解放後使用エラー, リモートコマンド実行
ソース:
CVE:CVE-2011-0862, CVE-2011-0864, CVE-2011-0865, CVE-2011-0867, CVE-2011-0868, CVE-2011-0869, CVE-2011-0871
危険性:High Risk

ImpressPages CMS

ソフト名:ImpressPages CMS 1.0.12
回避策:1.0.13へのアップデートにて対応
脆弱性:システムアクセス, リモートコード実行, 不明なエラー
ソース:
危険性:High Risk

WordPress Multisite Global Search Plugin

ソフト名:WordPress Multisite Global Search Plugin 1.2.5
回避策:1.2.6へのアップデートにて対応
脆弱性:XSS, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

WordPress Simple Slide Show Plugin, WordPress Popular Posts Plugin

ソフト名:WordPress Simple Slide Show Plugin 1.0, WordPress Popular Posts Plugin 2.1.4 (TimThumb 1.34未満)
回避策:1.1へのアップデートにて対応, 2.1.5へのアップデートにて対応
脆弱性:システムアクセス, リモートファイルアップロード, PHPファイルのアップロード, PHPコード実行
ソース:
危険性:High Risk

Citrix Provisioning Services

ソフト名:Citrix Provisioning Services 5.6 SP1以下
回避策:あり
脆弱性:システムアクセス, 不明なエラー, 不正パケット, ローカルコード実行
ソース:
危険性:Medium Risk

Red Hat Fedora

ソフト名:Red Hat Fedora 14 (phpMyAdmin 3.4.0〜3.4.4)
回避策:FEDORA-2011-12918にて対応
脆弱性:XSS, スクリプト挿入攻撃, 不正HTMLの挿入
ソース:
危険性:Medium Risk

2011-09-28

Red Hat Fedora

ソフト名:Red Hat Fedora 14 (Nokia Qt 3.x/4.x)
回避策:FEDORA-2011-12145にて対応
脆弱性:DoS攻撃, システムアクセス, XSS, 過度に長い文字列, 不正ライブラリのロード, リモートコード実行, 不正フォントファイル, バッファオーバーフロー
ソース:
CVE:CVE-2011-3194
危険性:Medium Risk

AdaptCMS

ソフト名:AdaptCMS 2.0.1
回避策:未対応
脆弱性:セキュリティ制限の回避, XSS, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

Microsoft Windows

ソフト名:Microsoft Windows Server 2003 Datacenter Edition/Server 2003 Enterprise Edition/Server 2003 Standard Edition/Server 2003 Web Edition/Storage Server 2003/XP Home Edition/XP Professional/Vista/Server 2008/7
回避策:KB2588513にて対応
脆弱性:セッションの乗っ取り, 機密情報の奪取, SSL脆弱性, TLS脆弱性, マンインミドル攻撃
ソース:
CVE:CVE-2011-3389
危険性:Low Risk

Freetag

ソフト名:Freetag 3.29 (plugin for Serendipity)
回避策:3.32以降へのアップデートにて対応
脆弱性:XSS, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

Flynax Auto Classifieds, Flynax General Classifieds, Flynax Pets Classifieds, Flynax Real Estate Classifieds

ソフト名:Flynax Auto Classifieds 3.2, Flynax General Classifieds 3.2, Flynax Pets Classifieds 3.2, Flynax Real Estate Classifieds 3.2
回避策:あり
脆弱性:データ操作, SQLインジェクション
ソース:
危険性:Medium Risk

Novell GroupWise

ソフト名:Novell GroupWise 8.0.2 HP2 (Oracle Outside In Technology 8.3.2.0/8.3.5.0)
回避策:8.02 Hot Patch 3以降へのアップデートにて対応
脆弱性:XSS, DoS攻撃, システムアクセス, スクリプト挿入攻撃, 整数切り捨てエラー, バッファオーバーフロー, リモートコード実行, バウンダリエラー, 不正HTMLの挿入, 不特定のエラー, クラッシュ
ソース:
CVE:CVE-2010-4325, CVE-2011-0333, CVE-2011-0334, CVE-2011-2218, CVE-2011-2219, CVE-2011-2661, CVE-2011-2662, CVE-2011-2663
危険性:High Risk

Quagga

ソフト名:Quagga 0.99.19未満
回避策:アップデートにて対応
脆弱性:DoS攻撃, クラッシュ, アサーションエラー, バッファオーバーフロー
ソース:
CVE:CVE-2011-3323, CVE-2011-3324, CVE-2011-3325, CVE-2011-3326, CVE-2011-3327
危険性:Medium Risk

Canonical Ltd. Ubuntu Linux

ソフト名:Canonical Ltd. Ubuntu Linux 10.04 (Kernel.org Linux Kernel 2.6.x)
回避策:USN-1216-1にて対応
脆弱性:セキュリティ制限の回避, 機密情報の奪取, 権限の昇格, DoS攻撃, システムアクセス, カーネルスタックメモリの曝露, プロセス設定の操作, 不正パケット, メモリの浪費, メモリ破壊, メモリリーク, クラッシュ, イベントオーバーフローエラー, 不正アプリケーション
ソース:
CVE:CVE-2010-4076, CVE-2010-4077, CVE-2010-4251, CVE-2010-4805, CVE-2011-1020, CVE-2011-1493, CVE-2011-1577, CVE-2011-2213, CVE-2011-2484, CVE-2011-2492, CVE-2011-2700, CVE-2011-2723, CVE-2011-2918
危険性:Medium Risk

Atlassian JIRA

ソフト名:Atlassian JIRA 4.1.x〜4.3.x
回避策:4.4へのアップデートにて対応
脆弱性:XSS, スクリプト挿入攻撃, 不正HTMLの実行, 不正HTMLの挿入, スクリプトコード実行
ソース:
危険性:Medium Risk

SonicWALL ViewPoint

ソフト名:SonicWALL ViewPoint 6.0 SP2
回避策:DTS reference number 104767にて対応
脆弱性:XSS, スクリプト挿入攻撃, 不正HTMLの実行, 不正HTMLの挿入, スクリプトコード実行
ソース:
危険性:Medium Risk

2011-09-27

JAKCMS

ソフト名:JAKCMS 2.2.6
回避策:未対応
脆弱性:セキュリティ制限の回避, システムアクセス, リモートファイルアップロード, PHPコード実行
ソース:
危険性:High Risk

IceWarp Mail Server

ソフト名:IceWarp Mail Server 10.3.2
回避策:アップデートにて対応
脆弱性:機密情報の奪取, ファイル内容の曝露
ソース:
危険性:Medium Risk

Barracuda IM Firewall

ソフト名:Barracuda IM Firewall 620 firmware version 4.2.01.004
回避策:あり
脆弱性:XSS, スクリプト挿入攻撃, 不正HTMLの挿入, 不正HTMLの実行, スクリプトコード実行
ソース:
危険性:Medium Risk

IBM WebSphere Application Server

ソフト名:IBM WebSphere Application Server 8.0.0.1未満
回避策:アップデート, PM36734にて対応
脆弱性:XSS, CSRF, 不正HTTPのリクエスト, 不正アクションの実行
ソース:
危険性:Medium Risk

Red Hat Fedora

ソフト名:Red Hat Fedora 14 (Cherokee 1.2.98)
回避策:FEDORA-2011-12687にて対応
脆弱性:XSS, ブルートフォース攻撃, CSRF, 不正HTTPのリクエスト, 不正アクションの実行, 不正サイトへの誘導
ソース:
CVE:CVE-2011-2190, CVE-2011-2191
危険性:Medium Risk