Subscribe: JVNRSS Feed - JP
http://jvn.doi.ics.keio.ac.jp/rss/jvnJPRSS.rdf
Preview: JVNRSS Feed - JP

JVNRSS Feed - JP



JP Vendor Status Notes - JP



Published: 2006-01-21T14:45+09:00

 



Eudora 日本語版が使用できなくなる脆弱性

2006-01-17T10:00+09:00

米国 QUALCOMM 社により提供され、株式会社ライブドアにより販売されているメールソフト Eudora 日本語版には、破損した画像ファイルを含むメールをプレビューすることにより、Eudora 日本語版が停止し使用できなくなる脆弱性が存在します。



長崎県電子県庁システムにおける認証処理に関する脆弱性

2006-01-13T20:00+09:00

長崎県が開発し、オープンソースとして公開されている電子県庁システムの一部には、認証処理に脆弱性が存在します。詳しくは、JVN をご覧ください。



長崎県電子県庁システムにおける認証情報に関する脆弱性

2006-01-13T20:00+09:00

長崎県が開発し、オープンソースとして公開されている電子県庁システムの一部には認証情報がハードコードされており、遠隔の第三者が正規ユーザになりすます可能性があります。詳しくは、JVN をご覧ください。



BBSNote におけるクロスサイトスクリプティングの脆弱性

2005-12-27T12:00+09:00

BBSNote は CGI 掲示板スクリプトです。BBSNote には、CGI 引数の取り扱いに問題があるため、クロスサイトスクリプティングの脆弱性があります。詳しくは、JVN をご覧ください。



WebNote Clip における OS コマンドインジェクションの脆弱性

2005-12-20T12:00+09:00

WebNote Clip は伝言板、カレンダー、レポート、日記などの記入式のページを作成することができる CGI です。WebNote Clip には、入力内容の検査が適正に行われないことによる、OS コマンドインジェクションの脆弱性が存在します。 詳しくは、JVN をご覧ください。



mod_imap におけるクロスサイトスクリプティングの脆弱性

2005-12-16T16:00+09:00

Apache HTTP Server の「mod_imap」「mod_imagemap」は、サーバサイドイメージマップ処理を行うためのモジュールです。mod_imap と mod_imagemap には、HTTP_REFERER の取り扱いが適切でないために、イメージマップ中の指定で referer を値として使用している場合、クロスサイトスクリプティングの脆弱性があります。詳しくは、JVN をご覧ください。



Opera におけるブックマーク機能に関する脆弱性

2005-12-14T18:00+09:00

Opera Software ASA 社が提供しているブラウザ Opera には、細工されたウェブページをブックマークへ登録することにより、次回起動時から異常終了する脆弱性が存在します。詳しくは、JVN をご覧ください。



富士通製 Java Runtime Environment のリフレクション API に関する脆弱性

2005-12-13T17:00+09:00

Java アプレットが Java Runtime Environment に含まれるリフレクション API を使用することによって、セキュリティ設定を無視して、許可されている以上の権限で実行される可能性があります。この問題は Sun Microsystems から Java Runtime Environment の問題として報告されていますが、それをベースに改変を行なった富士通製のものにも同様の問題があることが報告されました。詳しくは、JVN をご覧ください。



携帯電話の Web ブラウザにおける referer ヘッダの扱いに関する問題

2005-12-09T21:00+09:00

携帯電話によるインターネット接続サービスのブラウザとして使われている Openwave Systems 社の製品には、ある特定の状況において、referer 情報の送信機能に不具合があることが確認されています。この問題は KDDI 株式会社の携帯電話サービスである au の端末について報告されました。KDDI 株式会社では、RFC2616 記載の仕様に反する挙動を示す不具合であるとして、対策情報が公開されています。JVN では製品開発者との調整のうえ、ユーザへの周知を目的として、この問題を掲載しています。 詳しくは、JVN をご覧ください。



MitakeSearch におけるクロスサイトスクリプティングの脆弱性

2005-12-05T12:00+09:00

MitakeSearch は、日本ヒューレット・パッカードによる全文検索システムです。MitakeSearch には、ランキング CGI スクリプトファイル ranking.pl の入力文字列の検査処理が適正に行われないことによる、クロスサイトスクリプティングの脆弱性が存在します。詳しくは、JVN をご覧ください。



FreeStyleWiki にクロスサイトスクリプティングを含む複数の脆弱性

2005-12-06T09:00+09:00

FreeStyleWiki には、クロスサイトスクリプティングの脆弱性と、クロスサイト・リクエスト・フォージェリの脆弱性が存在します。クロスサイトスクリプティングの脆弱性により、遠隔の第三者に不正なスクリプトを含むページを作成される可能性があります。また、クロスサイト・リクエスト・フォージェリの脆弱性により、巧妙に細工されたページを FreeStyleWiki の管理者が閲覧した場合、意図しないユーザ管理操作を実行させられる可能性があります。詳しくは、JVN をご覧ください。



HTTPD-User-Manage におけるクロスサイトスクリプティングの脆弱性

2005-11-17T09:00+09:00

HTTPD-User-Manage は、ウェブサーバのユーザ認証情報の操作のための Perl モジュールです。HTTPD-User-Manage には、CGI で入力文字列の検査処理が適正に行われないことによる、クロスサイトスクリプティングの脆弱性が存在します。詳しくは、JVN をご覧ください。



Kent Web PostMail におけるメール第三者中継の脆弱性

2005-11-11T16:30+09:00

ウェブ上からメール送信することができるフォームメール Kent Web PostMailには、入力内容のチェック不足により、メールの第三者中継につながる脆弱性が存在します。詳しくは、JVN をご覧ください。



Hyper Estraier におけるディレクトリトラバーサル/サービス不能の脆弱性

2005-10-28T15:00+09:00

全文検索システムの Hyper Estraier には、インデックスファイルを作成する処理に脆弱性が存在します。詳しくは、JVN をご覧ください。



XOOPS におけるクロスサイトスクリプティングの脆弱性

2005-10-26T14:30+09:00

XOOPS 本体およびフォーラムモジュールには、プライベートメッセージの処理やフォーラム閲覧の処理に関する複数の脆弱性が存在します。詳しくは、JVN をご覧ください。



eBASEweb における SQL インジェクションの脆弱性

2005-10-21T14:00+09:00

eBASE 社のデータ管理ソフトウェア eBASE シリーズのなかのオプション製品 eBASEweb には、ユーザから入力されるデータのサニタイズが不完全なため、SQL インジェクションが可能となる脆弱性が存在します。詳しくは、JVN をご覧ください。



OpenSSL におけるバージョン・ロールバックの脆弱性

2006-01-18T17:30+09:00

OpenSSL Project より提供されている OpenSSL には、バージョン・ロールバックが可能な脆弱性が存在します。OpenSSL を利用したサーバで特定のオプションを使用した場合、通信経路上で通信内容に細工を施されることにより、TLS1.0 による接続を要求しても強制的に SSL 2.0 の接続に変更される可能性があります。詳しくは、JVN をご覧ください。



Tomcat におけるリクエスト処理に関する脆弱性

2005-11-16T16:00+09:00

Java Servlet と JavaServer Pages のサーバ実装である Apache Tomcat には、特定のリクエストが適切に処理されない脆弱性が存在します。対策情報などの追加情報を掲載しました。さらに、IPAがパッチの配布を開始しました。詳しくは、JVN をご覧ください。



WirelessIP5000 に複数の脆弱性

2005-10-07T10:00+09:00

日立電線製のワイヤレス IP 電話機、WirelessIP5000 には複数の脆弱性が存在します。詳しくは、JVN をご覧ください。



複数のウェブブラウザにおいてリクエスト分割攻撃が可能な脆弱性

2005-11-10T14:30+09:00

複数のウェブブラウザにおいて、XmlHttpRequest オブジェクトの処理に脆弱性が存在します。JavaScript で使用できる XmlHttpRequest オブジェクトは、ウェブページの再読込無しに、サーバと通信を行うための機能を提供します。詳しくは JVN をご覧ください。



unicode 版 msearch におけるクロスサイトスクリプティングの脆弱性

2005-11-25T15:30+09:00

ウェブページ内全文検索エンジンである Unicode 版 msearch には、クロスサイトスクリプティングの脆弱性が存在します。なお、この問題は Unicode 版 msearch において機能追加した部分に起因するものです。詳しくは JVN をご覧ください。



Ruby においてセーフレベル 4 がサンドボックスとして機能しない脆弱性

2005-10-06T09:30+09:00

Ruby 言語には、信頼できないオブジェクトの操作を制限することができるセキュリティ機構(セキュリティモデル)が備わっています。そのセキュリティモデルは、「オブジェクトの汚染」と「セーフレベル」という仕組みによって成り立っています。その「セーフレベル」の設定を回避して、任意のスクリプト実行が可能な脆弱性が確認されています。詳しくは JVN をご覧ください。



Webmin および Usermin における認証回避の脆弱性

2005-10-18T12:30+09:00

ウェブベースの UNIX 用システム管理ツールである Webmin および Usermin には、PAM 認証を利用している場合、遠隔の第三者が、Webmin および Usermin の認証を回避できる脆弱性があります。詳しくは JVN をご覧ください。



ハイパー日記システムにおけるクロスサイト・リクエスト・フォージェリの脆弱性

2005-09-01T14:00+09:00

ハイパー日記システム・プロジェクトにより提供されている Web 日記作成支援ソフトウェアである ハイパー日記システム (hns) には、クロスサイト・リクエスト・フォージェリ (Cross site Request Forgeries, CSRF) が可能な脆弱性が存在します。 詳しくは JVN をご覧ください。



FreeStyleWiki におけるコマンドインジェクションの脆弱性

2005-08-29T12:00+09:00

FreeStyleWiki には、Web 上のページ管理画面において、コマンドインジェクションの脆弱性が存在します。詳しくは JVN をご覧ください。



Pochy におけるサービス運用妨害 (DoS) の脆弱性

2005-08-30T13:30+09:00

Microsoft Windows 環境で動作する電子メールクライアントソフト Pochy は、特定の文字列を受信した場合に、CPU 負荷が高いまま処理が停止し、サービス運用妨害 (DoS) 状態になる問題があります。詳しくは JVN をご覧ください。



Common Management Agent 3.x における情報漏えいの脆弱性

2005-08-24T12:00+09:00

ePolicy Orchestrator および ProtectionPilot で使用されている Common Management Agent には、ディレクトリのアクセス権設定に問題があり、ファイルの一覧を取得されたり、ファイルを閲覧される可能性があります。詳しくは JVN をご覧ください。



Hiki におけるクロスサイトスクリプティングの脆弱性

2005-09-08T18:00+09:00

Hiki 開発チームにより提供されている Wiki クローンの Hiki には、クロスサイトスクリプティングの脆弱性が存在します。詳しくは JVN をご覧ください。



QRcode Perl CGI & PHP scripts におけるサービス運用妨害の脆弱性

2005-07-28T10:30+09:00

QR コードの画像を作成するためのツール QRcode Perl CGI & PHP scripts には、サーバ上のリソースを過剰に消費してしまう脆弱性が存在します。詳しくは JVN をご覧ください。



tDiary におけるクロスサイト・リクエスト・フォージェリの脆弱性

2005-08-10T11:30+09:00

tDiary 開発プロジェクトにより提供されている Web 日記支援ソフト tDiary には、クロスサイト・リクエスト・フォージェリ (Cross Site Request Forgeries, CSRF)が可能な脆弱性が存在します。詳しくは JVN をご覧ください。



Java Cryptography Extension 1.2.1(JCE 1.2.1)の証明書の期限切れで 2005/07/28 以降ソフトウエアが正常に動作しなくなる問題(*1)

2005-10-20T19:00+09:00

Java 暗号化拡張機能である Java Cryptography Extension 1.2.1(以下、JCE 1.2.1)内の jar ファイルを署名する際に用いた証明書が 2005/07/28 に期限切れとなります。JCE 1.2.1 では、証明書の有効期限が切れた際のプログラムの動作を制限しており、結果として JCE 1.2.1 の特定のメソッドが正しく動作しなくなり、JCE を使用するアプリケーションが起動しないなどの問題が発生する可能性があります。詳しくは JVN をご覧ください。



Internet Explorer コンポーネントを使用するアプリケーションにおけるセキュリティゾーンの扱いに関する脆弱性

2005-10-28T10:00+09:00

Internet Explorer (以降 IE と表記) コンポーネントでは、表示対象となる Web コンテンツが置かれている場所(ゾーン)に応じて Web コンテンツの処理に異なるセキュリティレベルが適用されます。これにより、インターネット上の Web コンテンツには、「イントラネット」ゾーンにある Web コンテンツより高いセキュリティレベルが設定されている「インターネット」ゾーンで表示されます。しかし、IE コンポーネントを使ったいくつかのアプリケーションは不適切なゾーンで Web コンテンツの処理を行うことが確認されています。詳しくは JVN をご覧ください。



SFS におけるクロスサイトスクリプティングの脆弱性

2005-06-10T12:00+09:00

財団法人ニューメディア開発協会が提供するサーバ型フィルタリングシステム SFS (Server-type Filtering System) には、クロスサイトスクリプティング脆弱性が存在します。詳しくは JVN をご覧ください。



desknet's におけるクロスサイトスクリプティングの脆弱性

2005-06-07T12:00+09:00

ユーザが、悪意のあるスクリプトを含んだ HTML メールを参照した場合に、スクリプトが実行される可能性があります。詳しくは JVN をご覧ください。



メールクライアントソフトにおける mailto URL scheme の不適切な解釈

2005-10-04T17:00+09:00

mailto URL scheme は、ウェブページにおいてメールアドレスを記載するために使われます。mailto URL scheme については RFC2368 で定義されていますが、この文書の "Security Considerations" セクションにおいて、様々な指摘がなされています。一方、いくつかのメールクライアント実装では、メール配送に関係するヘッダを mailto URL scheme の記述に基づいて設定したり、設定したヘッダを明示的に表示しないことが確認されています。詳しくは JVN をご覧ください。



Wiki クローンにおけるクロスサイトスクリプティングの脆弱性

2005-10-13T14:00+09:00

複数の Wiki クローン実装のファイル添付機能において、クロスサイトスクリプティングにつながる脆弱性が存在します。これにより、Wiki 利用者のブラウザ上で任意のスクリプトが実行される可能性があります。詳しくは JVN をご覧ください。



「ウイルスセキュリティ」におけるメモリリークの脆弱性

2005-05-20T15:00+09:00

ソースネクスト「ウイルスセキュリティ」には、メールの処理に問題があります。特別に細工されており、かつ、「ウイルスセキュリティ」で検知可能なウイルスが添付されているメールを受信した際にメモリリークする脆弱性が確認されています。詳しくは JVN をご覧ください。



「ウイルスセキュリティ」におけるヒープオーバーフローの脆弱性

2005-05-20T15:00+09:00

ソースネクスト「ウイルスセキュリティ」には、メールの処理に問題があり、特別に細工されたメールを受信した際にヒープオーバーフローする脆弱性が確認されています。詳しくは JVN をご覧ください。



Movable Type におけるセッション管理の脆弱性

2005-05-12T15:00+09:00

ウェブログ・システム Movable Type には脆弱性があり、第三者に不正アクセスされる可能性があります。詳しくは JVN をご覧ください。



nProtect : Netizen に複数の脆弱性

2005-04-25T19:00+09:00

nProtect : Netizen には複数の脆弱性が存在します。詳しくは JVN をご覧ください。



WebUD における任意のプログラムが実行される脆弱性

2005-10-04T17:00+09:00

ウェブ・アクセシビリティ支援ツール WebUD には、WebUD 上で自動実行される部品にセキュリティ上の脆弱性が存在し、悪意のあるサイトにアクセスした際に任意のプログラムが実行される可能性があります。詳しくは JVN をご覧ください。



w3ml におけるクロスサイトスクリプティングの脆弱性

2005-04-19T17:30+09:00

メーリングリストのログをウェブ上に表示するプログラム w3ml には、クロスサイトスクリプティング脆弱性が存在します。 詳しくは JVN をご覧ください。



バッファロー製ルータにおける設定画面のリモートアクセスとパスワード漏洩の脆弱性

2005-05-24T16:30+09:00

バッファロー製ルータの一部には、 WAN 側からのリモートアクセスが可能な脆弱性が存在するため、遠隔から第三者により管理者権限を取得され、ルータを操作されてしまう可能性があります。また、管理画面のアクセスにより、設定保存機能から ISP のユーザアカウントやパスワードを取得されてしまう可能性があります。詳しくは JVN をご覧ください。



携帯電話端末における特定 QR コードを使用したサイト接続時の問題

2005-04-18T12:30+09:00

2次元コード (QRコード) 読みとり機能を搭載している携帯電話端末において、特定の QR コードを読み込んだ際に、2行表示される文字列(URL 等)の1行目に接続しようとすると、2行目の URL に接続する問題が確認されています。詳しくは JVN をご覧ください。



ppBlog におけるクロスサイトスクリプティングの脆弱性

2005-04-18T19:00+09:00

PHPで記述されたウェブログプログラム ppBlog の検索フォームに、クロスサイトスクリプティングの脆弱性が確認されています。詳しくは JVN をご覧ください。



Norton AntiVirus でネットワーク共有ファイルの編集時に OS 異常終了

2005-04-04T20:00+09:00

Symantec Norton AntiVirus 2005 の「Which file types to scan forviruses」セクションを SmartScan に設定しているコンピュータにおいて、ネットワーク上の共有フォルダ内にあるファイルを編集する際に、OS が異常終了する脆弱性が確認されています。詳しくは JVN をご覧ください。



Norton AntiVirus で不正なファイルのスキャン時に OS 異常終了

2005-04-04T20:00+09:00

Symantec Norton AntiVirus 2004 および 2005 のリアルタイムスキャンが有効なコンピュータにおいて、ファイルヘッダが不正に細工されたファイルを操作することにより、OS が異常終了する脆弱性が確認されています。詳しくは JVN をご覧ください。



McAfeeウイルススキャンエンジンにバッファオーバーフローの脆弱性

2005-04-18T12:00+09:00

McAfeeウイルススキャンエンジンにバッファオーバーフローの脆弱性が確認されています。詳しくは JVN をご覧ください。



Tomcat におけるサービス拒否の脆弱性

2005-10-04T17:00+09:00

Apache Tomcat には遠隔から第三者によってサービス不能 (Denial-of-Service, DoS) 状態を引き起こされる脆弱性が確認されています。詳しくは JVN をご覧ください。



msearch におけるディレクトリトラバーサルの脆弱性

2005-03-16T11:00+09:00

ウェブページ内全文検索エンジン msearch は、Windows および Linux のサーバーにおいて、ディレクトリトラバーサルの脆弱性が確認されています。詳しくは JVN をご覧ください。



サイボウズ Office におけるブラウザスクリプト実行の脆弱性

2005-04-21T15:00+09:00

サイボウズ Office には、HTML 対応 Web メール機能においてブラウザスクリプトが実行される可能性があります。詳しくは JVN をご覧ください。



LDAP サーバの更新機能におけるバッファオーバーフローの脆弱性

2005-10-04T17:00+09:00

一部の LDAP サーバにおいて、更新処理におけるバッファオーバーフローの脆弱性が確認されています。詳しくは JVN をご覧ください。



Shuriken Pro3 のS/MIME機能で署名検証時に証明書の真正性が確認されない

2004-12-22T12:05+09:00

Shuriken Pro3におけるS/MIMEの署名検証部分に脆弱性が確認されています。詳しくは JVN をご覧ください。



Namazu におけるクロスサイトスクリプティングの脆弱性

2004-12-15T10:00+09:00

namazu.cgi の検索文字列指定で、不正な文字を指定することにより後続部分の文字が正しく処理されず、クロスサイトスクリプティングの脆弱性が発生します。詳しくは JVN をご覧ください。



Shuriken Pro3 のS/MIME機能で署名検証時にFromアドレスが確認されない

2004-12-21T11:00+09:00

Shuriken Pro3におけるS/MIMEの署名検証にFromアドレスが確認されない脆弱性が確認されています。詳しくは JVN をご覧ください。



Becky! Internet Mail におけるS/MIME の署名検証に脆弱性

2004-11-25T09:00+09:00

Becky! Internet Mail におけるS/MIMEの署名検証にいくつかの脆弱性が確認されています。詳しくは JVN をご覧ください。



鶴亀メールにおけるS/MIMEの署名検証に脆弱性

2005-08-16T14:00+09:00

鶴亀メールにおけるS/MIMEの署名検証に以下の脆弱性が確認されています。詳しくは JVN をご覧ください。



DNSキャッシュサーバのTCP SYN_SENT 状態によるリソース消費

2005-10-04T17:00+09:00

DNSキャッシュサーバと権威のある(Authoritative)サーバ間において、DNSキャッシュサーバにおいてSYN_SENT状態(タイムアウト待ち)が発生する可能性があります。発生条件、手順などの詳細な情報については、JVN をご覧ください。



東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能

2004-10-15T20:00+09:00

東芝製HDD&DVDビデオレコーダーへ認証なしでアクセス可能であることが確認されています。詳しくは JVN をご覧ください。



SSL-VPN製品におけるCookieの脆弱性

2005-10-04T17:00+09:00

SSL-VPN製品で、SSLのクライアント認証を使用せずに、ユーザ名とパスワードでログインするモードを使用している場合にセッションハイジャックされる可能性があります。詳しくは JVN をご覧ください。



desknet's に脆弱性(JVN#89DE2014の情報を追加)

2004-11-16T17:00+09:00

ユーザが、悪意のあるスクリプトを含んだHTMLメールやインフォメーションを参照した場合に、スクリプトが実行される可能性があります。その他、追加情報もあります。詳しくは JVN をご覧ください。



ウイルスバスター コーポレートエディション に脆弱性

2004-10-15T20:00+09:00

ウイルスバスター コーポレートエディションの管理コンソールから特定のURLを指定すると設定ファイルを閲覧できることが確認されています。詳しくは JVN をご覧ください。