JPCERT-WR-2008-3402 2008-09-03 2008-08-24 2008-08-30

Japan Vulnerability Notes JVN#27417220 http://jvn.jp/jp/JVN27417220/index.html

アクアガーデンソフトの mysql-lists には、クロスサイトスクリプティ ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ ザ上で任意のスクリプトを実行する可能性があります。 対象となるバージョンは以下の通りです。 - mysql-lists ver1.2 およびそれ以前 この問題は、アクアガーデンソフトが提供する修正済みのバージョンに mysql-lists を更新することで解決します。

アクアガーデンソフト http://aqua.sun.ddns.vc/free/php_script/mysql.html

Japan Vulnerability Notes JVN#84125369 http://jvn.jp/jp/JVN84125369/index.html Japan Vulnerability Notes JVN#03859837 http://jvn.jp/jp/JVN03859837/index.html

R-ONE コンピューターの Blogn(ぶろぐん) には、複数の脆弱性があり ます。結果として、遠隔の第三者が細工した Web ページを当該製品に ログインしたユーザに読み込ませることで Blogn(ぶろぐん) のコンテ ンツを編集したり、ユーザのブラウザ上で任意のスクリプトを実行した りする可能性があります。 対象となるバージョンは以下の通りです。 - Blogn(ぶろぐん) v1.9.7 およびそれ以前 この問題は、R-ONE コンピューターが提供する修正済みのバージョンに Blogn(ぶろぐん) を更新することで解決します。

R-ONE コンピューター http://www.blogn.org/index.php?e=172

US-CERT Vulnerability Note VU#914785 http://www.kb.cert.org/vuls/id/914785

SoftArtisans の XFile FileManager ActiveX コントロールには、バッ ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が 細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを 実行する可能性があります。 対象となるバージョンは以下の通りです。 - XFile 2.4.0 より前のバージョン この問題は、SoftArtisans が提供する修正済みのバージョンに XFile を更新することで解決します。

SoftArtisans http://support.softartisans.com/Support-114.aspx

DNSSEC とは、公開鍵暗号技術を利用して DNS データに署名を行い、 DNS データ提供元の正当性を確認したり DNS データの改竄を検知でき るようにする仕組みです。もともとの DNS プロトコルにはこのような 仕組みがなく、キャッシュポイズニングなどの危険性が指摘されていま す。今年 7月には効率的にキャッシュポイズニングを行なう手法が公開 されて大きな話題になりました。 近年、DNSSEC に対応した実装は増えていますが、実環境における普及 はまだ進んでいません。実運用における問題点もいくつか指摘されてお り、プロトコルレベルでの改良も進められています。 JPNIC http://www.nic.ad.jp/ja/basics/terms/dnssec.html DNSSEC: DNS Security Extensions http://www.dnssec.net/