JPCERT-WR-2008-3402
2008-09-03
2008-08-24
2008-08-30
アクアガーデンソフト製 mysql-lists にクロスサイトスクリプティングの脆弱性
アクアガーデンソフトの mysql-lists には、クロスサイトスクリプティ
ングの脆弱性があります。結果として、遠隔の第三者がユーザのブラウ
ザ上で任意のスクリプトを実行する可能性があります。
対象となるバージョンは以下の通りです。
- mysql-lists ver1.2 およびそれ以前
この問題は、アクアガーデンソフトが提供する修正済みのバージョンに
mysql-lists を更新することで解決します。
アクアガーデンソフト
MySQLを使ったPHPスクリプト 配布コーナー
http://aqua.sun.ddns.vc/free/php_script/mysql.html
Blogn(ぶろぐん) に複数の脆弱性
R-ONE コンピューターの Blogn(ぶろぐん) には、複数の脆弱性があり
ます。結果として、遠隔の第三者が細工した Web ページを当該製品に
ログインしたユーザに読み込ませることで Blogn(ぶろぐん) のコンテ
ンツを編集したり、ユーザのブラウザ上で任意のスクリプトを実行した
りする可能性があります。
対象となるバージョンは以下の通りです。
- Blogn(ぶろぐん) v1.9.7 およびそれ以前
この問題は、R-ONE コンピューターが提供する修正済みのバージョンに
Blogn(ぶろぐん) を更新することで解決します。
R-ONE コンピューター
Blogn(ぶろぐん)にCSS脆弱性及びCSRF脆弱性が発見されました。
http://www.blogn.org/index.php?e=172
SoftArtisans の XFile FileManager ActiveX コントロールにバッファオーバーフローの脆弱性
SoftArtisans の XFile FileManager ActiveX コントロールには、バッ
ファオーバーフローの脆弱性があります。結果として、遠隔の第三者が
細工した HTML 文書を閲覧させることでユーザの権限で任意のコードを
実行する可能性があります。
対象となるバージョンは以下の通りです。
- XFile 2.4.0 より前のバージョン
この問題は、SoftArtisans が提供する修正済みのバージョンに XFile
を更新することで解決します。
SoftArtisans
XFile Version Differences
http://support.softartisans.com/Support-114.aspx
DNSSEC (Domain Name System Security Extensions)
DNSSEC とは、公開鍵暗号技術を利用して DNS データに署名を行い、
DNS データ提供元の正当性を確認したり DNS データの改竄を検知でき
るようにする仕組みです。もともとの DNS プロトコルにはこのような
仕組みがなく、キャッシュポイズニングなどの危険性が指摘されていま
す。今年 7月には効率的にキャッシュポイズニングを行なう手法が公開
されて大きな話題になりました。
近年、DNSSEC に対応した実装は増えていますが、実環境における普及
はまだ進んでいません。実運用における問題点もいくつか指摘されてお
り、プロトコルレベルでの改良も進められています。
JPNIC
インターネット用語1分解説〜DNSSECとは〜
http://www.nic.ad.jp/ja/basics/terms/dnssec.html
DNSSEC: DNS Security Extensions
http://www.dnssec.net/