JVNVU#723755: Wi-Fi Protected Setup に脆弱性Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、脆弱性が存在します。 Wi-Fi Protected Setup (WPS) の PIN 認証の仕様には、ブルートフォース攻撃が容易になる問題が存在します。 また、複数の無線ルータにおいては、ブルートフォース攻撃に対応する機能がないため、攻撃がさらに容易になっています。 (2012年1月6日 - 追記) JPCERT/CC では、攻撃ツールが公開されていることを確認しています。
JVNVU#545953: 複数のアンチウィルス製品に脆弱性
複数のアンチウィルス製品が影響を受ける可能性があります。 詳しくは各ベンダおよび CERT-FI が提供する情報をご確認ください。
JVNVU#568153: Adobe Reader および Acrobat の JPX データ処理における複数の脆弱性
Adobe Reader および Acrobat には、JPX データの処理において複数の脆弱性が存在します。 Adobe Reader および Acrobat (Pro, Pro Extended, and Standard) version 9.1.1 およびそれ以前 Adobe Reader および Acrobat (Pro, 3D, and Standard) version 8.1.5 およびそれ以前 Adobe Reader および Acrobat (Pro, 3D, and Standard) version 7.1.2 およびそれ以前 Adobe Reader および Acrobat は、Portable Document Format (PDF) ドキュメントを閲覧および編集するためのソフトウェアです。また、ウェブブラウザにおいて PDF ドキュメントを閲覧するためのプラ
JVNTA09-161A: Adobe Reader および Acrobat における脆弱性
Adobe Reader および Acrobat (Pro, Pro Extended, and Standard) version 9.1.1 およびそれ以前 Adobe Reader および Acrobat (Pro, 3D, and Standard) version 8.1.5 およびそれ以前 Adobe Reader および Acrobat (Pro, 3D, and Standard) version 7.1.2 およびそれ以前
CPNI-957037: SSH 通信において一部データが漏えいする可能性
SSH(Secure Shell)は、ネットワークを介してインターネット上に置かれているサーバにログインしたり、 コマンドを実行したりするためのプログラムおよび通信プロトコルで、データは暗号化された状態で通信が行なわれます。 SSH で使用される通信方式の一部に対する攻撃方法が報告されています。 報告された攻撃方法では、SSH がデフォルトで使用する通信方式において、ひとつの暗号化ブロックから 32 ビットの平文を取り出すことができるとされています。 この攻撃が行なわれると、SSH セッションが切れることがあります。RFC 4251 では、通信エラーが発生した際再接続すべきとされているため、自動的に再接続する実装の場合、攻撃による影響が大きくなる可能性があります。
JVNVU#800113: 複数の DNS 実装にキャッシュポイズニングの脆弱性
最近の研究で、いままでに知られているよりも効率的にキャッシュポイズニングを行う手法が見つかっています。 DNSキャッシュサーバが対象になるとともに、PCなども攻撃対象になる可能性があることに注意してください。 キャッシュポイズニング攻撃は、偽造したresponseパケットを送り込むことにより行われます。query パケットの送信元ポートを query ごとにランダムに変更することにより、キャッシュポイズニング攻撃が成功する確率を小さくすることができます。 キャッシュポイズニング攻撃によりDNSキャッシュサーバに偽のDNS情報をキャッシュさせることができ、そのDNSキャッシュサーバを使っているノードが、偽のサイトに誘導される可能性があります。 パッチを適用する お使いの製品ベンダから提供されているパッチを適用してください。 サーバ製品だけでなく、ネームサーバに query を投げる側のノード
JVNVU#265123: ジャストシステム製品に任意のコードが実行される脆弱性
ジャストシステムが提供する複数の製品には、細工されたファイルを開くことによって任意のコードが実行される脆弱性が存在します。また、この脆弱性を悪用したマルウェア (Trojan.Tarodrop.F) がアンチウィルスベンダによって確認されています。 遠隔の第三者によって細工されたファイルをユーザが開いたり、ウェブブラウザ経由で閲覧することによって影響を受ける製品を実行しているユーザの権限で任意のコードが実行される可能性があります。
JVN#80057925: Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性
JVN#80057925 Apache HTTP Server の mod_imap および mod_imagemap におけるクロスサイトスクリプティングの脆弱性 The Apache Software Foundation が提供する Apache HTTP Server の mod_imap および mod_imagemap には、クロスサイトスクリプティングの脆弱性が存在します。 Apache HTTP Server 2.2.6 およびそれ以前 Apache HTTP Server 2.0.61 およびそれ以前 Apache HTTP Server 1.3.39 およびそれ以前 詳しくはベンダが提供する情報をご確認ください。 The Apache Software Foundation が提供する Apache HTTP Server は、オープンソースのウェブサーバソフトウェアで
JVN#55833292: FileMaker におけるクロスサイトスクリプティングの脆弱性
FileMaker, Inc. が提供する FileMaker には、クロスサイトスクリプティングの脆弱性が存在します。 FileMaker Pro 7 (for Windows and Mac) FileMaker Developer 7 (for Windows and Mac) FileMaker Server 7 Advanced (for Windows and Mac) FileMaker Pro 8.x (for Windows and Mac) FileMaker Pro 8.x Advanced (for Windows and Mac) FileMaker Server 8.x (for Windows and Mac) FileMaker Server 8.x Advanced (for Windows and Mac) FileMaker 9 製品ラインは本脆弱性の
JVNVU#715737: Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性
JVNVU#715737 Mozilla Firefox における jar URI にクロスサイトスクリプティングの脆弱性 Mozilla Firefox には、ウェブサイト上の細工されたアーカイブファイルを jar: URI 形式を処理する際にクロスサイトスクリプティングの脆弱性が存在します。 Mozilla Firefox は、圧縮されたファイルからコンテンツを展開する jar: URI 形式をサポートしています。jar:[url]![filename path] 形式でウェブサイト上の細工されたアーカイブファイルにアクセスした際、クロスサイトスクリプティングの脆弱性が存在します。 この脆弱性を用いた攻撃では、細工されたアーカイブファイルをサイトに設置し、Mozilla ベースのブラウザで当該ファイルへアクセスさせることが必要となります。
JVNVU#252735: BIND9 の乱数生成に脆弱性
BIND9 が DNS メッセージの識別に使うために生成する ID 情報は推測しやすい乱数になっており、遠隔の第三者からの不正な response パケットによってキャッシュ汚染を引き起こされる可能性があります。 BIND 9.0 (all versions) BIND 9.1 (all versions) BIND 9.2.0, 9.2.1, 9.2.2, 9.2.3, 9.2.4, 9.2.5, 9.2.6, 9.2.7, 9.2.8 BIND 9.3.0, 9.3.1, 9.3.2, 9.3.3, 9.3.4 BIND 9.4.0, 9.4.1 BIND 9.5.0a1, 9.5.0a2, 9.5.0a3, 9.5.0a4, 9.5.0a5 ネームサーバは他のネームサーバに問い合わせを行なう際、複数の問い合わせを識別するために DNS 問い合わせメッセージ毎に異なる ID を割り当て
JVNVU#191609: Microsoft Windows アニメーションカーソル ANI ヘッダにおけるスタックバッファオーバーフローの脆弱性
JVNVU#191609 Microsoft Windows アニメーションカーソル ANI ヘッダにおけるスタックバッファオーバーフローの脆弱性 緊急 Microsoft Windows には、アニメーションカーソルファイル (.ani) の処理にスタックバッファオーバーフローの脆弱性が存在します。 Microsoft Windows 2000 Service Pack 4 Microsoft Windows XP Service Pack 2 Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) Microsoft Windows XP Professional x64 Edition Microsoft Windows Server 2003 Microsoft Windows Server 2003 for Itani
JVNVU#102014: TCP プロトコルに Optimistic TCP acknowledgements による DoS が可能な脆弱性
JVNVU#102014 TCP プロトコルに Optimistic TCP acknowledgements による DoS が可能な脆弱性 HTTP, SMTP または FTP のように TCP プロトコルを用いたサービスを行なっている場合、optimistic ACK と呼ばれる手法を使うことで、サーバの負荷を増大させ、サービス不能に陥らせることが可能であることが知られています。 この問題はすでに 1999 年に指摘されていましたが、2005 年にその攻撃の有効性や対策について分析した論文が公表されました。
Japan Vulnerability Notes
JVNVU#93546510: KDDI製ホームゲートウェイHGW BL1500HMにおける複数の脆弱性 [2024/03/22 13:00] JVNVU#98188101: Advantech製WebAccess/SCADAにおけるSQLインジェクションの脆弱性 [2024/03/22 13:00] JVNVU#90953541: バッファロー製LinkStation 200シリーズにおける任意コード実行の脆弱性 [2024/03/22 11:00] JVNVU#93188600: UDPベースのアプリケーション層プロトコル実装におけるサービス運用妨害 (DoS) の脆弱性 [2024/03/21 16:00] JVNVU#93571422: Franklin Electric製EVO 550および5000における'/../filedir'に関するパストラバーサルの脆弱性 [2024/0
JVN#84656399: Nucleus におけるクロスサイトスクリプティングの脆弱性
オープンソースのコンテンツ管理システムである Nucleus には、クロスサイトスクリプティングの脆弱性が存在します。 Nucleus の Super-admin 権限を持つ管理者ユーザのブラウザ上で、任意のスクリプトを実行される可能性があります。また、Cookie 情報に含まれるセッション情報が漏洩した結果、セッション・ハイジャックが行われる可能性があります。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#87239696: iPhone OS におけるサービス運用妨害 (DoS) の脆弱性
JVNTA07-317A: Microsoft 製品における複数の脆弱性
JVN#91706484: Trac におけるクロスサイトスクリプティングの脆弱性