2012年12月の月例セキュリティ情報

2013年1月9日初版公開

2012年12月に公開された危険度の高い脆弱性情報
CVSSによる深刻度とは
脆弱性を悪用した攻撃に犯されてしまうと・・

1.2012年12月に公開された危険度の高い脆弱性情報

掲載範囲：CVSS により深刻度が危険と指定され、一般的に影響が大きいとされるものを抜粋

(1)SWI-Prolog の os/pl-glob.c におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2012-6090)

ベンダ情報	Red Hat Bugzilla : Bug 891577 https://bugzilla.redhat.com/show_bug.cgi?id=891577 SWI-Prolog : pl.git / commit http://www.swi-prolog.org/git/pl.git/commit/b2c88972e7515ada025e97e7d3ce3e34f81cf33e
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	SWI-Prolog の os/pl-glob.c 内の expand 関数には、スタックベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	SWI-Prolog SWI-Prolog 6.2.5 未満 SWI-Prolog 6.3.7 未満の 6.3.x
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	SWI-Prolog の os/pl-glob.c におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2012-005881) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005881.html Vulnerability Summary for CVE-2012-6090 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6090

(2)SWI-Prolog の os/pl-os.c におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2012-6089)

ベンダ情報	Red Hat Bugzilla : Bug 891577 https://bugzilla.redhat.com/show_bug.cgi?id=891577 SWI-Prolog : pl.git / commit http://www.swi-prolog.org/git/pl.git/commit/a9a6fc8a2a9cf3b9154b490a4b1ffaa8be4d723c
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	SWI-Prolog の os/pl-os.c 内の canoniseFileName 関数には、スタックベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	SWI-Prolog SWI-Prolog 6.2.5 未満 SWI-Prolog 6.3.7 未満の 6.3.x
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	SWI-Prolog の os/pl-os.c におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2012-005880) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005880.html Vulnerability Summary for CVE-2012-6089 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6089

(3)Opera における任意のコードを実行される脆弱性(CVE-2012-6470)

ベンダ情報	Opera : Advisory: Malformed GIF images could allow execution of arbitrary code http://www.opera.com/support/kb/view/1038/ Opera : Opera 12.12 changelog http://www.opera.com/docs/changelogs/unified/1212/
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Opera は、GIF 画像用のメモリを適切に割り当てないため、任意のコードを実行される、またはサービス運用妨害 (メモリの上書き) 状態となる脆弱性が存在します。
影響を受ける製品	Opera Software ASA Opera 12.12 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Opera における任意のコードを実行される脆弱性(JVNDB-2012-005877) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005877.html Vulnerability Summary for CVE-2012-6470 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6470

(4)Fail2ban の server/action.py における安全でない動作を誘発される脆弱性(CVE-2012-5642)

ベンダ情報	Fail2ban : Top Page http://www.fail2ban.org/ Gentoo's Bugzilla : Bug 447572 https://bugs.gentoo.org/show_bug.cgi?id=447572 GitHub : BF: escape the content of <matches> since its value could contain arbitrary symbols https://github.com/fail2ban/fail2ban/commit/83109bc GitHub : ChangeLog https://raw.github.com/fail2ban/fail2ban/master/ChangeLog Red Hat Bugzilla : Bug 887914 https://bugzilla.redhat.com/show_bug.cgi?id=887914 SourceForge : [Fail2ban-users] 0.8.8 release http://sourceforge.net/mailarchive/message.php?msg_id=30193056
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Fail2ban の server/action.py は、matches タグのコンテンツを適切に処理しないため、カスタムアクションファイル (custom action file) により、安全でない動作を誘発される脆弱性が存在します。
影響を受ける製品	Fail2ban Fail2ban 0.8.8 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Fail2ban の server/action.py における安全でない動作を誘発される脆弱性(JVNDB-2012-005851) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005851.html Vulnerability Summary for CVE-2012-5642 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5642

(5)LemonLDAP::NG におけるアクセスコントロール制限を回避される脆弱性(CVE-2012-6426)

ベンダ情報	OW2 Consortium Jira : SAML messages signatures are not verified - SECURITY ISSUE http://jira.ow2.org/browse/LEMONLDAP-570
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	LemonLDAP::NG は、Lasso ライブラリの署名検証機能を使用しないため、アクセスコントロール制限を回避される脆弱性が存在します。
影響を受ける製品	LemonLDAP::NG LemonLDAP::NG 1.2.3 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	LemonLDAP::NG におけるアクセスコントロール制限を回避される脆弱性(JVNDB-2012-005847) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005847.html Vulnerability Summary for CVE-2012-6426 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6426

(6)i-GEN opLYNX の Central アプリケーションにおける認証を回避される脆弱性(CVE-2012-4688)

ベンダ情報	i-GEN Solutions : opLYNX http://www.i-gen.com/products_oplynx.html
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	i-GEN opLYNX の Central アプリケーションには、認証を回避される脆弱性が存在します。
影響を受ける製品	i-GEN Solutions opLYNX 2.01.9 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	i-GEN opLYNX の Central アプリケーションにおける認証を回避される脆弱性(JVNDB-2012-005845) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005845.html Vulnerability Summary for CVE-2012-4688 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4688

(7)Cisco Unified IP Phone 7900 シリーズにおける任意のコードを実行される脆弱性(CVE-2012-5445)

ベンダ情報	Cisco Systems Inc : Top Page http://www.cisco.com/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Cisco Unified IP Phone 7900 シリーズ上で稼働する Cisco Native Unix (CNU) のカーネルは、不特定のシステムコールを適切に検証しないため、任意のコードを実行される、またはサービス運用妨害 (メモリの上書き) 状態となる脆弱性が存在します。
影響を受ける製品	シスコシステムズ Cisco Unified IP Phone 7906G Cisco Unified IP Phone 7911G Cisco Unified IP Phone 7935 Cisco Unified IP Phone 7936 Cisco Unified IP Phone 7940 Cisco Unified IP Phone 7940G Cisco Unified IP Phone 7941G Cisco Unified IP Phone 7960 Cisco Unified IP Phone 7960G Cisco Unified IP Phone 7961G Cisco Unified IP Phone 7970G Cisco Unified IP Phone 7971G Skinny Client Control Protocol Software 9.3.1-ES10 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Cisco Unified IP Phone 7900 シリーズにおける任意のコードを実行される脆弱性(JVNDB-2012-005843) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005843.html Vulnerability Summary for CVE-2012-5445 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5445

(8)Internet Explorer に任意のコードが実行される脆弱性(CVE-2012-4792)

ベンダ情報	Microsoft Knowledge Base : Vulnerability in Internet Explorer could allow remote code execution (2794220) http://support.microsoft.com/kb/2794220 Microsoft Security Advisory : Vulnerability in Internet Explorer Could Allow Remote Code Execution (2794220) http://technet.microsoft.com/en-us/security/advisory/2794220 TechNet Blogs : New vulnerability affecting Internet Explorer 8 users http://blogs.technet.com/b/srd/archive/2012/12/29/new-vulnerability-affecting-internet-explorer-8-users.aspx TechNet Blogs : Microsoft "Fix it" available for Internet Explorer 6, 7, and 8 http://blogs.technet.com/b/srd/archive/2012/12/31/microsoft-quot-fix-it-quot-available-for-internet-explorer-6-7-and-8.aspx
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Internet Explorer には、解放済みメモリ使用 (use-after-free) の脆弱性が存在します。 Internet Explorer には、mshtml CDwnBindInfo オブジェクトに解放済みメモリ使用 (use-after-free) の脆弱性が存在します。なお Microsoft によると、本脆弱性を使用した攻撃が観測されているとのことです。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 6 Microsoft Internet Explorer 7 Microsoft Internet Explorer 8 Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Internet Explorer に任意のコードが実行される脆弱性(JVNDB-2012-005828) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005828.html Vulnerability Summary for CVE-2012-4792 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4792

(9)Ruby on Rails 用 Authlogic gem における SQL インジェクションの脆弱性(CVE-2012-5664)

ベンダ情報	Red Hat Bugzilla : Bug 889649 https://bugzilla.redhat.com/show_bug.cgi?id=889649 Ruby on Rails project : Top Page http://rubyonrails.org/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Ruby on Rails 用 Authlogic gem には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Ruby on Rails project Rails HASH(0x9e00668)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Ruby on Rails 用 Authlogic gem における SQL インジェクションの脆弱性(JVNDB-2012-005811) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005811.html Vulnerability Summary for CVE-2012-5664 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5664

(10)Citrix XenApp の XML Service インターフェースにおける任意のコードを実行される脆弱性(CVE-2012-5161)

ベンダ情報	Citrix XenServer Multiple Security Updates : CTX135066 http://support.citrix.com/article/CTX135066
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Citrix XenApp の XML Service インターフェースには、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	Citrix Systems Citrix XenApp 6.5 Citrix XenApp 6.5 Feature Pack 1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Citrix XenApp の XML Service インターフェースにおける任意のコードを実行される脆弱性(JVNDB-2012-005806) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005806.html Vulnerability Summary for CVE-2012-5161 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5161

(11)CA IdentityMinder におけるアクセス制限を回避される脆弱性(CVE-2012-6299)

ベンダ情報	CA Security Response Blog : CA20121220-01: Security Notice for CA IdentityMinder http://community.ca.com/blogs/casecurityresponseblog/archive/2012/12/20/ca20121220-01-security-notice-for-ca-identityminder.aspx CA SUPPORT ONLINE : CA20121220-01 https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={FBA53B61-3A68-4506-9876-F845F6DD8A93} CA テクニカルサポート : CA20121220-01 http://www.casupport.jp/resources/info/CA20121220-01.htm
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	CA IdentityMinder には、アクセス制限を回避される脆弱性が存在します。
影響を受ける製品	CA, Inc CA IdentityMinder r12.0 CR16 およびそれ以前 CA IdentityMinder r12.5 SP1 から SP14 CA IdentityMinder r12.6 GA
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	CA IdentityMinder におけるアクセス制限を回避される脆弱性(JVNDB-2012-005805) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005805.html Vulnerability Summary for CVE-2012-6299 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6299

(12)CA IdentityMinder における任意のコマンドを実行される脆弱性(CVE-2012-6298)

ベンダ情報	CA Security Response Blog : CA20121220-01: Security Notice for CA IdentityMinder http://community.ca.com/blogs/casecurityresponseblog/archive/2012/12/20/ca20121220-01-security-notice-for-ca-identityminder.aspx CA SUPPORT ONLINE : CA20121220-01 https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={FBA53B61-3A68-4506-9876-F845F6DD8A93} CA テクニカルサポート : CA20121220-01 http://www.casupport.jp/resources/info/CA20121220-01.htm
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	CA IdentityMinder には、任意のコマンドを実行される、またはデータを改ざんされる脆弱性が存在します。
影響を受ける製品	CA, Inc CA IdentityMinder r12.0 CR16 およびそれ以前 CA IdentityMinder r12.5 SP1 から SP14 CA IdentityMinder r12.6 GA
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	CA IdentityMinder における任意のコマンドを実行される脆弱性(JVNDB-2012-005804) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005804.html Vulnerability Summary for CVE-2012-6298 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6298

(13)IBM z/OS 上で稼働する Tivoli NetView における権限を取得される脆弱性(CVE-2012-5951)

ベンダ情報	IBM Support Document : 1621163 http://www.ibm.com/support/docview.wss?uid=swg21621163
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	IBM z/OS 上で稼働する Tivoli NetView には、権限を取得される脆弱性が存在します。
影響を受ける製品	IBM IBM Tivoli NetView 1.4 IBM Tivoli NetView 5.1 から 5.4 IBM Tivoli NetView 6.1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	IBM z/OS 上で稼働する Tivoli NetView における権限を取得される脆弱性(JVNDB-2012-005802) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005802.html Vulnerability Summary for CVE-2012-5951 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5951

(14)IBM Rational Automation Framework におけるアクセス制限を回避される脆弱性(CVE-2012-4816)

ベンダ情報	IBM Support Document : 1620359 http://www-01.ibm.com/support/docview.wss?uid=swg21620359
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	IBM Rational Automation Framework (RAF) には、環境生成ウィザード (Env Gen Wizard、別名 Environment Generation Wizard) のアクセス制限を回避される脆弱性が存在します。
影響を受ける製品	IBM IBM Rational Automation Framework 3.x から 3.0.0.5
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	IBM Rational Automation Framework におけるアクセス制限を回避される脆弱性(JVNDB-2012-005801) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005801.html Vulnerability Summary for CVE-2012-4816 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4816

(15)NetIQ eDirectory の Novell NCP の実装におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2012-0432)

ベンダ情報	NOVELL Support : 3426981 http://www.novell.com/support/kb/doc.php?id=3426981
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	NetIQ eDirectory の Novell NCP の実装には、スタックベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	NetIQ NetIQ eDirectory 8.8.7.2 未満の 8.8.7.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	NetIQ eDirectory の Novell NCP の実装におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2012-005800) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005800.html Vulnerability Summary for CVE-2012-0432 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0432

(16)Novell iPrint Client における任意のコードを実行される脆弱性(CVE-2012-0411)

ベンダ情報	NOVELL Support : History of iPrint Client fixes (version 5.40 thru 5.82) http://www.novell.com/support/kb/doc.php?id=7008708
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Novell iPrint Client には、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	Novell Novell iPrint Client for Windows 5.82 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Novell iPrint Client における任意のコードを実行される脆弱性(JVNDB-2012-005792) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005792.html Vulnerability Summary for CVE-2012-0411 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0411

(17)Samsung GALAXY および Meizu MX など Android デバイスにおける任意の物理メモリを読まれる脆弱性(CVE-2012-6422)

ベンダ情報	Meizu : Top Page http://en.meizu.com/ 日本サムスン : GALAXY Note http://www.samsung.com/jp/consumer/mobilephone/mobilephone/galaxy-note 日本サムスン : GALAXY S http://www.samsung.com/jp/galaxys2/
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Samsung GALAXY S、GALAXY Note、Meizu MX およびその他の Android デバイスのカーネルは、Exynos 4210 または 4412 プロセッサで稼働する際、/dev/exynos-mem に対して脆弱なパーミッション (0666) を使用するため、任意の物理メモリを読まれる、または書き込まれる、および権限を取得される脆弱性が存在します。
影響を受ける製品	Meizu Meizu MX HASH(0x9df7f90) 日本サムスン GALAXY Note HASH(0x9ea72e0) GALAXY S HASH(0x9d2f028)
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Samsung GALAXY および Meizu MX など Android デバイスにおける任意の物理メモリを読まれる脆弱性(JVNDB-2012-005729) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005729.html Vulnerability Summary for CVE-2012-6422 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6422

(18)Symantec Endpoint Protection の管理コンソールにおける任意のコードを実行される脆弱性(CVE-2012-4348)

ベンダ情報	Symantec Security Advisory : SYM12-019 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121210_00 シマンテックセキュリティ・アドバイザリー : SYM12-019 http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121210_00
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Symantec Endpoint Protection (SEP) の管理コンソールは、PHP スクリプトの入力を適切に検証しないため、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	シマンテック Symantec Endpoint Protection 11.0 RU7-MP3 未満の 11.0 Symantec Endpoint Protection 12.1 RU2 未満の 12.1 Symantec Endpoint Protection Small Business Edition 12.1 RU2 未満の 12.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Symantec Endpoint Protection の管理コンソールにおける任意のコードを実行される脆弱性(JVNDB-2012-005745) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005745.html Vulnerability Summary for CVE-2012-4348 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4348

(19)Perl の util.c におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2012-5195)

ベンダ情報	The Perl Foundation : maint-5.12, maint-5.14, and CVE-2012-5195 http://www.nntp.perl.org/group/perl.perl5.porters/2012/10/msg193886.html The Perl Foundation : perl.git / commit http://perl5.git.perl.org/perl.git/commit/2709980d5a193ce6f3a16f0d19879a6560dcde44 Ubuntu Security Notice : USN-1643-1 http://www.ubuntu.com/usn/USN-1643-1/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Perl の util.c の Perl_repeatcpy 関数には、ヒープベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	The Perl Foundation Perl 5.12.5 未満の 5.12.x Perl 5.14.3 未満の 5.14.x Perl 5.15.5 未満の 5.15.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Perl の util.c におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2012-005730) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005730.html Vulnerability Summary for CVE-2012-5195 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5195

(20)Microsoft Internet Explorer 9 および 10 における任意のコードを実行される脆弱性(CVE-2012-4782)

ベンダ情報	Microsoft Security Bulletin : MS12-077 http://technet.microsoft.com/en-us/security/bulletin/ms12-077 マイクロソフトセキュリティ情報 : MS12-077 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-077 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Microsoft Internet Explorer 9 および 10 には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「CMarkup の解放後使用の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 Microsoft Internet Explorer 9 Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows RT HASH(0x9ea6850) Microsoft Windows Server 2012 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Internet Explorer 9 および 10 における任意のコードを実行される脆弱性(JVNDB-2012-005688) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005688.html Vulnerability Summary for CVE-2012-4782 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4782

(21)Microsoft Windows における任意のコードを実行される脆弱性(CVE-2012-4774)

ベンダ情報	Microsoft Security Bulletin : MS12-081 http://technet.microsoft.com/en-us/security/bulletin/ms12-081 マイクロソフトセキュリティ情報 : MS12-081 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-081 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Microsoft Windows には、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Windows ファイル名解析の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 (Server Core インストール) Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 (Server Core インストール) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Windows における任意のコードを実行される脆弱性(JVNDB-2012-005694) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005694.html Vulnerability Summary for CVE-2012-4774 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4774

(22)複数の Microsoft Windows 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性(CVE-2012-2556)

ベンダ情報	Microsoft Security Bulletin : MS12-078 http://technet.microsoft.com/en-us/security/bulletin/ms12-078 マイクロソフトセキュリティ情報 : MS12-078 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-078 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品のカーネルモードドライバ内の OpenType フォント (OTF) ドライバには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「OpenType フォントの解析の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows RT Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows Server 2012 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Server 2012 HASH(0x9dffd98) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性(JVNDB-2012-005691) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005691.html Vulnerability Summary for CVE-2012-2556 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2556

(23)Carlo Gavazzi EOS-Box のファームウェアにおける管理アクセス権限を取得される脆弱性(CVE-2012-6428)

ベンダ情報	Carlo Gavazzi : Top Page http://www.productselection.net/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Carlo Gavazzi EOS-Box のファームウェアには、複数のハードコードされたアカウントが存在するため、管理アクセス権限を取得される脆弱性が存在します。本脆弱性は、CVE-2012-5862 と類似した脆弱性です。
影響を受ける製品	Carlo Gavazzi EOS-Box HASH(0x98784e0) EOS-Box ファームウェア 1.0.0.1080_2.1.10 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Carlo Gavazzi EOS-Box のファームウェアにおける管理アクセス権限を取得される脆弱性(JVNDB-2012-005791) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005791.html Vulnerability Summary for CVE-2012-6428 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6428

(24)Carlo Gavazzi EOS-Box のファームウェアにおける SQL インジェクションの脆弱性(CVE-2012-6427)

ベンダ情報	Carlo Gavazzi : Top Page http://www.productselection.net/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Carlo Gavazzi EOS-Box のファームウェアには、SQL インジェクションの脆弱性が存在します。本脆弱性は、CVE-2012-5861 と類似した脆弱性です。
影響を受ける製品	Carlo Gavazzi EOS-Box HASH(0x9e26f30) EOS-Box ファームウェア 1.0.0.1080_2.1.10 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Carlo Gavazzi EOS-Box のファームウェアにおける SQL インジェクションの脆弱性(JVNDB-2012-005790) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005790.html Vulnerability Summary for CVE-2012-6427 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6427

(25)IBM Tivoli Storage Manager for Space Management におけるファイルシステムオブジェクトを読まれる脆弱性(CVE-2012-4859)

ベンダ情報	IBM : IBM Tivoli Storage Manager for Space Management http://www-01.ibm.com/software/tivoli/products/storage-mgr-space/ IBM : 1615292 http://www-01.ibm.com/support/docview.wss?uid=swg21615292
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	IBM Tivoli Storage Manager for Space Management には、ファイルシステムオブジェクトを読まれる、または変更される脆弱性が存在します。
影響を受ける製品	IBM IBM Tivoli Storage Manager for Space Management 6.2.5.0 未満 IBM Tivoli Storage Manager for Space Management 6.3.1.0 未満の 6.3.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	IBM Tivoli Storage Manager for Space Management におけるファイルシステムオブジェクトを読まれる脆弱性(JVNDB-2012-005785) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005785.html Vulnerability Summary for CVE-2012-4859 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4859

(26)MySQL で使用される yaSSL におけるバッファオーバーフローの脆弱性(CVE-2012-0882)

ベンダ情報	Red Hat Bugzilla : Bug 789141 https://bugzilla.redhat.com/show_bug.cgi?id=789141 SECURITY BLOG : CVE-2012-0882 Buffer Overflow vulnerability in yaSSL https://blogs.oracle.com/sunsecurity/entry/cve_2012_0882buffer_overflow_vulnerability
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	MySQL で使用される yaSSL には、バッファオーバーフローの脆弱性が存在します。詳細が不明なため、本脆弱性は CVE-2012-0492 または他の CVE 識別番号の問題と重複する可能性があります。
影響を受ける製品	MySQL AB MySQL 5.1.50 およびそれ以前 MySQL 5.5.9 およびそれ以前オラクル MySQL 5.1.61 およびそれ以前 MySQL 5.5.21 およびそれ以前
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	MySQL で使用される yaSSL におけるバッファオーバーフローの脆弱性(JVNDB-2012-005774) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005774.html Vulnerability Summary for CVE-2012-0882 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0882

(27)Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題(CVE-2012-6271)

ベンダ情報	Adobe : Adobe Shockwave Player https://www.adobe.com/jp/products/shockwaveplayer/ Adobe : Director Help / Shockwave Xtras downloading overview http://helpx.adobe.com/shockwave/kb/shockwave-xtras-downloading-overview.html Adobe : Director Support Center -- Extending Director: Xtras http://www.adobe.com/support/director/xtras.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Adobe Shockwave Player には、プラグインモジュールのインストールに関する問題が存在します。 Adobe Shockwave Player は、Shockwave コンテンツを閲覧する際に、必要な Xtra (プラグインモジュール) をインストールします。このとき、Xtra に Adobe もしくは Macromedia の正しい署名が確認できた場合、ユーザに断りなく自動的に当該 Xtra がインストールされます。必要な Xtra は Shockwave コンテンツ自身が指定できるため、既知の脆弱性を持つ、古いバージョンの Xtra をインストールさせることが可能です。
影響を受ける製品	アドビシステムズ Adobe Shockwave Player HASH(0x9e00138)
対策	2012年12月19日現在、対策方法はありません。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * Shockwave コンテンツへのアクセスを制限する * Shockwave Player の ActiveX コントロールを無効にする (Internet Explorer のユーザ向け) * Enhanced Mitigation Experience Toolkit (EMET) を適用する　　　(http://support.microsoft.com/kb/2458544) * Data Execution Prevention (DEP) を有効にする　　　(http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx)
参考情報	Adobe Shockwave Player におけるプラグインモジュールのインストールに関する問題(JVNDB-2012-005744) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005744.html Vulnerability Summary for CVE-2012-6271 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6271

(28)Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題(CVE-2012-6270)

ベンダ情報	Adobe : Adobe Shockwave Player https://www.adobe.com/jp/products/shockwaveplayer/ Adobe : Director 11 and Shockwave 11 Release White paper http://www.adobe.com/support/director/ts/documents/kb403195/Director11_Whitepaper.pdf
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	Adobe Shockwave Player には、Shockwave ランタイムのインストールに関する問題が存在します。 Shockwave 11 向けであることを明示していない Shockwave コンテンツを閲覧した場合、古いバージョンの Shockwave ランタイムが、ユーザに断りなく自動的にインストールされます。なお、開発者が提供する Director 11 and Shockwave 11 Release White paper (http://www.adobe.com/support/director/ts/documents/kb403195/Director11_Whitepaper.pdf) には、以下のように記載されています。 "When the user launches Shockwave content from a browser, the Shockwave 11 ActiveX control is downloaded to the <%System%>/Adobe/Shockwave 11 folder. If the HTML page does not specify the playerVersion as 11, the Shockwave 10.4.0.025 ActiveX control is downloaded silently, and installed in the <%System%>/Macromed/Shockwave10 folder." "The Shockwave auto-update mechanism installs Shockwave 11 only. The compatibility components of Shockwave 10.4.0.025 player are installed only when the user tries to play old Shockwave content with the compatibility parameter set to 10 or blank."
影響を受ける製品	アドビシステムズ Adobe Shockwave Player HASH(0x9eb0230)
対策	2012年12月19日現在、対策方法はありません。 [ワークアラウンドを実施する] 以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。 * Shockwave コンテンツへのアクセスを制限する * Internet Explorer のユーザは Shockwave Player の ActiveX コントロールを無効にする * Enhanced Mitigation Experience Toolkit (EMET) を適用する　　　　(http://support.microsoft.com/kb/2458544) * Data Execution Prevention (DEP) を有効にする　　　　(http://blogs.technet.com/b/srd/archive/2010/12/08/on-the-effectiveness-of-dep-and-aslr.aspx)
参考情報	Adobe Shockwave Player における Shockwave ランタイムのインストールに関する問題(JVNDB-2012-005742) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005742.html Vulnerability Summary for CVE-2012-6270 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6270

(29)IBM POWER5 のサービス・プロセッサーに権限昇格の脆弱性(CVE-2012-4856)

ベンダ情報	IBM : Fix Central http://www-933.ibm.com/support/fixcentral/ IBM : Security Vulnerability in Select IBM Power 5 Systems - Service Processor http://aix.software.ibm.com/aix/efixes/security/squadrons_advisory.asc
CVSS による深刻度	7.9 (危険) [ NVD値 ]
概要	IBM POWER5 のサービス・プロセッサーには、権限昇格の脆弱性が存在します。
影響を受ける製品	IBM IBM Power 5 を搭載する特定の製品 IBM Power 5 システムファームウェア SF240_418_382 未満
対策	[アップデートする] 開発者が提供する情報をもとに、ファームウェアをアップデートしてください。なお、開発者によると、本脆弱性はファームウェア SF240_418_382 で修正されているとのことです。 [ワークアラウンドを実施する] 以下の回避策が、開発者から推奨されています。 * サービス・プロセッサーの持つイーサネット・インターフェースの少なくともいずれかひとつに、任意の静的 IP アドレスを設定する
参考情報	IBM POWER5 のサービス・プロセッサーに権限昇格の脆弱性(JVNDB-2012-005719) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005719.html Vulnerability Summary for CVE-2012-4856 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4856

(30)WordPress 用 Portable phpMyAdmin プラグインにおける認証を回避される脆弱性(CVE-2012-5469)

ベンダ情報	getButterfly : Portable phpMyAdmin http://getbutterfly.com/wordpress-plugins/portable-phpmyadmin/ WordPress Plugin Directory : Portable phpMyAdmin - Changelog http://wordpress.org/extend/plugins/portable-phpmyadmin/changelog/
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	WordPress 用 Portable phpMyAdmin プラグインには、認証を回避され、phpMyAdmin コンソールのアクセス権を取得される脆弱性が存在します。
影響を受ける製品	Ciprian Popescu Portable phpMyAdmin 1.3.1 未満
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	WordPress 用 Portable phpMyAdmin プラグインにおける認証を回避される脆弱性(JVNDB-2012-005769) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005769.html Vulnerability Summary for CVE-2012-5469 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5469

(31)IBM WAS for z/OS の IBM HTTP Server コンポーネントにおける任意のコマンドを実行される脆弱性(CVE-2012-5955)

ベンダ情報	IBM Support Document : 1620945 http://www-01.ibm.com/support/docview.wss?&uid=swg21620945
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	IBM WebSphere Application Server (WAS) for z/OS の IBM HTTP Server コンポーネントには、任意のコマンドを実行される脆弱性が存在します。
影響を受ける製品	IBM IBM HTTP Server 5.3 IBM WebSphere Application Server for z/OS
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	IBM WAS for z/OS の IBM HTTP Server コンポーネントにおける任意のコマンドを実行される脆弱性(JVNDB-2012-005767) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005767.html Vulnerability Summary for CVE-2012-5955 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5955

(32)RealNetworks RealPlayer および RealPlayer SP におけるバッファオーバーフローの脆弱性(CVE-2012-5691)

ベンダ情報	RealNetworks Security Updates : Releases Update to Address Security Vulnerabilities http://service.real.com/realplayer/security/12142012_player/en/ RealNetworks セキュリティアップデート : セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/12142012_player/ja/
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	RealNetworks RealPlayer および RealPlayer SP には、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	リアルネットワークス RealNetworks RealPlayer 16.0.0.282 未満 RealNetworks RealPlayer SP 1.0 から 1.1.5
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	RealNetworks RealPlayer および RealPlayer SP におけるバッファオーバーフローの脆弱性(JVNDB-2012-005748) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005748.html Vulnerability Summary for CVE-2012-5691 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5691

(33)RealNetworks RealPlayer および RealPlayer SP における任意のコードを実行される脆弱性(CVE-2012-5690)

ベンダ情報	RealNetworks Security Updates : Releases Update to Address Security Vulnerabilities http://service.real.com/realplayer/security/12142012_player/en/ RealNetworks セキュリティアップデート : セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/12142012_player/ja/
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	RealNetworks RealPlayer および RealPlayer SP には、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	リアルネットワークス RealNetworks RealPlayer 16.0.0.282 未満 RealNetworks RealPlayer SP 1.0 から 1.1.5
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	RealNetworks RealPlayer および RealPlayer SP における任意のコードを実行される脆弱性(JVNDB-2012-005747) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005747.html Vulnerability Summary for CVE-2012-5690 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5690

(34)Symantec Enterprise Security Manager における権限を取得される脆弱性(CVE-2012-4350)

ベンダ情報	Symantec Security Advisory : SYM12-020 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121213_00 シマンテックセキュリティ・アドバイザリー : SYM12-020 http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121213_00
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Symantec Enterprise Security Manager (ESM) の (1) Manager および (2) Agent コンポーネントには、引用されない Windows 検索パスにより、権限を取得される脆弱性が存在します。補足情報 : CWE による脆弱性タイプは、CWE-426: Untrusted Search Path (信頼性のない検索パス) と識別されています。 http://cwe.mitre.org/data/definitions/426.html
影響を受ける製品	シマンテック Symantec Enterprise Security Manager 11.0 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Symantec Enterprise Security Manager における権限を取得される脆弱性(JVNDB-2012-005746) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005746.html Vulnerability Summary for CVE-2012-4350 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4350

(35)bogofilter の bogolexer コンポーネントにおけるヒープベースのバッファオーバーフローの脆弱性(CVE-2012-5468)

ベンダ情報	bogofilter : Top Page http://bogofilter.sourceforge.net/ Debian Security Advisory : DSA-2585 http://www.debian.org/security/2012/dsa-2585 Red Hat Bugzilla : Bug 883358 https://bugzilla.redhat.com/show_bug.cgi?id=883358 SourceForge : [bogofilter] Revision 6975 http://bogofilter.svn.sourceforge.net/viewvc/bogofilter?view=revision&revision=6975 SourceForge : [bogofilter] Revision 6973 http://bogofilter.svn.sourceforge.net/viewvc/bogofilter?view=revision&revision=6973 SourceForge : bogofilter-SA-2012-01 http://bogofilter.sourceforge.net/security/bogofilter-SA-2012-01
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	bogofilter の bogolexer コンポーネント内の iconvert.c には、ヒープベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	bogofilter bogofilter 1.2.3 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	bogofilter の bogolexer コンポーネントにおけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2012-005731) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005731.html Vulnerability Summary for CVE-2012-5468 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5468

(36)Adobe Photoshop Camera Raw におけるバッファオーバーフローの脆弱性(CVE-2012-5680)

ベンダ情報	Adobe Security bulletin : APSB12-28 http://www.adobe.com/support/security/bulletins/apsb12-28.html Adobe セキュリティ情報 : APSB12-28 (cq11281734) http://helpx.adobe.com/jp/photoshop/kb/cq11281734.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Photoshop Camera Raw には、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	アドビシステムズ Adobe Photoshop Camera Raw 7.3 未満 (Windows および Macintosh)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Photoshop Camera Raw におけるバッファオーバーフローの脆弱性(JVNDB-2012-005716) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005716.html Vulnerability Summary for CVE-2012-5680 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5680

(37)複数の Microsoft Windows 製品におけるヒープベースのバッファオーバーフローの脆弱性(CVE-2012-1537)

ベンダ情報	Microsoft Security Bulletin : MS12-082 http://technet.microsoft.com/en-us/security/bulletin/ms12-082 マイクロソフトセキュリティ情報 : MS12-082 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-082 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品の DirectPlay 内の DirectX には、ヒープベースのバッファオーバーフローの脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「DirectPlay のヒープオーバーフローの脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft DirectX 10.1 Microsoft DirectX 11.0 Microsoft DirectX 11.1 Microsoft DirectX 9.0 Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Server 2012 HASH(0x9eafeb0) Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品におけるヒープベースのバッファオーバーフローの脆弱性(JVNDB-2012-005695) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005695.html Vulnerability Summary for CVE-2012-1537 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-1537

(38)複数の Microsoft 製品における任意のコードを実行される脆弱性(CVE-2012-2539)

ベンダ情報	Microsoft Security Bulletin : MS12-079 http://technet.microsoft.com/en-us/security/bulletin/ms12-079 マイクロソフトセキュリティ情報 : MS12-079 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-079 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	複数の Microsoft 製品には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態となる脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「Word RTF 'listoverridecount' のリモートでコードが実行される脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Office Web Apps 2010 SP1 Microsoft Office 互換機能パック SP2 および SP3 Microsoft Visio 2010 SP1 (32 ビット版) Microsoft Visio 2010 SP1 (64 ビット版) Microsoft Word 2003 SP3 Microsoft Word 2007 SP2 および SP3 Microsoft Word Viewer HASH(0x9ec7c38)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft 製品における任意のコードを実行される脆弱性(JVNDB-2012-005692) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005692.html Vulnerability Summary for CVE-2012-2539 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-2539

(39)複数の Microsoft Windows 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性(CVE-2012-4786)

ベンダ情報	Microsoft Security Bulletin : MS12-078 http://technet.microsoft.com/en-us/security/bulletin/ms12-078 マイクロソフトセキュリティ情報 : MS12-078 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-078 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	複数の Microsoft Windows 製品のカーネルモードドライバには、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「TrueType フォントの解析の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Windows RT Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows Server 2012 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 for Itanium-based Systems SP2 Microsoft Windows Server 2003 x64 Edition SP2 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for Itanium-based Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for Itanium-based Systems SP1 以前 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2 Microsoft Windows XP SP3 Microsoft Windows XP Professional x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	複数の Microsoft Windows 製品のカーネルモードドライバにおける任意のコードを実行される脆弱性(JVNDB-2012-005690) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005690.html Vulnerability Summary for CVE-2012-4786 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4786

(40)Microsoft Internet Explorer 9 および 10 における任意のコードを実行される脆弱性(CVE-2012-4787)

ベンダ情報	Microsoft Security Bulletin : MS12-077 http://technet.microsoft.com/en-us/security/bulletin/ms12-077 マイクロソフトセキュリティ情報 : MS12-077 http://technet.microsoft.com/ja-jp/security/bulletin/ms12-077 富士通セキュリティ情報 : TA12-346A http://software.fujitsu.com/jp/security/vulnerabilities/ta12-346a.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Microsoft Internet Explorer 9 および 10 には、解放済みメモリの使用 (Use-after-free) により、任意のコードを実行される脆弱性が存在します。マイクロソフトセキュリティ情報には、この脆弱性は「不適切な参照カウントの解放後使用の脆弱性」と記載されています。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 Microsoft Internet Explorer 9 Microsoft Windows 7 for 32-bit Systems SP1 以前 Microsoft Windows 7 for x64-based Systems SP1 以前 Microsoft Windows 8 for 32-bit Systems Microsoft Windows 8 for 64-bit Systems Microsoft Windows RT HASH(0x9e8b308) Microsoft Windows Server 2012 Microsoft Windows Server 2008 for 32-bit Systems SP2 Microsoft Windows Server 2008 for x64-based Systems SP2 Microsoft Windows Server 2008 R2 for x64-based Systems SP1 以前 Microsoft Windows Vista SP2 Microsoft Windows Vista x64 Edition SP2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Microsoft Internet Explorer 9 および 10 における任意のコードを実行される脆弱性(JVNDB-2012-005689) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005689.html Vulnerability Summary for CVE-2012-4787 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4787

(41)Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(CVE-2012-5678)

ベンダ情報	Adobe Security bulletin : APSB12-27 http://www.adobe.com/support/security/bulletins/apsb12-27.html Adobe セキュリティ情報 : APSB12-27 (cq11281733) http://helpx.adobe.com/jp/flash-player/kb/cq11281733.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer 10 (2755801) http://technet.microsoft.com/en-us/security/advisory/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム (2755801) http://technet.microsoft.com/ja-jp/security/advisory/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20121213f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、任意のコードを実行される、またはサービス運用妨害 (メモリ破損) 状態となる脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 32-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 64-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows RT (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows Server 2012 (Adobe Flash Player 11.3.377.15 未満) アドビシステムズ Adobe AIR 3.5.0.880 未満 (Windows および Android) Adobe AIR 3.5.0.890 未満 (Macintosh) Adobe AIR SDK 3.5.0.880 未満 (AIR for iOS 含む) (Windows) Adobe AIR SDK 3.5.0.890 未満 (AIR for iOS 含む) (Macintosh) Adobe Flash Player 10.3.183.48 未満 (Windows、Macintosh、Linux) Adobe Flash Player 11.1.111.29 未満 (Android 2.x および 3.x) Adobe Flash Player 11.1.115.34 未満 (Android 4.x) Adobe Flash Player 11.2.202.258 未満の 11.x (Linux) Adobe Flash Player 11.5.502.135 未満の 11.x (Windows) Adobe Flash Player 11.5.502.136 未満の 11.x (Macintosh) Google Google Chrome 23.0.1271.97 未満 (Adobe Flash Player 11.5.31.5 未満)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における任意のコードを実行される脆弱性(JVNDB-2012-005700) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005700.html Vulnerability Summary for CVE-2012-5678 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5678

(42)Adobe Flash Player および Adobe AIR における整数オーバーフローの脆弱性(CVE-2012-5677)

ベンダ情報	Adobe Security bulletin : APSB12-27 http://www.adobe.com/support/security/bulletins/apsb12-27.html Adobe セキュリティ情報 : APSB12-27 (cq11281733) http://helpx.adobe.com/jp/flash-player/kb/cq11281733.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer 10 (2755801) http://technet.microsoft.com/en-us/security/advisory/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム (2755801) http://technet.microsoft.com/ja-jp/security/advisory/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20121213f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、整数オーバーフローの脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 32-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 64-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows RT (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows Server 2012 (Adobe Flash Player 11.3.377.15 未満) アドビシステムズ Adobe AIR 3.5.0.880 未満 (Windows および Android) Adobe AIR 3.5.0.890 未満 (Macintosh) Adobe AIR SDK 3.5.0.880 未満 (AIR for iOS 含む) (Windows) Adobe AIR SDK 3.5.0.890 未満 (AIR for iOS 含む) (Macintosh) Adobe Flash Player 10.3.183.48 未満 (Windows、Macintosh、Linux) Adobe Flash Player 11.1.111.29 未満 (Android 2.x および 3.x) Adobe Flash Player 11.1.115.34 未満 (Android 4.x) Adobe Flash Player 11.2.202.258 未満の 11.x (Linux) Adobe Flash Player 11.5.502.135 未満の 11.x (Windows) Adobe Flash Player 11.5.502.136 未満の 11.x (Macintosh) Google Google Chrome 23.0.1271.97 未満 (Adobe Flash Player 11.5.31.5 未満)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR における整数オーバーフローの脆弱性(JVNDB-2012-005699) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005699.html Vulnerability Summary for CVE-2012-5677 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5677

(43)Adobe Flash Player および Adobe AIR におけるバッファオーバーフローの脆弱性(CVE-2012-5676)

ベンダ情報	Adobe Security bulletin : APSB12-27 http://www.adobe.com/support/security/bulletins/apsb12-27.html Adobe セキュリティ情報 : APSB12-27 (cq11281733) http://helpx.adobe.com/jp/flash-player/kb/cq11281733.html Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Microsoft Security Advisory : Update for Vulnerabilities in Adobe Flash Player in Internet Explorer 10 (2755801) http://technet.microsoft.com/en-us/security/advisory/2755801 マイクロソフトセキュリティアドバイザリ : Internet Explorer 10 上の Adobe Flash Player の脆弱性用の更新プログラム (2755801) http://technet.microsoft.com/ja-jp/security/advisory/2755801 富士通セキュリティ情報 : アドビシステムズ社 Adobe Flash Player の脆弱性に関するお知らせ http://www.fmworld.net/biz/common/adobe/20121213f.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Adobe Flash Player および Adobe AIR には、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	マイクロソフト Microsoft Internet Explorer 10 (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 32-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows 8 for 64-bit Systems (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows RT (Adobe Flash Player 11.3.377.15 未満) Microsoft Windows Server 2012 (Adobe Flash Player 11.3.377.15 未満) アドビシステムズ Adobe AIR 3.5.0.880 未満 (Windows および Android) Adobe AIR 3.5.0.890 未満 (Macintosh) Adobe AIR SDK 3.5.0.880 未満 (AIR for iOS 含む) (Windows) Adobe AIR SDK 3.5.0.890 未満 (AIR for iOS 含む) (Macintosh) Adobe Flash Player 10.3.183.48 未満 (Windows、Macintosh、Linux) Adobe Flash Player 11.1.111.29 未満 (Android 2.x および 3.x) Adobe Flash Player 11.1.115.34 未満 (Android 4.x) Adobe Flash Player 11.2.202.258 未満の 11.x (Linux) Adobe Flash Player 11.5.502.135 未満の 11.x (Windows) Adobe Flash Player 11.5.502.136 未満の 11.x (Macintosh) Google Google Chrome 23.0.1271.97 未満 (Adobe Flash Player 11.5.31.5 未満)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Flash Player および Adobe AIR におけるバッファオーバーフローの脆弱性(JVNDB-2012-005698) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005698.html Vulnerability Summary for CVE-2012-5676 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5676

(44)Axway SecureTransport におけるディレクトリトラバーサルの脆弱性(CVE-2012-4991)

ベンダ情報	Axway : Axway SecureTransport - Enhanced Managed File Transfer (MFT) Gateway http://www.axway.com/products-solutions/mft/gateways/securetransport
CVSS による深刻度	8.5 (危険) [ NVD値 ]
概要	Axway SecureTransport には、ディレクトリトラバーサルの脆弱性が存在します。
影響を受ける製品	Axway SecureTransport 5.1 SP2 およびそれ以前
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Axway SecureTransport におけるディレクトリトラバーサルの脆弱性(JVNDB-2012-005717) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005717.html Vulnerability Summary for CVE-2012-4991 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4991

(45)Adobe Photoshop Camera Raw における任意のコードを実行される脆弱性(CVE-2012-5679)

ベンダ情報	Adobe Security bulletin : APSB12-28 http://www.adobe.com/support/security/bulletins/apsb12-28.html Adobe セキュリティ情報 : APSB12-28 http://helpx.adobe.com/jp/photoshop/kb/cq11281734.html?sdid=ISBTR
CVSS による深刻度	7.5 (危険) [ NVD値 ]
概要	Adobe Photoshop Camera Raw には、バッファアンダーフローにより、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	アドビシステムズ Adobe Photoshop Camera Raw 7.3 未満 (Windows および Macintosh)
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Adobe Photoshop Camera Raw における任意のコードを実行される脆弱性(JVNDB-2012-005715) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005715.html Vulnerability Summary for CVE-2012-5679 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5679

(46)Layton Helpbox における SQL インジェクションの脆弱性(CVE-2012-4971)

ベンダ情報	Layton Technology : Helpbox http://www.laytontechnology.com/index.php?option=com_content&view=article&id=31&Itemid=81
CVSS による深刻度	9.4 (危険) [ NVD値 ]
概要	Layton Helpbox には、SQL インジェクションの脆弱性が存在します。
影響を受ける製品	Layton Technology Helpbox 4.4.0
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	Layton Helpbox における SQL インジェクションの脆弱性(JVNDB-2012-005707) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005707.html Vulnerability Summary for CVE-2012-4971 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4971

(47)Google Chrome におけるサービス運用妨害 (スタックメモリ破損) の脆弱性(CVE-2012-5144)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome は、AAC 復号を適切に実行しないため、サービス運用妨害 (スタックメモリ破損) 状態など、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome におけるサービス運用妨害 (スタックメモリ破損) の脆弱性(JVNDB-2012-005706) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005706.html Vulnerability Summary for CVE-2012-5144 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5144

(48)Google Chrome における整数オーバーフローの脆弱性(CVE-2012-5143)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome には、PPAPI イメージバッファに関する処理に不備があるため、整数オーバーフローの脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome における整数オーバーフローの脆弱性(JVNDB-2012-005705) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005705.html Vulnerability Summary for CVE-2012-5143 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5143

(49)Google Chrome における任意のコードを実行される脆弱性(CVE-2012-5142)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome は、履歴のナビゲーションを適切に処理しないため、任意のコードを実行される、またはサービス運用妨害 (アプリケーションクラッシュ) 状態となる脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome における任意のコードを実行される脆弱性(JVNDB-2012-005704) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005704.html Vulnerability Summary for CVE-2012-5142 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5142

(50)Google Chrome における脆弱性(CVE-2012-5141)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome は、Chromoting クライアントプラグインのインスタンス化を適切に制限しないため、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome における脆弱性(JVNDB-2012-005703) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005703.html Vulnerability Summary for CVE-2012-5141 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5141

(51)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2012-5140)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome には、解放済みメモリの使用 (Use-after-free) による URL ローダーに関する処理に不備があるため、サービス運用妨害 (DoS) 状態となるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2012-005702) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005702.html Vulnerability Summary for CVE-2012-5140 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5140

(52)Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(CVE-2012-5139)

ベンダ情報	Google : Google Chrome http://www.google.co.jp/chrome/intl/ja/landing_ff_yt.html?hl=ja&hl=ja Google : Stable Channel Update http://googlechromereleases.blogspot.jp/2012/12/stable-channel-update.html
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Google Chrome には、解放済みメモリの使用 (Use-after-free) による検出イベントに関する処理に不備があるため、サービス運用妨害 (DoS) 状態となるなど、不特定の影響を受ける脆弱性が存在します。
影響を受ける製品	Google Google Chrome 23.0.1271.97 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Google Chrome におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2012-005701) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005701.html Vulnerability Summary for CVE-2012-5139 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5139

(53)Symantec Network Access Control における権限を取得される脆弱性(CVE-2012-4349)

ベンダ情報	Symantec Security Advisory : SYM12-019 http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20121210_00 シマンテックセキュリティ・アドバイザリー : SYM12-019 http://www.symantec.com/ja/jp/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20121210_00
CVSS による深刻度	7.2 (危険) [ NVD値 ]
概要	Symantec Network Access Control には、権限を取得される、またはサービス運用妨害 (DoS) 状態となる脆弱性が存在します。
影響を受ける製品	シマンテック Symantec Network Access Control SEP 12.1 RU2 未満の 12.1
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Symantec Network Access Control における権限を取得される脆弱性(JVNDB-2012-005684) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005684.html Vulnerability Summary for CVE-2012-4349 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4349

(54)Unix および Linux 上で稼働する CA XCOM Data Transport における任意のコマンドを実行される脆弱性(CVE-2012-5973)

ベンダ情報	CA Security Response Blog : CA20121205-01: Security Notice for CA XCOM Data Transport on Unix and Linux http://community.ca.com/blogs/casecurityresponseblog/archive/2012/12/05/ca20121205-01-security-notice-for-ca-xcom-data-transport-on-unix-and-linux.aspx CA SUPPORT ONLINE : CA20121205-01 https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID={358F44CA-6354-4427-9088-C57138E9EE11} CA テクニカルサポート : CA20121205-01 http://www.casupport.jp/resources/info/CA20121205-01.htm
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	Unix および Linux 上で稼動する CA XCOM Data Transport には、任意のコマンドを実行される脆弱性が存在します。
影響を受ける製品	CA, Inc CA XCOM Data Transport r11.0 CA XCOM Data Transport r11.5
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	Unix および Linux 上で稼働する CA XCOM Data Transport における任意のコマンドを実行される脆弱性(JVNDB-2012-005682) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005682.html Vulnerability Summary for CVE-2012-5973 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5973

(55)IBM Informix におけるバッファオーバーフローの脆弱性(CVE-2012-4857)

ベンダ情報	IBM Support Document : 1618994 http://www-01.ibm.com/support/docview.wss?uid=swg21618994
CVSS による深刻度	9 (危険) [ NVD値 ]
概要	IBM Informix には、バッファオーバーフローの脆弱性が存在します。
影響を受ける製品	IBM IBM Informix 11.50 から 11.50.xC9W2 IBM Informix 11.70.xC7 未満の 11.70
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	IBM Informix におけるバッファオーバーフローの脆弱性(JVNDB-2012-005681) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005681.html Vulnerability Summary for CVE-2012-4857 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-4857

(56)HP Network Node Manager i における任意のコードを実行される脆弱性(CVE-2012-3275)

ベンダ情報	HP Security Bulletin : HPSBMU02816 SSRT100949 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03507416
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	HP Network Node Manager i (NNMi) には、任意のコードを実行される脆弱性が存在します。
影響を受ける製品	ヒューレット・パッカード HP Network Node Manager i 9.1x HP Network Node Manager i 9.20
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	HP Network Node Manager i における任意のコードを実行される脆弱性(JVNDB-2012-005677) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005677.html Vulnerability Summary for CVE-2012-3275 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3275

(57)HP Intelligent Management Center におけるスタックベースのバッファオーバーフローの脆弱性(CVE-2012-3274)

ベンダ情報	HP Security Bulletin : HPSB3C02831 SSRT100661 http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c03589863
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	HP Intelligent Management Center (IMC) の User Access Manager (UAM) コンポーネント内の uam.exe には、ログデータに関する処理に不備があるため、スタックベースのバッファオーバーフローの脆弱性が存在します。
影響を受ける製品	ヒューレット・パッカード HP Intelligent Management Center 5.1 E0101P01 未満
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	HP Intelligent Management Center におけるスタックベースのバッファオーバーフローの脆弱性(JVNDB-2012-005676) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005676.html Vulnerability Summary for CVE-2012-3274 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-3274

(58)ISC BIND におけるサービス運用妨害 (DoS) の脆弱性(CVE-2012-5688)

ベンダ情報	Internet Systems Consortium Security Advisory : CVE-2012-5688: BIND 9 servers using DNS64 can be crashed by a crafted query https://kb.isc.org/article/AA-00828
CVSS による深刻度	7.8 (危険) [ NVD値 ]
概要	ISC BIND には、DNS64 が有効になっている場合、サービス運用妨害 (表明違反および Daemon Exit) 状態となる脆弱性が存在します。
影響を受ける製品	ISC, Inc. BIND 9.8.4-P1 未満の 9.8.x BIND 9.9.2-P1 未満の 9.9.x
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	ISC BIND におけるサービス運用妨害 (DoS) の脆弱性(JVNDB-2012-005672) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005672.html Vulnerability Summary for CVE-2012-5688 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5688

(59)freeFTPd の freeFTPd.exe における認証を回避される脆弱性(CVE-2012-6067)

ベンダ情報	freeFTPd : Top Page http://www.freesshd.com/
CVSS による深刻度	10 (危険) [ NVD値 ]
概要	freeFTPd の freeFTPd.exe には、認証を回避される脆弱性が存在します。
影響を受ける製品	freeFTPd freeFTPd 1.0.11 およびそれ以前
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	freeFTPd の freeFTPd.exe における認証を回避される脆弱性(JVNDB-2012-005663) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005663.html Vulnerability Summary for CVE-2012-6067 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6067

(60)freeSSHd の freeSSHd.exe における認証を回避される脆弱性(CVE-2012-6066)

ベンダ情報	freeSSHd : Top Page http://www.freesshd.com/
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	freeSSHd の freeSSHd.exe には、認証を回避される脆弱性が存在します。
影響を受ける製品	freeSSHd freeSSHd 1.2.6 およびそれ以前
対策	ベンダ情報および参考情報を参照して適切な対策を実施してください。
参考情報	freeSSHd の freeSSHd.exe における認証を回避される脆弱性(JVNDB-2012-005662) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005662.html Vulnerability Summary for CVE-2012-6066 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-6066

(61)SSH Tectia Server の SSH USERAUTH CHANGE REQUEST 機能における認証を回避される脆弱性(CVE-2012-5975)

ベンダ情報	GitHub : metasploit-framework/modules/exploits/unix/ssh/tectia_passwd_changereq.rb at master https://github.com/rapid7/metasploit-framework/blob/master/modules/exploits/unix/ssh/tectia_passwd_changereq.rb SSH Communications Security : Tectia SSH Server http://www.ssh.com/index.php/products/tectia-ssh-server.html
CVSS による深刻度	9.3 (危険) [ NVD値 ]
概要	UNIX および Linux 上で稼働する SSH Tectia Server の SSH USERAUTH CHANGE REQUEST 機能には、古い形式のパスワード認証が有効になっている場合、認証を回避される脆弱性が存在します。
影響を受ける製品	SSH コミュニケーションズ・セキュリティ SSH Tectia Server 6.0.4 から 6.0.20 SSH Tectia Server 6.1.0 から 6.1.12 SSH Tectia Server 6.2.0 から 6.2.5 SSH Tectia Server 6.3.0 から 6.3.2
対策	ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
参考情報	SSH Tectia Server の SSH USERAUTH CHANGE REQUEST 機能における認証を回避される脆弱性(JVNDB-2012-005661) http://jvndb.jvn.jp/ja/contents/2012/JVNDB-2012-005661.html Vulnerability Summary for CVE-2012-5975 (NVD) http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-5975

2.CVSSによる深刻度とは

本レポートにて設定されている値は、共通脆弱性評価システムである CVSS を用いて評価されております。
CVSS による深刻度（JVN iPedia）
http://jvndb.jvn.jp/nav/jvndbhelp.html#jvndb3

CVSS でぜい弱性を評価してみよう（ITpro）
http://itpro.nikkeibp.co.jp/article/COLUMN/20070808/279327/

National Vulnerability Database（NVD）
http://nvd.nist.gov/home.cfm

上記脆弱性を悪用した攻撃やその他マルウェアに感染してしまうと、お使いの PC を乗っ取られたり金銭を要求する詐欺行為の被害に遭う恐れがあります。また、昨今のサイバー攻撃の被害は企業レベルに及ぶ場合もあり、その被害金額や対処に必要な工数が膨大になったり、訴訟問題になる事例も確認されております。業務やご家庭で PC をご利用されている以上、最低限のレベルでのセキュリティ対策は必須と言っても過言ではありません。まずはご使用の PC のセキュリティ状況をチェックし、各ベンダ提供のセキュリティパッチの適用、ウイルス対策ソフトのインストール等ご対応をお願い致します。
更なるサイバー犯罪の脅威の対策をお望みの方は、弊社がご提供させていただいているセキュリティソリューション「SHIELD」や、弊社も推奨させていただいている、最新ウイルスの駆除に特化した従来のパターンファイルでの駆除に依存しない次世代セキュリティソリューション「yarai」をお勧め致します。
http://www.hitachi-systems.com/solution/t01/shield/index.html
http://www.hitachi-systems.com/solution/s105/yarai/index.html

* ウイルス対策製品は企業ごと多種多様の性能を備えております。詳しくは各ベンダのサイト等をご参照下さい。

* 各会社名、団体名、商品名は各社、各団体の商品名称、または登録商標です。