脆弱性が放置された6製品に関する情報をJVNが公開
3月13日、脆弱性情報を公開するJVNは、複数のソフトウェアに関する脆弱性の情報を公開した。これは、独立行政法人 情報処理推進機構(IPA)に届出があったものの、開発者と連絡がとれずに脆弱性が放置されている6製品に関する情報だ。
6製品は、以下のとおり。
・プロキシサーバーを構築するための「WebProxy」
・クイズを作成するための CGI スクリプト「QQQ SYSTEMS」
・FTP サーバーの「Tiny FTP Daemon」
・Windows用のグラフィックビューアソフト「ViX」
・Webサイトに設置する掲示板ソフト「PHP 2chBBS」
・単語とその意味を投稿するための辞典ソフト「ArsenoL」
なお、「QQQ SYSTEMS」については4件の脆弱性情報が公開されている。
これらの脆弱性は、ユーザーが知らずに使用し続けるおそれがあることから、情報セキュリティ早期警戒パートナーシップガイドラインに基づき、公表判定委員会の審議を経て公表された。
対象ユーザーは早急に利用を中止することが推奨される。
・WebProxy におけるディレクトリトラバーサルの脆弱性(JVN#87226910)
・QQQ SYSTEMS における OS コマンドインジェクションの脆弱性(JVN#22536871)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#46471407)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#96655441)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#64990648)
・Tiny FTP Daemon におけるバッファオーバーフローの脆弱性(JVN#92259864)
・ViX における DLL 読み込みに関する脆弱性(JVN#56764650)
・PHP 2chBBS におけるクロスサイトスクリプティングの脆弱性(JVN#48774168)
・ArsenoL におけるクロスサイトスクリプティングの脆弱性(JVN#30864198)
・【セキュリティ ニュース】脆弱性見つかった6製品、開発者から応答なく未修正 - 利用中止呼びかけ(Security NEXT)
- 2015年10月28日
- マルバタイジングとは
- 2015年3月 9日
- 2015年2月のIT総括
- 2014年10月30日
- POODLE(プードル)とは
- 2014年9月19日
- コードサイニングとは
- 2014年5月16日
- 第5回 あなたのパスワードが狙われている!フィッシングの被害を防ぐための4つのポイント