脆弱性が放置された6製品に関する情報をJVNが公開
0
0 - 2018年3月27日
3月13日、脆弱性情報を公開するJVNは、複数のソフトウェアに関する脆弱性の情報を公開した。これは、独立行政法人 情報処理推進機構(IPA)に届出があったものの、開発者と連絡がとれずに脆弱性が放置されている6製品に関する情報だ。
6製品は、以下のとおり。
・プロキシサーバーを構築するための「WebProxy」
・クイズを作成するための CGI スクリプト「QQQ SYSTEMS」
・FTP サーバーの「Tiny FTP Daemon」
・Windows用のグラフィックビューアソフト「ViX」
・Webサイトに設置する掲示板ソフト「PHP 2chBBS」
・単語とその意味を投稿するための辞典ソフト「ArsenoL」
なお、「QQQ SYSTEMS」については4件の脆弱性情報が公開されている。
これらの脆弱性は、ユーザーが知らずに使用し続けるおそれがあることから、情報セキュリティ早期警戒パートナーシップガイドラインに基づき、公表判定委員会の審議を経て公表された。
対象ユーザーは早急に利用を中止することが推奨される。
・WebProxy におけるディレクトリトラバーサルの脆弱性(JVN#87226910)
・QQQ SYSTEMS における OS コマンドインジェクションの脆弱性(JVN#22536871)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#46471407)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#96655441)
・QQQ SYSTEMS におけるクロスサイトスクリプティングの脆弱性(JVN#64990648)
・Tiny FTP Daemon におけるバッファオーバーフローの脆弱性(JVN#92259864)
・ViX における DLL 読み込みに関する脆弱性(JVN#56764650)
・PHP 2chBBS におけるクロスサイトスクリプティングの脆弱性(JVN#48774168)
・ArsenoL におけるクロスサイトスクリプティングの脆弱性(JVN#30864198)
・【セキュリティ ニュース】脆弱性見つかった6製品、開発者から応答なく未修正 - 利用中止呼びかけ(Security NEXT)
トータルセキュリティソリューション
確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできる様々なセキュリティニーズに対応したソリューションをご提供します。
サイバー攻撃対策ソリューション
高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。
-
IPAが「不正ログイン対策」の特集ページを開設
- 2015年3月 9日
- 2015年2月のIT総括
- 2015年10月28日
- マルバタイジングとは
- 2013年8月 6日
- マイクロソフトが夏季休暇前のセキュリティ対策を呼びかけ
- 2014年4月17日
- OpenSSLに情報漏えいの脆弱性(CVE-2014-0160)が確認される
- 2015年9月18日
- IBMが「メール添付型のマルウェアの通信を多数検知」と発表
