<<< JPCERT/CC WEEKLY REPORT 2013-11-27 >>>
■11/17(日)〜11/23(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】EC-CUBE に複数の脆弱性
【3】D-Link DES-3800 シリーズに複数の脆弱性
【今週のひとくちメモ】HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr134701.txt
https://www.jpcert.or.jp/wr/2013/wr134701.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
US-CERT Current Activity
Mozilla Releases Multiple Updates
http://www.us-cert.gov/ncas/current-activity/2013/11/19/Mozilla-Releases-Multiple-Updates
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 25.0.1 より前のバージョン - Firefox ESR 24.1.1 より前のバージョン - Firefox ESR 17.0.11 より前のバージョン - Thunderbird 24.1.1 より前のバージョン - Thunderbird ESR 17.0.11 より前のバージョン - SeaMonkey 2.22.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
【2】EC-CUBE に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#06377589
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06377589/index.htmlJapan Vulnerability Notes JVN#55630933
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN55630933/index.htmlJapan Vulnerability Notes JVN#06870202
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN06870202/index.htmlJapan Vulnerability Notes JVN#11221613
EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN11221613/index.htmlJapan Vulnerability Notes JVN#38790987
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN38790987/index.htmlJapan Vulnerability Notes JVN#61077110
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN61077110/index.html
概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.11.0 - EC-CUBE 2.11.1 - EC-CUBE 2.11.2 - EC-CUBE 2.11.3 - EC-CUBE 2.11.4 - EC-CUBE 2.11.5 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 - EC-CUBE 2.12.3 - EC-CUBE 2.12.3en - EC-CUBE 2.12.3enP1 - EC-CUBE 2.12.3enP2 - EC-CUBE 2.12.4 - EC-CUBE 2.12.4en - EC-CUBE 2.12.5 - EC-CUBE 2.12.5en - EC-CUBE 2.12.6 - EC-CUBE 2.12.6en - EC-CUBE 2.13.0 この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。
関連文書 (日本語)
株式会社ロックオン
個人情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=51株式会社ロックオン
ファイルパス情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=52株式会社ロックオン
クロスサイトリクエストフォージェリの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=53株式会社ロックオン
クロスサイトスクリプティング及び、セッション情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=54株式会社ロックオン
クロスサイト・スクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=55
【3】D-Link DES-3800 シリーズに複数の脆弱性
情報源
Japan Vulnerability Notes JVN#28812735
D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN28812735/index.htmlJapan Vulnerability Notes JVN#65312543
D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN65312543/index.html
概要
D-Link DES-3800 シリーズには、複数の脆弱性があります。結果として、遠隔 の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - DES-3800 シリーズ ファームウェア R4.50B58 より前のバージョン この問題は、ディーリンクジャパン株式会社が提供する修正済みのバージョン に D-Link DES-3800 シリーズのファームウェアを更新することで解決します。 詳細については、ディーリンクジャパン株式会社が提供する情報を参照して下 さい。
関連文書 (日本語)
D-Link Japan DES-3800シリーズ
DES-3828
http://www.dlink-jp.com/product/des-3828#product_firmwareD-Link Japan DES-3800シリーズ
DES-3828P
http://www.dlink-jp.com/product/des-3828p#product_firmwareD-Link Japan DES-3800シリーズ
DES-3828DC
http://www.dlink-jp.com/product/des-3828dc#product_firmwareD-Link Japan DES-3800シリーズ
DES-3852
http://www.dlink-jp.com/product/des-3852#product_firmware
■今週のひとくちメモ
○HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開
2013年10月30日、JPCERT/CC は「HTML5 を利用した Web アプリケーションのセ キュリティ問題に関する調査報告書」を公開しました。本書は、HTML5 および その周辺技術が攻撃者に悪用された際にユーザが受ける影響について調査・検 証した結果や、対策方法をまとめた報告書です。 本書は、HTML5 に対応していない既存の Web アプリケーションが受ける影響に ついても記載しており、Web アプリケーションの開発に関わる全ての人に見て いただきたい内容になっています。 HTML5 に関する技術書・ガイドラインのベース資料や、仲間内の勉強会資料な どに活用いただければ幸いです。
参考文献 (日本語)
JPCERT/CC
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
https://www.jpcert.or.jp/research/html5.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/