<<< JPCERT/CC WEEKLY REPORT 2013-05-29 >>>
■05/19(日)〜05/25(土) のセキュリティ関連情報
目 次
【1】EC-CUBE に複数の脆弱性
【2】Apple QuickTime に複数の脆弱性
【3】Apache Struts に脆弱性
【4】Red Hat Network Satellite Server に脆弱性
【5】Wireshark に複数の脆弱性
【今週のひとくちメモ】「不正」なアクセスに備える
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132101.txt
https://www.jpcert.or.jp/wr/2013/wr132101.xml
【1】EC-CUBE に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#52552792
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN52552792/index.htmlJapan Vulnerability Notes JVN#00985872
EC-CUBE におけるセッション固定の脆弱性
https://jvn.jp/jp/JVN00985872/index.htmlJapan Vulnerability Notes JVN#45306814
EC-CUBE におけるアクセス制限不備の脆弱性
https://jvn.jp/jp/JVN45306814/index.htmlJapan Vulnerability Notes JVN#39699406
EC-CUBE における不適切な入力確認に起因する情報漏えいの脆弱性
https://jvn.jp/jp/JVN39699406/index.html
概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザになりすましたり、ユーザのブラウザ上で任意のコードを実行したりする可 能性があります。 この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE を更新す ることで解決します。詳細については、ロックオンが提供する情報を参照して 下さい。
関連文書 (日本語)
株式会社ロックオン
カート画面でのXSS脆弱性、及びセッション固定の脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=40株式会社ロックオン
一部環境における、管理画面の不適切な認証に関する脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=42株式会社ロックオン
パスワードリマインド機能における不適切な入力確認の脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=43
【2】Apple QuickTime に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#92679127
Apple QuickTime における複数の脆弱性に対するアップデート
https://jvn.jp/cert/JVNVU92679127/index.html
概要
Apple の QuickTime には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Apple QuickTime (Windows) 7.7.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple Support
About the security content of QuickTime 7.7.4
http://support.apple.com/kb/HT5770
【3】Apache Struts に脆弱性
情報源
JC3 Bulletin
V-162: Apache Struts "ParameterInterceptor" Security Bypass Vulnerability
http://energy.gov/cio/articles/v-162-apache-struts-parameterinterceptor-security-bypass-vulnerability
概要
Apache Struts には脆弱性があります。結果として、遠隔の第三者が任意の OGNL コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Struts 2.3.14.1 より前のバージョン この問題は、Apache Struts Project が提供する修正済みのバージョンに Apache Struts を更新することで解決します。詳細については、Apache Struts Project が提供する情報を参照して下さい。
関連文書 (英語)
Apache Struts Advisory S2-012
Showcase app vulnerability allows remote command execution
http://struts.apache.org/development/2.x/docs/s2-012.htmlApache Struts Advisory S2-013
A vulnerability, present in the includeParams attribute of the URL and Anchor Tag, allows remote command execution
http://struts.apache.org/development/2.x/docs/s2-013.html
【4】Red Hat Network Satellite Server に脆弱性
情報源
JC3 Bulletin
V-163: Red Hat Network Satellite Server Inter-Satellite Sync Remote Authentication Bypass
http://energy.gov/cio/articles/v-163-red-hat-network-satellite-server-inter-satellite-sync-remote-authentication
概要
Red Hat Network Satellite には、脆弱性があります。結果として、遠隔の第 三者が、認証を回避してサーバにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Red Hat Network Satellite (v. 5.3 for RHEL 5) - Red Hat Network Satellite (v. 5.4 for RHEL 5) - Red Hat Network Satellite (v. 5.4 for RHEL 6) - Red Hat Network Satellite (v. 5.5 for RHEL 5) - Red Hat Network Satellite (v. 5.5 for RHEL 6) この問題は、Red Hat が提供する修正済みのバージョンに Red Hat Network Satellite を更新することで解決します。詳細については、Red Hat が提供す る情報を参照して下さい。
関連文書 (英語)
Redhat Customer Portal
Moderate: Red Hat Network Satellite spacewalk-backend security update
http://rhn.redhat.com/errata/RHSA-2013-0848.html
【5】Wireshark に複数の脆弱性
情報源
JC3 Bulletin
V-160: Wireshark Multiple Bugs Let Remote Users Deny Service
http://energy.gov/cio/articles/v-160-wireshark-multiple-bugs-let-remote-users-deny-service
概要
Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark バージョン 1.8.0 から 1.8.6 のバージョン この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新 することで解決します。詳細については、Wireshark が提供する情報を参照し て下さい。
関連文書 (英語)
Wireshark
Wireshark 1.8.7 Release Notes
http://www.wireshark.org/docs/relnotes/wireshark-1.8.7.html
■今週のひとくちメモ
○「不正」なアクセスに備える
最近、様々なインターネットサービスにおいて、ユーザアカウントが不正にア クセスされる事例が多数発生しています。提供しているサービスに応じてどの ようなアクセスが「不正」なのかを検討し、日常のオペレーションで怪しいア クセスを検知できるようにしましょう。 また、不正なアクセスが行われてから、システム管理側が不正なアクセスに気 づくまでに時間がかかっている例も見受けられます。不正なアクセスが行われ たら速やかに対応できるよう、体制を整えましょう。
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/