<<< JPCERT/CC WEEKLY REPORT 2013-09-04 >>>
■08/25(日)〜08/31(土) のセキュリティ関連情報
目 次
【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性
【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性
【3】Cisco Identity Services Engine に脆弱性
【4】RealPlayer に複数の脆弱性
【今週のひとくちメモ】Java 実行環境を最新に
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr133501.txt
https://www.jpcert.or.jp/wr/2013/wr133501.xml
【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性
情報源
JC3 Bulletin
V-229: IBM Lotus iNotes Input Validation Flaws Permit Cross-Site Scripting Attacks
http://energy.gov/cio/articles/v-229-ibm-lotus-inotes-input-validation-flaws-permit-cross-site-scripting-attacks
概要
IBM Lotus iNotes には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - IBM Lotus iNotes 8.5.x この問題は、IBM が提供する修正済みのバージョンに Lotus iNotes を更新す ることで解決します。詳細については、IBM が提供する情報を参照して下さい。
関連文書 (日本語)
IBM Security Bulletin
(参考) IBM iNotes における脆弱性の問題 (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595)
http://www-01.ibm.com/support/docview.wss?uid=swg21647968
関連文書 (英語)
IBM Security Bulletin
IBM iNotes vulnerabilities (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595)
http://www-01.ibm.com/support/docview.wss?uid=swg21647740
【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性
情報源
Japan Vulnerability Notes JVN#15973066
EC-CUBE における Windows 環境でのディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN15973066/index.html
概要
Windows 上で使用している EC-CUBE には、ディレクトリトラバーサルの脆弱性 があります。結果として、遠隔の第三者が、サーバ上の任意のファイルにアク セスする可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 - EC-CUBE 2.12.3 - EC-CUBE 2.12.3en - EC-CUBE 2.12.3enP1 - EC-CUBE 2.12.3enP2 - EC-CUBE 2.12.4 - EC-CUBE 2.12.4en - EC-CUBE 2.12.5 - EC-CUBE 2.12.5en この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。
関連文書 (日本語)
株式会社ロックオン
Windowsサーバー環境における、ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=50
【3】Cisco Identity Services Engine に脆弱性
情報源
JC3 Bulletin
V-231: Cisco Identity Services Engine Discloses Authentication Credentials to Remote Users
http://energy.gov/cio/articles/v-231-cisco-identity-services-engine-discloses-authentication-credentials-remote-users
概要
Cisco Identity Services Engine には、脆弱性があります。結果として、遠隔 の第三者が、認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Identity Services Engine (ISE) 1.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Identity Services Engine を更新することで解決します。詳細については、Cisco が提 供する情報を参照して下さい。
関連文書 (英語)
Cisco Security Notice
Cisco ISE Captive Portal Application Plaintext Credentials Exposure Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3471
【4】RealPlayer に複数の脆弱性
情報源
US-CERT Vulnerability Note VU#246524
Real Media Player filename handler stack buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/246524JC3 Bulletin
V-228: RealPlayer Buffer Overflow and Memory Corruption Error Let Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-228-realplayer-buffer-overflow-and-memory-corruption-error-let-remote-users-execute
概要
RealPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が、機 微な情報を取得したり、アプリケーションの権限で任意のコードを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - RealPlayer 16.0.3.51 より前のバージョン この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を 更新することで解決します。詳細については、RealNetworks が提供する情報を 参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92153282
RealPlayer のファイル名の処理にスタックバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU92153282/index.htmlRealNetworks, Inc.
セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/08232013_player/ja/
関連文書 (英語)
RealNetworks, Inc.
Releases Update to Address Security Vulnerabilities.
http://service.real.com/realplayer/security/08232013_player/en/
■今週のひとくちメモ
○Java 実行環境を最新に
Java の脆弱性を悪用するマルウエアの活動が報告されています。 Java 6 は、すでにサポートが終了しており、脆弱性の修正は提供されません。 Java の実行環境を必要とするシステムでは、速やかに Java 7 の最新版へアッ プグレードしてください。 Java の実行環境が不要な場合は、アンインストールすることを検討してくださ い。
参考文献 (日本語)
Trend Micro Security Blog
Java 6に存在するゼロデイ脆弱性を確認、最新版への更新を!
http://blog.trendmicro.co.jp/archives/7773Oracle Technology Network
Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/java/eol-135779-ja.html#Interfaces
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/