<<< JPCERT/CC WEEKLY REPORT 2014-01-29 >>>
■01/19(日)〜01/25(土) のセキュリティ関連情報
目 次
【1】Apple iTunes に複数の脆弱性
【2】Apple Pages に脆弱性
【3】OpenPNE に任意の PHP コードが実行される脆弱性
【4】EC-CUBE に複数の脆弱性
【5】CS-Cart にクロスサイトスクリプティングの脆弱性
【6】複数の Cisco TelePresence 製品に脆弱性
【7】Sleipnir Mobile for Android に位置情報漏えいの脆弱性
【8】Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性
【9】Thecus NAS Server N8800 に複数の脆弱性
【今週のひとくちメモ】情報セキュリティ月間
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr140401.txt
https://www.jpcert.or.jp/wr/2014/wr140401.xml
【1】Apple iTunes に複数の脆弱性
情報源
Japan Vulnerability Notes JVNVU#94321146
Apple iTunes における複数の脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU94321146/index.html
概要
Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - iTunes 11.1.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iTunes を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple
About the security content of iTunes 11.1.4
http://support.apple.com/kb/HT6001
【2】Apple Pages に脆弱性
情報源
Japan Vulnerability Notes JVNVU#90143917
Apple Pages における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90143917/index.html
概要
Apple Pages には、脆弱性があります。結果として、遠隔の第三者が、細工し た Microsoft Word ドキュメントを閲覧させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - OS X 向け Pages 5.1 より前のバージョン - iOS 7 向け Pages 2.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Pages を更新すること で解決します。詳細については、Apple が提供する情報を参照して下さい。
関連文書 (英語)
Apple
About the security content of Pages 5.1 and Pages 2.1
http://support.apple.com/kb/HT6117
【3】OpenPNE に任意の PHP コードが実行される脆弱性
情報源
Japan Vulnerability Notes JVN#69986880
OpenPNE において任意の PHP コードが実行される脆弱性
https://jvn.jp/jp/JVN69986880/index.html
概要
OpenPNE には、任意の PHP コードが実行される脆弱性があります。結果として、 遠隔の第三者が、任意の PHP コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenPNE 3.6.13 およびそれ以前 - OpenPNE 3.8.9 およびそれ以前 この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク トが提供する情報を参照して下さい。
関連文書 (日本語)
OpenPNE
【緊急リリース】OpenPNE 3.6.13, 3.8.9 以下の「次回から自動ログイン」機能に存在する PHP Object Injection 脆弱性対応のお知らせ (OPSA-2014-001)
https://www.openpne.jp/archives/12293/
【4】EC-CUBE に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#17849447
EC-CUBE における情報改ざんの脆弱性
https://jvn.jp/jp/JVN17849447/index.htmlJapan Vulnerability Notes JVN#51770585
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN51770585/index.html
概要
EC-CUBE には、複数の脆弱性があります。結果として、ショッピングサイト利 用者が、他の利用者の登録情報を取得したり、改ざんしたりする可能性があり ます。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.4.4 およびそれ以前のバージョン - EC-CUBE 2.11.0 - EC-CUBE 2.11.1 - EC-CUBE 2.11.2 - EC-CUBE 2.11.3 - EC-CUBE 2.11.4 - EC-CUBE 2.11.5 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。
関連文書 (日本語)
株式会社ロックオン
個人情報削除の脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=56株式会社ロックオン
個人情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=57
【5】CS-Cart にクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#405942
CS-Cart version 4.0.2 contains cross-site scripting vulnerabilities
http://www.kb.cert.org/vuls/id/405942
概要
CS-Cart には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - CS-Cart 4.1.1 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに CS-Cart を更新するこ とで解決します。詳細については、CS-Cart が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#97395039
CS-Cart にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU97395039/index.html
【6】複数の Cisco TelePresence 製品に脆弱性
情報源
US-CERT Current Activity
Cisco Releases Multiple Security Advisories
http://www.us-cert.gov/ncas/current-activity/2014/01/22/Cisco-Releases-Multiple-Security-Advisories
概要
複数の Cisco TelePresence 製品には、脆弱性があります。結果として、ロー カルのユーザが任意のコードを実行したり、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Cisco TelePresence ISDN Gateway - Cisco TelePresence System Software - Cisco TelePresence Video Communication Server この問題は、Cisco が提供する修正済みのバージョンに該当の製品を更新する ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。
関連文書 (英語)
Cisco Security Advisory
Cisco TelePresence ISDN Gateway D-Channel Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-isdngwCisco Security Advisory
Cisco TelePresence System Software Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-ctsCisco Security Advisory
Cisco TelePresence Video Communication Server SIP Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-vcs
【7】Sleipnir Mobile for Android に位置情報漏えいの脆弱性
情報源
Japan Vulnerability Notes JVN#81637882
Sleipnir Mobile for Android における位置情報漏えいの脆弱性
https://jvn.jp/jp/JVN81637882/index.html
概要
Sleipnir Mobile for Android には、位置情報漏えいの脆弱性があります。結 果として、ユーザの確認なしに、ユーザの位置情報が閲覧中のウェブサイトに 送信される可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.12.1 およびそれ以前 - Sleipnir Mobile for Android Black Edition 2.12.1 およびそれ以前 この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile for Android を更新することで解決します。詳細については、フェンリルが提 供する情報を参照して下さい。
関連文書 (日本語)
Google Play
Sleipnir Mobile - ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnirGoogle Play
Sleipnir Mobile Black Edition
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black
【8】Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性
情報源
CERT/CC Vulnerability Note VU#168751
Emerson Network Power Avocent MergePoint Unity 2016 KVM switches contain a directory traversal vulnerability
http://www.kb.cert.org/vuls/id/168751
概要
Emerson Network Power Avocent MergePoint Unity 2016 には、ディレクトリ トラバーサルの脆弱性があります。結果として、遠隔の第三者が、当該製品の 設定ファイルを取得し、当該製品に管理者権限でアクセスする可能性がありま す。 対象となるバージョンは以下の通りです。 - Emerson Network Power Avocent MergePoint Unity 2016 (MPU2016) ファームウェア 1.9.16473 およびそれ以前 この問題は、Emerson Network Power が提供する修正済みのバージョンに該当 製品のファームウェアを更新することで解決します。詳細については、 Emerson Network Power が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#95235811
Emerson Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU95235811/index.html
【9】Thecus NAS Server N8800 に複数の脆弱性
情報源
CERT/CC Vulnerability Note VU#105686
Thecus NAS Server N8800 contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/105686
概要
Thecus NAS Server N8800 には、複数の脆弱性があります。結果として、遠隔 の第三者が、任意の OS コマンドを実行したり、管理者の認証情報を取得した りする可能性があります。 対象となるバージョンは以下の通りです。 - Thecus NAS Server N8800 ファームウェア 5.03.01 およびそれ以前 2014年1月28日現在、対策済みのファームウエアは提供されていません。以下の 回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - アクセスを制限する
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#96911453
Thecus N8800 に複数の脆弱性
https://jvn.jp/vu/JVNVU96911453/index.html
■今週のひとくちメモ
○情報セキュリティ月間
2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のた めの様々な活動が企画されています。 「国民を守る情報セキュリティサイト」では、様々な資料や関連サイトへのリ ンクを紹介しています。有識者のリレー形式によるコラムや情報セキュリティ の普及啓発のためのリーフレットやポスターなども掲載される予定です。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。
参考文献 (日本語)
内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.htmlJPCERT/CC WEEKLY REPORT ひとくちメモ 2013-02-06
情報セキュリティ月間
https://www.jpcert.or.jp/tips/2013/wr130501.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/