<<< JPCERT/CC WEEKLY REPORT 2014-06-04 >>>
■05/25(日)〜05/31(土) のセキュリティ関連情報
目 次
【1】Dell ML6000 および Quantum Scalar i500 に OS コマンドインジェクションの脆弱性
【2】Alfresco Enterprise に複数のクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】J-CSIP 2013年度活動レポートの公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142101.txt
https://www.jpcert.or.jp/wr/2014/wr142101.xml
【1】Dell ML6000 および Quantum Scalar i500 に OS コマンドインジェクションの脆弱性
情報源
CERT/CC Vulnerability Note VU#124908
Dell ML6000 and Quantum Scalar i500 tape backup system command injection vulnerability
https://www.kb.cert.org/vuls/id/124908
概要
Dell ML6000 および Quantum Scalar i500 には、OS コマンドインジェクショ ンの脆弱性があります。結果として、遠隔の第三者が、任意のコマンドを実行 する可能性があります。 対象となる製品およびバージョンは以下の通りです。 - Dell ML6000 ファームウェアバージョン i8.2.0.1 (641G.GS003) およびそれ以前 - Quantum Scalar i500 ファームウェアバージョン i8.2.2 (645G.GS004) およびそれ以前 この問題は、Dell および Quantum が提供する修正済みのバージョンに該当す る製品を更新することで解決します。詳細については、Dell および Quantum が提供する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#99779325
Dell ML6000 と Quantum Scalar i500 に OS コマンドインジェクションの脆弱性
https://jvn.jp/vu/JVNVU99779325/index.htmlDell
Dell PowerVault ML6000 Firmware Update, version A28
http://www.dell.com/support/home/JP/ja/19/Drivers/DriversDetails?driverId=XCC7W
関連文書 (英語)
Quantum
Scalar i500
http://www.quantum.com/serviceandsupport/softwareanddocumentationdownloads/si500/index.aspx
【2】Alfresco Enterprise に複数のクロスサイトスクリプティングの脆弱性
情報源
CERT/CC Vulnerability Note VU#537684
Alfresco Enterprise contains multiple cross-site scripting vulnerabilities
https://www.kb.cert.org/vuls/id/537684
概要
Alfresco Enterprise には、複数のクロスサイトスクリプティングの脆弱性が あります。結果として、遠隔の第三者がユーザのブラウザ上で任意のスクリプ トを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Alfresco Enterprise 4.1.6 およびそれ以前 この問題は、Alfresco が提供する修正済みのバージョンに Alfresco Enterprise を更新することで解決します。詳細については、Alfresco が提供 する情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#92769077
Alfresco Enterprise に複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU92769077/index.html
■今週のひとくちメモ
○J-CSIP 2013年度活動レポートの公開
情報処理推進機構 (IPA) は、サイバー情報共有イニシアティブ (J-CSIP) 2013年度活動レポートを公開しました。このレポートでは、2013年度の J-CSIP の活動概要や成果をまとめるとともに、これまでに寄せられた事例情 報にもとづき、「やり取り型」と名付けた標的型攻撃について解説しています。 「やりとり型」とは、まず最初に偵察メールとして通常の問い合わせを行い、 何度かのやりとりの後にマルウエア付きのメールを送るという、標的型攻撃の 手口の一つです。レポートでは「やりとり型」の手口を具体的に解説していま す。標的型攻撃の対策に役立ててみてはいかがでしょうか。
参考文献 (日本語)
独立行政法人情報処理推進機構 (IPA)
プレス発表 サイバー情報共有イニシアティブ(J-CSIP)2013年度 活動レポートの公開
https://www.ipa.go.jp/about/press/20140530.html独立行政法人情報処理推進機構 (IPA)
IPAテクニカルウォッチ 『標的型攻撃メールの分析』に関するレポート
https://www.ipa.go.jp/about/technicalwatch/20111003.html
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/