<<< JPCERT/CC WEEKLY REPORT 2013-09-04 >>>

■08/25(日)〜08/31(土) のセキュリティ関連情報

目　次

【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性

【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性

【3】Cisco Identity Services Engine に脆弱性

【4】RealPlayer に複数の脆弱性

【今週のひとくちメモ】Java 実行環境を最新に

【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性

情報源

JC3 Bulletin
V-229: IBM Lotus iNotes Input Validation Flaws Permit Cross-Site Scripting Attacks
http://energy.gov/cio/articles/v-229-ibm-lotus-inotes-input-validation-flaws-permit-cross-site-scripting-attacks

概要

IBM Lotus iNotes には、クロスサイトスクリプティングの脆弱性があります。
結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行
する可能性があります。

対象となるバージョンは以下の通りです。

- IBM Lotus iNotes 8.5.x

この問題は、IBM が提供する修正済みのバージョンに Lotus iNotes を更新す
ることで解決します。詳細については、IBM が提供する情報を参照して下さい。

関連文書 (日本語)

IBM Security Bulletin
(参考) IBM iNotes における脆弱性の問題 (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595)
http://www-01.ibm.com/support/docview.wss?uid=swg21647968

関連文書 (英語)

IBM Security Bulletin
IBM iNotes vulnerabilities (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595)
http://www-01.ibm.com/support/docview.wss?uid=swg21647740

【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性

情報源

Japan Vulnerability Notes JVN#15973066
EC-CUBE における Windows 環境でのディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN15973066/index.html

概要

Windows 上で使用している EC-CUBE には、ディレクトリトラバーサルの脆弱性
があります。結果として、遠隔の第三者が、サーバ上の任意のファイルにアク
セスする可能性があります。

対象となるバージョンは以下の通りです。

- EC-CUBE 2.12.0
- EC-CUBE 2.12.1
- EC-CUBE 2.12.2
- EC-CUBE 2.12.3
- EC-CUBE 2.12.3en
- EC-CUBE 2.12.3enP1
- EC-CUBE 2.12.3enP2
- EC-CUBE 2.12.4
- EC-CUBE 2.12.4en
- EC-CUBE 2.12.5
- EC-CUBE 2.12.5en

この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細については、株式会社ロックオンが提供す
る情報を参照して下さい。

関連文書 (日本語)

株式会社ロックオン
Windowsサーバー環境における、ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=50

【3】Cisco Identity Services Engine に脆弱性

情報源

JC3 Bulletin
V-231: Cisco Identity Services Engine Discloses Authentication Credentials to Remote Users
http://energy.gov/cio/articles/v-231-cisco-identity-services-engine-discloses-authentication-credentials-remote-users

概要

Cisco Identity Services Engine には、脆弱性があります。結果として、遠隔
の第三者が、認証情報を取得する可能性があります。

対象となるバージョンは以下の通りです。

- Cisco Identity Services Engine (ISE) 1.x

この問題は、Cisco が提供する修正済みのバージョンに Cisco Identity
Services Engine を更新することで解決します。詳細については、Cisco が提
供する情報を参照して下さい。

関連文書 (英語)

Cisco Security Notice
Cisco ISE Captive Portal Application Plaintext Credentials Exposure Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3471

【4】RealPlayer に複数の脆弱性

情報源

US-CERT Vulnerability Note VU#246524
Real Media Player filename handler stack buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/246524

JC3 Bulletin
V-228: RealPlayer Buffer Overflow and Memory Corruption Error Let Remote Users Execute Arbitrary Code
http://energy.gov/cio/articles/v-228-realplayer-buffer-overflow-and-memory-corruption-error-let-remote-users-execute

概要

RealPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が、機
微な情報を取得したり、アプリケーションの権限で任意のコードを実行したり
する可能性があります。

対象となるバージョンは以下の通りです。

- RealPlayer 16.0.3.51 より前のバージョン

この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を
更新することで解決します。詳細については、RealNetworks が提供する情報を
参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92153282
RealPlayer のファイル名の処理にスタックバッファオーバーフローの脆弱性
https://jvn.jp/cert/JVNVU92153282/index.html

RealNetworks, Inc.
セキュリティ脆弱性に対応するアップデートをリリース
http://service.real.com/realplayer/security/08232013_player/ja/

関連文書 (英語)

RealNetworks, Inc.
Releases Update to Address Security Vulnerabilities.
http://service.real.com/realplayer/security/08232013_player/en/

■今週のひとくちメモ

○Java 実行環境を最新に

Java の脆弱性を悪用するマルウエアの活動が報告されています。

Java 6 は、すでにサポートが終了しており、脆弱性の修正は提供されません。
Java の実行環境を必要とするシステムでは、速やかに Java 7 の最新版へアッ
プグレードしてください。

Java の実行環境が不要な場合は、アンインストールすることを検討してくださ
い。

参考文献 (日本語)

Trend Micro Security Blog
Java 6に存在するゼロデイ脆弱性を確認、最新版への更新を！
http://blog.trendmicro.co.jp/archives/7773

Oracle Technology Network
Oracle Java SEサポート・ロードマップ
http://www.oracle.com/technetwork/java/eol-135779-ja.html#Interfaces

■JPCERT/CC からのお願い