Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。

対象となるバージョンは以下の通りです。

- iTunes 11.1.4 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに iTunes を更新するこ
とで解決します。詳細については、Apple が提供する情報を参照して下さい。

【2】Apple Pages に脆弱性

情報源

Japan Vulnerability Notes JVNVU#90143917
Apple Pages における脆弱性に対するアップデート
https://jvn.jp/vu/JVNVU90143917/index.html

概要

Apple Pages には、脆弱性があります。結果として、遠隔の第三者が、細工し
た Microsoft Word ドキュメントを閲覧させることで、サービス運用妨害
(DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- OS X 向け Pages 5.1 より前のバージョン
- iOS 7 向け Pages 2.1 より前のバージョン

この問題は、Apple が提供する修正済みのバージョンに Pages を更新すること
で解決します。詳細については、Apple が提供する情報を参照して下さい。

【3】OpenPNE に任意の PHP コードが実行される脆弱性

情報源

Japan Vulnerability Notes JVN#69986880
OpenPNE において任意の PHP コードが実行される脆弱性
https://jvn.jp/jp/JVN69986880/index.html

概要

OpenPNE には、任意の PHP コードが実行される脆弱性があります。結果として、
遠隔の第三者が、任意の PHP コードを実行する可能性があります。

対象となるバージョンは以下の通りです。

- OpenPNE 3.6.13 およびそれ以前
- OpenPNE 3.8.9 およびそれ以前

この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに
OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク
トが提供する情報を参照して下さい。

【4】EC-CUBE に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#17849447
EC-CUBE における情報改ざんの脆弱性
https://jvn.jp/jp/JVN17849447/index.html

Japan Vulnerability Notes JVN#51770585
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN51770585/index.html

概要

EC-CUBE には、複数の脆弱性があります。結果として、ショッピングサイト利
用者が、他の利用者の登録情報を取得したり、改ざんしたりする可能性があり
ます。

対象となるバージョンは以下の通りです。

- EC-CUBE 2.4.4 およびそれ以前のバージョン
- EC-CUBE 2.11.0
- EC-CUBE 2.11.1
- EC-CUBE 2.11.2
- EC-CUBE 2.11.3
- EC-CUBE 2.11.4
- EC-CUBE 2.11.5
- EC-CUBE 2.12.0
- EC-CUBE 2.12.1
- EC-CUBE 2.12.2

この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細については、株式会社ロックオンが提供す
る情報を参照して下さい。

【5】CS-Cart にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#405942
CS-Cart version 4.0.2 contains cross-site scripting vulnerabilities
http://www.kb.cert.org/vuls/id/405942

概要

CS-Cart には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。

対象となるバージョンは以下の通りです。

- CS-Cart 4.1.1 より前のバージョン

この問題は、開発者が提供する修正済みのバージョンに CS-Cart を更新するこ
とで解決します。詳細については、CS-Cart が提供する情報を参照して下さい。

【6】複数の Cisco TelePresence 製品に脆弱性

情報源

US-CERT Current Activity
Cisco Releases Multiple Security Advisories
http://www.us-cert.gov/ncas/current-activity/2014/01/22/Cisco-Releases-Multiple-Security-Advisories

概要

複数の Cisco TelePresence 製品には、脆弱性があります。結果として、ロー
カルのユーザが任意のコードを実行したり、遠隔の第三者がサービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。

対象となる製品は以下の通りです。

- Cisco TelePresence ISDN Gateway
- Cisco TelePresence System Software
- Cisco TelePresence Video Communication Server

この問題は、Cisco が提供する修正済みのバージョンに該当の製品を更新する
ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。

【7】Sleipnir Mobile for Android に位置情報漏えいの脆弱性

情報源

Japan Vulnerability Notes JVN#81637882
Sleipnir Mobile for Android における位置情報漏えいの脆弱性
https://jvn.jp/jp/JVN81637882/index.html

概要

Sleipnir Mobile for Android には、位置情報漏えいの脆弱性があります。結
果として、ユーザの確認なしに、ユーザの位置情報が閲覧中のウェブサイトに
送信される可能性があります。

対象となるバージョンは以下の通りです。

- Sleipnir Mobile for Android 2.12.1 およびそれ以前
- Sleipnir Mobile for Android Black Edition 2.12.1 およびそれ以前

この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile
for Android を更新することで解決します。詳細については、フェンリルが提
供する情報を参照して下さい。

【8】Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性

情報源

CERT/CC Vulnerability Note VU#168751
Emerson Network Power Avocent MergePoint Unity 2016 KVM switches contain a directory traversal vulnerability
http://www.kb.cert.org/vuls/id/168751

概要

Emerson Network Power Avocent MergePoint Unity 2016 には、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者が、当該製品の
設定ファイルを取得し、当該製品に管理者権限でアクセスする可能性がありま
す。

対象となるバージョンは以下の通りです。

- Emerson Network Power Avocent MergePoint Unity 2016 (MPU2016) ファームウェア 1.9.16473 およびそれ以前

この問題は、Emerson Network Power が提供する修正済みのバージョンに該当
製品のファームウェアを更新することで解決します。詳細については、
Emerson Network Power が提供する情報を参照して下さい。

【9】Thecus NAS Server N8800 に複数の脆弱性

情報源

CERT/CC Vulnerability Note VU#105686
Thecus NAS Server N8800 contains multiple vulnerabilities
http://www.kb.cert.org/vuls/id/105686

概要

Thecus NAS Server N8800 には、複数の脆弱性があります。結果として、遠隔
の第三者が、任意の OS コマンドを実行したり、管理者の認証情報を取得した
りする可能性があります。

対象となるバージョンは以下の通りです。

- Thecus NAS Server N8800 ファームウェア 5.03.01 およびそれ以前

2014年1月28日現在、対策済みのファームウエアは提供されていません。以下の
回避策を適用することで、本脆弱性の影響を軽減することが可能です。

- アクセスを制限する

■今週のひとくちメモ

○情報セキュリティ月間

2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のた
めの様々な活動が企画されています。

「国民を守る情報セキュリティサイト」では、様々な資料や関連サイトへのリ
ンクを紹介しています。有識者のリレー形式によるコラムや情報セキュリティ
の普及啓発のためのリーフレットやポスターなども掲載される予定です。

情報セキュリティの普及啓発の一助として、この機会をご活用ください。

参考文献 (日本語)

内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html

JPCERT/CC WEEKLY REPORT ひとくちメモ 2013-02-06
情報セキュリティ月間
https://www.jpcert.or.jp/tips/2013/wr130501.html

■JPCERT/CC からのお願い

本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/

Topへ

Weekly Report 2014-01-29号

<<< JPCERT/CC WEEKLY REPORT 2014-01-29 >>>

■01/19(日)〜01/25(土) のセキュリティ関連情報

目 次

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (英語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

情報源

概要

関連文書 (日本語)

○情報セキュリティ月間

参考文献 (日本語)

■JPCERT/CC からのお願い

目　次