-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-3501 JPCERT/CC 2013-09-04 <<< JPCERT/CC WEEKLY REPORT 2013-09-04 >>> ―――――――――――――――――――――――――――――――――――――― ■08/25(日)〜08/31(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性 【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性 【3】Cisco Identity Services Engine に脆弱性 【4】RealPlayer に複数の脆弱性 【今週のひとくちメモ】Java 実行環境を最新に ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr133501.html https://www.jpcert.or.jp/wr/2013/wr133501.xml ============================================================================ 【1】IBM Lotus iNotes にクロスサイトスクリプティングの脆弱性 情報源 JC3 Bulletin V-229: IBM Lotus iNotes Input Validation Flaws Permit Cross-Site Scripting Attacks http://energy.gov/cio/articles/v-229-ibm-lotus-inotes-input-validation-flaws-permit-cross-site-scripting-attacks 概要 IBM Lotus iNotes には、クロスサイトスクリプティングの脆弱性があります。 結果として、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行 する可能性があります。 対象となるバージョンは以下の通りです。 - IBM Lotus iNotes 8.5.x この問題は、IBM が提供する修正済みのバージョンに Lotus iNotes を更新す ることで解決します。詳細については、IBM が提供する情報を参照して下さい。 関連文書 (日本語) IBM Security Bulletin (参考) IBM iNotes における脆弱性の問題 (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595) http://www-01.ibm.com/support/docview.wss?uid=swg21647968 関連文書 (英語) IBM Security Bulletin IBM iNotes vulnerabilities (CVE-2013-0590, CVE-2013-0591, CVE-2013-0595) http://www-01.ibm.com/support/docview.wss?uid=swg21647740 【2】Windows 上の EC-CUBE にディレクトリトラバーサルの脆弱性 情報源 Japan Vulnerability Notes JVN#15973066 EC-CUBE における Windows 環境でのディレクトリトラバーサルの脆弱性 https://jvn.jp/jp/JVN15973066/index.html 概要 Windows 上で使用している EC-CUBE には、ディレクトリトラバーサルの脆弱性 があります。結果として、遠隔の第三者が、サーバ上の任意のファイルにアク セスする可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 - EC-CUBE 2.12.3 - EC-CUBE 2.12.3en - EC-CUBE 2.12.3enP1 - EC-CUBE 2.12.3enP2 - EC-CUBE 2.12.4 - EC-CUBE 2.12.4en - EC-CUBE 2.12.5 - EC-CUBE 2.12.5en この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。 関連文書 (日本語) 株式会社ロックオン Windowsサーバー環境における、ディレクトリトラバーサルの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=50 【3】Cisco Identity Services Engine に脆弱性 情報源 JC3 Bulletin V-231: Cisco Identity Services Engine Discloses Authentication Credentials to Remote Users http://energy.gov/cio/articles/v-231-cisco-identity-services-engine-discloses-authentication-credentials-remote-users 概要 Cisco Identity Services Engine には、脆弱性があります。結果として、遠隔 の第三者が、認証情報を取得する可能性があります。 対象となるバージョンは以下の通りです。 - Cisco Identity Services Engine (ISE) 1.x この問題は、Cisco が提供する修正済みのバージョンに Cisco Identity Services Engine を更新することで解決します。詳細については、Cisco が提 供する情報を参照して下さい。 関連文書 (英語) Cisco Security Notice Cisco ISE Captive Portal Application Plaintext Credentials Exposure Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityNotice/CVE-2013-3471 【4】RealPlayer に複数の脆弱性 情報源 US-CERT Vulnerability Note VU#246524 Real Media Player filename handler stack buffer overflow vulnerability http://www.kb.cert.org/vuls/id/246524 JC3 Bulletin V-228: RealPlayer Buffer Overflow and Memory Corruption Error Let Remote Users Execute Arbitrary Code http://energy.gov/cio/articles/v-228-realplayer-buffer-overflow-and-memory-corruption-error-let-remote-users-execute 概要 RealPlayer には、複数の脆弱性があります。結果として、遠隔の第三者が、機 微な情報を取得したり、アプリケーションの権限で任意のコードを実行したり する可能性があります。 対象となるバージョンは以下の通りです。 - RealPlayer 16.0.3.51 より前のバージョン この問題は、RealNetworks が提供する修正済みのバージョンに RealPlayer を 更新することで解決します。詳細については、RealNetworks が提供する情報を 参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#92153282 RealPlayer のファイル名の処理にスタックバッファオーバーフローの脆弱性 https://jvn.jp/cert/JVNVU92153282/index.html RealNetworks, Inc. セキュリティ脆弱性に対応するアップデートをリリース http://service.real.com/realplayer/security/08232013_player/ja/ 関連文書 (英語) RealNetworks, Inc. Releases Update to Address Security Vulnerabilities. http://service.real.com/realplayer/security/08232013_player/en/ ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○Java 実行環境を最新に Java の脆弱性を悪用するマルウエアの活動が報告されています。 Java 6 は、すでにサポートが終了しており、脆弱性の修正は提供されません。 Java の実行環境を必要とするシステムでは、速やかに Java 7 の最新版へアッ プグレードしてください。 Java の実行環境が不要な場合は、アンインストールすることを検討してくださ い。 参考文献 (日本語) Trend Micro Security Blog Java 6に存在するゼロデイ脆弱性を確認、最新版への更新を! http://blog.trendmicro.co.jp/archives/7773 Oracle Technology Network Oracle Java SEサポート・ロードマップ http://www.oracle.com/technetwork/java/eol-135779-ja.html#Interfaces ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSJocGAAoJEDF9l6Rp7OBIHEEH/jQvDXbjmUfFlGRfKn+29ZlS phKyzYP/72EXeTu1nolUneJWZjs6wkuc7Th9ViRJl/mMU76mDcb1RdqvoV5JGH/l GtKPJ03V+1rr+VKDsplipC4wdgPBWzhhH3KXf6EkPjP3dfSH2hvv6oMhVrFX/CBu +0M/ac1HBGBrGmJOWZHBI3CUd/qMKW6VT9Qq1uDuJZkG7YZ7YEYtscxA3lCtWogC AOJW2G5bR3FGCqv2aPU7CbydGVKUofidoYPmNZpC11VhJiYwW/dCZeLZ297VXhDB kCJDeFvilNKiGtpntOVtzTLAdVn3/Bz4EKDghwMzM7jOkRV9N98G2bQYuYL4PG8= =c22y -----END PGP SIGNATURE-----