-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-4701 JPCERT/CC 2013-11-27 <<< JPCERT/CC WEEKLY REPORT 2013-11-27 >>> ―――――――――――――――――――――――――――――――――――――― ■11/17(日)〜11/23(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Mozilla 製品群に複数の脆弱性 【2】EC-CUBE に複数の脆弱性 【3】D-Link DES-3800 シリーズに複数の脆弱性 【今週のひとくちメモ】HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr134701.html https://www.jpcert.or.jp/wr/2013/wr134701.xml ============================================================================ 【1】Mozilla 製品群に複数の脆弱性 情報源 US-CERT Current Activity Mozilla Releases Multiple Updates http://www.us-cert.gov/ncas/current-activity/2013/11/19/Mozilla-Releases-Multiple-Updates 概要 Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 25.0.1 より前のバージョン - Firefox ESR 24.1.1 より前のバージョン - Firefox ESR 17.0.11 より前のバージョン - Thunderbird 24.1.1 より前のバージョン - Thunderbird ESR 17.0.11 より前のバージョン - SeaMonkey 2.22.1 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。 関連文書 (日本語) Mozilla Mozilla Foundation セキュリティアドバイザリ http://www.mozilla-japan.org/security/announce/ 【2】EC-CUBE に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#06377589 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN06377589/index.html Japan Vulnerability Notes JVN#55630933 EC-CUBE における情報漏えいの脆弱性 https://jvn.jp/jp/JVN55630933/index.html Japan Vulnerability Notes JVN#06870202 EC-CUBE における情報漏えいの脆弱性 https://jvn.jp/jp/JVN06870202/index.html Japan Vulnerability Notes JVN#11221613 EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性 https://jvn.jp/jp/JVN11221613/index.html Japan Vulnerability Notes JVN#38790987 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN38790987/index.html Japan Vulnerability Notes JVN#61077110 EC-CUBE における情報漏えいの脆弱性 https://jvn.jp/jp/JVN61077110/index.html 概要 EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者がユーザ のブラウザ上で任意のスクリプトを実行するなどの可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.11.0 - EC-CUBE 2.11.1 - EC-CUBE 2.11.2 - EC-CUBE 2.11.3 - EC-CUBE 2.11.4 - EC-CUBE 2.11.5 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 - EC-CUBE 2.12.3 - EC-CUBE 2.12.3en - EC-CUBE 2.12.3enP1 - EC-CUBE 2.12.3enP2 - EC-CUBE 2.12.4 - EC-CUBE 2.12.4en - EC-CUBE 2.12.5 - EC-CUBE 2.12.5en - EC-CUBE 2.12.6 - EC-CUBE 2.12.6en - EC-CUBE 2.13.0 この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。 関連文書 (日本語) 株式会社ロックオン 個人情報漏えいの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=51 株式会社ロックオン ファイルパス情報漏えいの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=52 株式会社ロックオン クロスサイトリクエストフォージェリの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=53 株式会社ロックオン クロスサイトスクリプティング及び、セッション情報漏えいの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=54 株式会社ロックオン クロスサイト・スクリプティングの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=55 【3】D-Link DES-3800 シリーズに複数の脆弱性 情報源 Japan Vulnerability Notes JVN#28812735 D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN28812735/index.html Japan Vulnerability Notes JVN#65312543 D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性 https://jvn.jp/jp/JVN65312543/index.html 概要 D-Link DES-3800 シリーズには、複数の脆弱性があります。結果として、遠隔 の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - DES-3800 シリーズ ファームウェア R4.50B58 より前のバージョン この問題は、ディーリンクジャパン株式会社が提供する修正済みのバージョン に D-Link DES-3800 シリーズのファームウェアを更新することで解決します。 詳細については、ディーリンクジャパン株式会社が提供する情報を参照して下 さい。 関連文書 (日本語) D-Link Japan DES-3800シリーズ DES-3828 http://www.dlink-jp.com/product/des-3828#product_firmware D-Link Japan DES-3800シリーズ DES-3828P http://www.dlink-jp.com/product/des-3828p#product_firmware D-Link Japan DES-3800シリーズ DES-3828DC http://www.dlink-jp.com/product/des-3828dc#product_firmware D-Link Japan DES-3800シリーズ DES-3852 http://www.dlink-jp.com/product/des-3852#product_firmware ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開 2013年10月30日、JPCERT/CC は「HTML5 を利用した Web アプリケーションのセ キュリティ問題に関する調査報告書」を公開しました。本書は、HTML5 および その周辺技術が攻撃者に悪用された際にユーザが受ける影響について調査・検 証した結果や、対策方法をまとめた報告書です。 本書は、HTML5 に対応していない既存の Web アプリケーションが受ける影響に ついても記載しており、Web アプリケーションの開発に関わる全ての人に見て いただきたい内容になっています。 HTML5 に関する技術書・ガイドラインのベース資料や、仲間内の勉強会資料な どに活用いただければ幸いです。 参考文献 (日本語) JPCERT/CC HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 https://www.jpcert.or.jp/research/html5.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJSlUFtAAoJEDF9l6Rp7OBIhVcH/3IZml0pVTuJgxGKbgL0bD7I FfGjj8gUum1SmUSAtIbQpmif/tvODeaddxzXAvRPHKLIJL8DBAMgDmHnm3f9XeLZ TXTi4olow3hLJt1VV6WJ9jh4jreVV4r2dXe6JQPvPzA7JfQTI+4KxWkt5Up+Ynem z0QWaOUwxzoFVl28cGyfhP+ELG1SJbPhVO175US/US2dgy2d7eaHCuEpBEJkVJ5g aNCdDCNgrRNCpiWVzefgdH9oYT43Ya1yJYn8iS/SRneDXQbYx7AaXqWoYd4WnlA5 7gQdot6OIeUXAwtyjc/XV50bQOzL1yTq2Mta58RfLU9NqEg/qoExdVIqkiuGuCY= =DESH -----END PGP SIGNATURE-----