JPCERT-WR-2014-0401
2014-01-29
2014-01-19
2014-01-25
Apple iTunes に複数の脆弱性
Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能
性があります。
対象となるバージョンは以下の通りです。
- iTunes 11.1.4 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに iTunes を更新するこ
とで解決します。詳細については、Apple が提供する情報を参照して下さい。
Apple
About the security content of iTunes 11.1.4
http://support.apple.com/kb/HT6001
Apple Pages に脆弱性
Apple Pages には、脆弱性があります。結果として、遠隔の第三者が、細工し
た Microsoft Word ドキュメントを閲覧させることで、サービス運用妨害
(DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があります。
対象となるバージョンは以下の通りです。
- OS X 向け Pages 5.1 より前のバージョン
- iOS 7 向け Pages 2.1 より前のバージョン
この問題は、Apple が提供する修正済みのバージョンに Pages を更新すること
で解決します。詳細については、Apple が提供する情報を参照して下さい。
Apple
About the security content of Pages 5.1 and Pages 2.1
http://support.apple.com/kb/HT6117
OpenPNE に任意の PHP コードが実行される脆弱性
OpenPNE には、任意の PHP コードが実行される脆弱性があります。結果として、
遠隔の第三者が、任意の PHP コードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- OpenPNE 3.6.13 およびそれ以前
- OpenPNE 3.8.9 およびそれ以前
この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに
OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク
トが提供する情報を参照して下さい。
OpenPNE
【緊急リリース】OpenPNE 3.6.13, 3.8.9 以下の「次回から自動ログイン」機能に存在する PHP Object Injection 脆弱性対応のお知らせ (OPSA-2014-001)
https://www.openpne.jp/archives/12293/
EC-CUBE に複数の脆弱性
EC-CUBE には、複数の脆弱性があります。結果として、ショッピングサイト利
用者が、他の利用者の登録情報を取得したり、改ざんしたりする可能性があり
ます。
対象となるバージョンは以下の通りです。
- EC-CUBE 2.4.4 およびそれ以前のバージョン
- EC-CUBE 2.11.0
- EC-CUBE 2.11.1
- EC-CUBE 2.11.2
- EC-CUBE 2.11.3
- EC-CUBE 2.11.4
- EC-CUBE 2.11.5
- EC-CUBE 2.12.0
- EC-CUBE 2.12.1
- EC-CUBE 2.12.2
この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細については、株式会社ロックオンが提供す
る情報を参照して下さい。
株式会社ロックオン
個人情報削除の脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=56
株式会社ロックオン
個人情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=57
CS-Cart にクロスサイトスクリプティングの脆弱性
CS-Cart には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能
性があります。
対象となるバージョンは以下の通りです。
- CS-Cart 4.1.1 より前のバージョン
この問題は、開発者が提供する修正済みのバージョンに CS-Cart を更新するこ
とで解決します。詳細については、CS-Cart が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#97395039
CS-Cart にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU97395039/index.html
複数の Cisco TelePresence 製品に脆弱性
複数の Cisco TelePresence 製品には、脆弱性があります。結果として、ロー
カルのユーザが任意のコードを実行したり、遠隔の第三者がサービス運用妨害
(DoS) 攻撃を行ったりする可能性があります。
対象となる製品は以下の通りです。
- Cisco TelePresence ISDN Gateway
- Cisco TelePresence System Software
- Cisco TelePresence Video Communication Server
この問題は、Cisco が提供する修正済みのバージョンに該当の製品を更新する
ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。
Cisco Security Advisory
Cisco TelePresence ISDN Gateway D-Channel Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-isdngw
Cisco Security Advisory
Cisco TelePresence System Software Command Execution Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-cts
Cisco Security Advisory
Cisco TelePresence Video Communication Server SIP Denial of Service Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-vcs
Sleipnir Mobile for Android に位置情報漏えいの脆弱性
Sleipnir Mobile for Android には、位置情報漏えいの脆弱性があります。結
果として、ユーザの確認なしに、ユーザの位置情報が閲覧中のウェブサイトに
送信される可能性があります。
対象となるバージョンは以下の通りです。
- Sleipnir Mobile for Android 2.12.1 およびそれ以前
- Sleipnir Mobile for Android Black Edition 2.12.1 およびそれ以前
この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile
for Android を更新することで解決します。詳細については、フェンリルが提
供する情報を参照して下さい。
Google Play
Sleipnir Mobile - ウェブブラウザ
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir
Google Play
Sleipnir Mobile Black Edition
https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black
Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性
Emerson Network Power Avocent MergePoint Unity 2016 には、ディレクトリ
トラバーサルの脆弱性があります。結果として、遠隔の第三者が、当該製品の
設定ファイルを取得し、当該製品に管理者権限でアクセスする可能性がありま
す。
対象となるバージョンは以下の通りです。
- Emerson Network Power Avocent MergePoint Unity 2016 (MPU2016) ファームウェア 1.9.16473 およびそれ以前
この問題は、Emerson Network Power が提供する修正済みのバージョンに該当
製品のファームウェアを更新することで解決します。詳細については、
Emerson Network Power が提供する情報を参照して下さい。
Japan Vulnerability Notes JVNVU#95235811
Emerson Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性
https://jvn.jp/vu/JVNVU95235811/index.html
Thecus NAS Server N8800 に複数の脆弱性
Thecus NAS Server N8800 には、複数の脆弱性があります。結果として、遠隔
の第三者が、任意の OS コマンドを実行したり、管理者の認証情報を取得した
りする可能性があります。
対象となるバージョンは以下の通りです。
- Thecus NAS Server N8800 ファームウェア 5.03.01 およびそれ以前
2014年1月28日現在、対策済みのファームウエアは提供されていません。以下の
回避策を適用することで、本脆弱性の影響を軽減することが可能です。
- アクセスを制限する
Japan Vulnerability Notes JVNVU#96911453
Thecus N8800 に複数の脆弱性
https://jvn.jp/vu/JVNVU96911453/index.html
情報セキュリティ月間
2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のた
めの様々な活動が企画されています。
「国民を守る情報セキュリティサイト」では、様々な資料や関連サイトへのリ
ンクを紹介しています。有識者のリレー形式によるコラムや情報セキュリティ
の普及啓発のためのリーフレットやポスターなども掲載される予定です。
情報セキュリティの普及啓発の一助として、この機会をご活用ください。
内閣官房情報セキュリティセンター
情報セキュリティ月間[国民を守る情報セキュリティサイト]
http://www.nisc.go.jp/security-site/month/index.html
JPCERT/CC WEEKLY REPORT ひとくちメモ 2013-02-06
情報セキュリティ月間
https://www.jpcert.or.jp/tips/2013/wr130501.html