JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > 情報提供 > Weekly Report > 2014 > Weekly Report 2014-07-30号

最終更新: 2014-07-30

Weekly Report 2014-07-30号


JPCERT-WR-2014-2901
JPCERT/CC
2014-07-30

<<< JPCERT/CC WEEKLY REPORT 2014-07-30 >>>

■07/20(日)〜07/26(土) のセキュリティ関連情報

目 次

【1】Mozilla 製品群に複数の脆弱性

【2】Resin Pro に Unicode 文字を適切に変換しない脆弱性

【3】TestRail にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】オープンリゾルバを悪用した攻撃活動について

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2014/wr142901.txt
https://www.jpcert.or.jp/wr/2014/wr142901.xml

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
https://www.us-cert.gov/ncas/current-activity/2014/07/22/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。

対象となる製品およびバージョンは以下の通りです。

- Firefox 31 より前のバージョン
- Thunderbird 31 より前のバージョン
- Firefox ESR 24.7 より前のバージョン
- Thunderbird 24.7 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

関連文書 (日本語)

Mozilla Japan
Mozilla Foundation セキュリティアドバイザリ (2014 年 7 月 22 日)
http://www.mozilla-japan.org/security/announce/

【2】Resin Pro に Unicode 文字を適切に変換しない脆弱性

情報源

CERT/CC Vulnerability Note VU#162308
Resin Pro improperly performs Unicode transformations
https://www.kb.cert.org/vuls/id/162308

概要

Resin Pro には、Unicode 文字を適切に変換しない脆弱性があります。結果と
して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、
フィッシング詐欺などに悪用したりする可能性があります。

対象となるバージョンは以下の通りです。

- Resin Pro 4.0.39 およびそれ以前

この問題は、Caucho Technology が提供する修正済みのバージョンに Resin
Pro を更新することで解決します。詳細については、Caucho Technology が提
供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99424174
Resin Pro に Unicode 文字を適切に変換しない問題
https://jvn.jp/vu/JVNVU99424174/index.html

【3】TestRail にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#669804
TestRail cross-site scripting vulnerability
https://www.kb.cert.org/vuls/id/669804

概要

TestRail には、クロスサイトスクリプティングの脆弱性があります。結果と
して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可
能性があります。

対象となるバージョンは以下の通りです。

- TestRail バージョン 3.1.1.3130

この問題は、Gurock Software GmbH が提供する修正済みのバージョンに
TestRail を更新することで解決します。詳細については、Gurock Software
GmbH が提供する情報を参照して下さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#99829464
TestRail にクロスサイトスクリプティングの脆弱性
https://jvn.jp/vu/JVNVU99829464/index.html

関連文書 (英語)

Gurock Software GmbH
TestRail 3.1.3 released
http://forum.gurock.com/topic/1652/testrail-313-released/

■今週のひとくちメモ

○オープンリゾルバを悪用した攻撃活動について

2014年7月23日、警察庁は「日本国内のオープン・リゾルバを踏み台とした 
DDoS 攻撃発生に起因すると考えられるパケットの増加について」と題したド
キュメントを公開しました。

このドキュメントでは、定点観測で観察されているパケットの傾向から、オー
プンリゾルバを悪用した攻撃活動とみられるパケットが増えていること、また、
そのうち日本国内の発信元アドレスの割合が増えていること、が指摘されてい
ます。この観測傾向については、JPCERT/CC の定点観測レポートでも同様の指
摘を行っています。

設定に不備のあるネームサーバはもちろんのこと、ブロードバンドルータの一
部も、オープンリゾルバとなって攻撃に悪用される可能性があります。
JPCERT/CC ではオープンリゾルバの確認ができるサイトを公開していますので、
お使いのネットワーク環境が攻撃に悪用される設定になっていないか、確認す
ることをおすすめします。

参考文献 (日本語)

警察庁
日本国内のオープン・リゾルバを踏み台とした DDoS 攻撃発生に起因すると考えられるパケットの増加について
https://www.npa.go.jp/cyberpolice/detect/pdf/20140723.pdf

JPCERT/CC
JPCERT/CC インターネット定点観測レポート(2014年 4〜6月)
https://www.jpcert.or.jp/tsubame/report/report201404-06.html

JANOG 31.5 Interim Meeting
DNS Open Resolver について考える
https://www.janog.gr.jp/meeting/janog31.5/program/dns-open-resolver.html

JPCERT/CC
オープンリゾルバ確認サイト公開のお知らせ
https://www.jpcert.or.jp/pr/2013/pr130002.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
CSIRTマテリアル
Follow jpcert on Twitter
blog_banner_english