-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256


                                                         JPCERT-WR-2014-2901
                                                                   JPCERT/CC
                                                                  2014-07-30

            <<< JPCERT/CC WEEKLY REPORT 2014-07-30 >>>

――――――――――――――――――――――――――――――――――――――
■07/20(日)〜07/26(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla 製品群に複数の脆弱性
【2】Resin Pro に Unicode 文字を適切に変換しない脆弱性
【3】TestRail にクロスサイトスクリプティングの脆弱性
【今週のひとくちメモ】オープンリゾルバを悪用した攻撃活動について

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2014/wr142901.html
        https://www.jpcert.or.jp/wr/2014/wr142901.xml
============================================================================


【1】Mozilla 製品群に複数の脆弱性

    情報源
      US-CERT Current Activity
      Mozilla Releases Security Updates for Firefox, Firefox ESR, and Thunderbird
      https://www.us-cert.gov/ncas/current-activity/2014/07/22/Mozilla-Releases-Security-Updates-Firefox-Firefox-ESR-and

    概要
      Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行する可能性があります。

      対象となる製品およびバージョンは以下の通りです。

      - Firefox 31 より前のバージョン
      - Thunderbird 31 より前のバージョン
      - Firefox ESR 24.7 より前のバージョン
      - Thunderbird 24.7 より前のバージョン

      この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細については、Mozilla が提供する情報を参照して
      下さい。

    関連文書 (日本語)
      Mozilla Japan
      Mozilla Foundation セキュリティアドバイザリ (2014 年 7 月 22 日)
      http://www.mozilla-japan.org/security/announce/

【2】Resin Pro に Unicode 文字を適切に変換しない脆弱性

    情報源
      CERT/CC Vulnerability Note VU#162308
      Resin Pro improperly performs Unicode transformations
      https://www.kb.cert.org/vuls/id/162308

    概要
      Resin Pro には、Unicode 文字を適切に変換しない脆弱性があります。結果と
      して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行したり、
      フィッシング詐欺などに悪用したりする可能性があります。

      対象となるバージョンは以下の通りです。

      - Resin Pro 4.0.39 およびそれ以前

      この問題は、Caucho Technology が提供する修正済みのバージョンに Resin
      Pro を更新することで解決します。詳細については、Caucho Technology が提
      供する情報を参照して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#99424174
      Resin Pro に Unicode 文字を適切に変換しない問題
      https://jvn.jp/vu/JVNVU99424174/index.html

【3】TestRail にクロスサイトスクリプティングの脆弱性

    情報源
      CERT/CC Vulnerability Note VU#669804
      TestRail cross-site scripting vulnerability
      https://www.kb.cert.org/vuls/id/669804

    概要
      TestRail には、クロスサイトスクリプティングの脆弱性があります。結果と
      して、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可
      能性があります。

      対象となるバージョンは以下の通りです。

      - TestRail バージョン 3.1.1.3130

      この問題は、Gurock Software GmbH が提供する修正済みのバージョンに
      TestRail を更新することで解決します。詳細については、Gurock Software
      GmbH が提供する情報を参照して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#99829464
      TestRail にクロスサイトスクリプティングの脆弱性
      https://jvn.jp/vu/JVNVU99829464/index.html

    関連文書 (英語)
      Gurock Software GmbH
      TestRail 3.1.3 released
      http://forum.gurock.com/topic/1652/testrail-313-released/


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○オープンリゾルバを悪用した攻撃活動について

      2014年7月23日、警察庁は「日本国内のオープン・リゾルバを踏み台とした
      DDoS 攻撃発生に起因すると考えられるパケットの増加について」と題したド
      キュメントを公開しました。

      このドキュメントでは、定点観測で観察されているパケットの傾向から、オー
      プンリゾルバを悪用した攻撃活動とみられるパケットが増えていること、また、
      そのうち日本国内の発信元アドレスの割合が増えていること、が指摘されてい
      ます。この観測傾向については、JPCERT/CC の定点観測レポートでも同様の指
      摘を行っています。

      設定に不備のあるネームサーバはもちろんのこと、ブロードバンドルータの一
      部も、オープンリゾルバとなって攻撃に悪用される可能性があります。
      JPCERT/CC ではオープンリゾルバの確認ができるサイトを公開していますので、
      お使いのネットワーク環境が攻撃に悪用される設定になっていないか、確認す
      ることをおすすめします。

    参考文献 (日本語)
      警察庁
      日本国内のオープン・リゾルバを踏み台とした DDoS 攻撃発生に起因すると考えられるパケットの増加について
      https://www.npa.go.jp/cyberpolice/detect/pdf/20140723.pdf

      JPCERT/CC
      JPCERT/CC インターネット定点観測レポート(2014年 4〜6月)
      https://www.jpcert.or.jp/tsubame/report/report201404-06.html

      JANOG 31.5 Interim Meeting
      DNS Open Resolver について考える
      https://www.janog.gr.jp/meeting/janog31.5/program/dns-open-resolver.html

      JPCERT/CC
      オープンリゾルバ確認サイト公開のお知らせ
      https://www.jpcert.or.jp/pr/2013/pr130002.html


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2014 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJT2FDtAAoJEDF9l6Rp7OBI0WgH/15YY6r7hUg+Ej4LB+woUQp5
OJBpwmWLvIpbR55jlDnfL8kydtNiFJANPzCAdgbFUVJnNL2rfDbRfurs4r/rl76I
TT8h7XWtLBwinnheppr+apcG1/snPe5rWkDZEaZ7kGKEfEWvnALP5bj3WTrs5R2u
VoPb94nHzHpcdOIsTtbILlZgW89uaxHJ+u8swnOiLJg8PZEpTDq22U7DlxNNSsRd
Lk0RPpP0MD6c2tMveCk5hpFzW8HuBaun/0wRwGzq0D1UvcGxMK7nByOBjPK7OmGi
afAZUl6a5Lw1jAXUwW2XCR98xx0xJNRo1KYlcsEllOS9ah8FfO8REvIN68zP7fU=
=/DZK
-----END PGP SIGNATURE-----