<<< JPCERT/CC WEEKLY REPORT 2013-11-27 >>>

■11/17(日)〜11/23(土) のセキュリティ関連情報

目　次

【1】Mozilla 製品群に複数の脆弱性

【2】EC-CUBE に複数の脆弱性

【3】D-Link DES-3800 シリーズに複数の脆弱性

【今週のひとくちメモ】HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開

【1】Mozilla 製品群に複数の脆弱性

情報源

US-CERT Current Activity
Mozilla Releases Multiple Updates
http://www.us-cert.gov/ncas/current-activity/2013/11/19/Mozilla-Releases-Multiple-Updates

概要

Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が
サービス運用妨害 (DoS) 攻撃を行うなどの可能性があります。

対象となるバージョンは以下の通りです。

- Firefox 25.0.1 より前のバージョン
- Firefox ESR 24.1.1 より前のバージョン
- Firefox ESR 17.0.11 より前のバージョン
- Thunderbird 24.1.1 より前のバージョン
- Thunderbird ESR 17.0.11 より前のバージョン
- SeaMonkey 2.22.1 より前のバージョン

この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。

関連文書 (日本語)

Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/

【2】EC-CUBE に複数の脆弱性

情報源

Japan Vulnerability Notes JVN#06377589
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN06377589/index.html

Japan Vulnerability Notes JVN#55630933
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN55630933/index.html

Japan Vulnerability Notes JVN#06870202
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN06870202/index.html

Japan Vulnerability Notes JVN#11221613
EC-CUBE におけるクロスサイトリクエストフォージェリの脆弱性
https://jvn.jp/jp/JVN11221613/index.html

Japan Vulnerability Notes JVN#38790987
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN38790987/index.html

Japan Vulnerability Notes JVN#61077110
EC-CUBE における情報漏えいの脆弱性
https://jvn.jp/jp/JVN61077110/index.html

概要

EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者がユーザ
のブラウザ上で任意のスクリプトを実行するなどの可能性があります。

対象となるバージョンは以下の通りです。

- EC-CUBE 2.11.0
- EC-CUBE 2.11.1
- EC-CUBE 2.11.2
- EC-CUBE 2.11.3
- EC-CUBE 2.11.4
- EC-CUBE 2.11.5
- EC-CUBE 2.12.0
- EC-CUBE 2.12.1
- EC-CUBE 2.12.2
- EC-CUBE 2.12.3
- EC-CUBE 2.12.3en
- EC-CUBE 2.12.3enP1
- EC-CUBE 2.12.3enP2
- EC-CUBE 2.12.4
- EC-CUBE 2.12.4en
- EC-CUBE 2.12.5
- EC-CUBE 2.12.5en
- EC-CUBE 2.12.6
- EC-CUBE 2.12.6en
- EC-CUBE 2.13.0

この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細については、株式会社ロックオンが提供す
る情報を参照して下さい。

関連文書 (日本語)

株式会社ロックオン
個人情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=51

株式会社ロックオン
ファイルパス情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=52

株式会社ロックオン
クロスサイトリクエストフォージェリの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=53

株式会社ロックオン
クロスサイトスクリプティング及び、セッション情報漏えいの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=54

株式会社ロックオン
クロスサイト・スクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=55

【3】D-Link DES-3800 シリーズに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#28812735
D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN28812735/index.html

Japan Vulnerability Notes JVN#65312543
D-Link DES-3800 シリーズにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN65312543/index.html

概要

D-Link DES-3800 シリーズには、複数の脆弱性があります。結果として、遠隔
の第三者がサービス運用妨害 (DoS) 攻撃を行う可能性があります。

対象となるバージョンは以下の通りです。

- DES-3800 シリーズ ファームウェア R4.50B58 より前のバージョン

この問題は、ディーリンクジャパン株式会社が提供する修正済みのバージョン
に D-Link DES-3800 シリーズのファームウェアを更新することで解決します。
詳細については、ディーリンクジャパン株式会社が提供する情報を参照して下
さい。

関連文書 (日本語)

D-Link Japan DES-3800シリーズ
DES-3828
http://www.dlink-jp.com/product/des-3828#product_firmware

D-Link Japan DES-3800シリーズ
DES-3828P
http://www.dlink-jp.com/product/des-3828p#product_firmware

D-Link Japan DES-3800シリーズ
DES-3828DC
http://www.dlink-jp.com/product/des-3828dc#product_firmware

D-Link Japan DES-3800シリーズ
DES-3852
http://www.dlink-jp.com/product/des-3852#product_firmware

■今週のひとくちメモ

○HTML5 を利用した Web アプリケーションのセキュリティ問題に関する調査報告書公開

2013年10月30日、JPCERT/CC は「HTML5 を利用した Web アプリケーションのセ
キュリティ問題に関する調査報告書」を公開しました。本書は、HTML5 および
その周辺技術が攻撃者に悪用された際にユーザが受ける影響について調査・検
証した結果や、対策方法をまとめた報告書です。

本書は、HTML5 に対応していない既存の Web アプリケーションが受ける影響に
ついても記載しており、Web アプリケーションの開発に関わる全ての人に見て
いただきたい内容になっています。

HTML5 に関する技術書・ガイドラインのベース資料や、仲間内の勉強会資料な
どに活用いただければ幸いです。

参考文献 (日本語)

JPCERT/CC
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
https://www.jpcert.or.jp/research/html5.html

■JPCERT/CC からのお願い