JPCERT コーディネーションセンター

Weekly Report 2013-12-11号

JPCERT-WR-2013-4901
JPCERT/CC
2013-12-11

<<< JPCERT/CC WEEKLY REPORT 2013-12-11 >>>

■12/01(日)〜12/07(土) のセキュリティ関連情報

目 次

【1】サイボウズ ガルーンに複数の脆弱性

【2】NagiosQL にクロスサイトスクリプティングの脆弱性

【今週のひとくちメモ】年末年始、フィッシング詐欺に注意

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr134901.txt
https://www.jpcert.or.jp/wr/2013/wr134901.xml

【1】サイボウズ ガルーンに複数の脆弱性

情報源

Japan Vulnerability Notes JVN#23981867
サイボウズ ガルーンにおける複数のクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN23981867/index.html

Japan Vulnerability Notes JVN#82375148
サイボウズ ガルーンにおける SQL インジェクションの脆弱性
https://jvn.jp/jp/JVN82375148/index.html

Japan Vulnerability Notes JVN#94245330
サイボウズ ガルーンにおけるサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/jp/JVN94245330/index.html

Japan Vulnerability Notes JVN#84221103
サイボウズ ガルーンにおけるメールヘッダインジェクションの脆弱性
https://jvn.jp/jp/JVN84221103/index.html

Japan Vulnerability Notes JVN#87729477
サイボウズ ガルーンにおけるセッション固定の脆弱性
https://jvn.jp/jp/JVN87729477/index.html

概要

サイボウズ ガルーンには、複数の脆弱性があります。結果として、遠隔の第三
者がサービス運用妨害 (DoS) 攻撃を行ったり、ユーザのブラウザ上で任意のス
クリプトを実行したりする可能性があります。

対象となるバージョンは以下の通りです。

- サイボウズ ガルーン 3.7 Service Pack 1 およびそれ以前

この問題は、サイボウズが提供する修正済みのバージョンにサイボウズ ガルー
ンを更新することで解決します。詳細については、サイボウズが提供する情報
を参照して下さい。

関連文書 (日本語)

サイボウズ株式会社
サイボウズ ガルーン 3.7 脆弱性情報のお知らせ【CY13-12-001】
http://cs.cybozu.co.jp/information/20131202up01.php

【2】NagiosQL にクロスサイトスクリプティングの脆弱性

情報源

CERT/CC Vulnerability Note VU#268662
NagiosQL 3.2 Service Pack 2 contains a reflected cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/268662

概要

NagiosQL には、クロスサイトスクリプティングの脆弱性があります。結果とし
て、遠隔の第三者がユーザのブラウザ上で任意のスクリプトを実行する可能性
があります。

対象となるバージョンは以下の通りです。

- NagiosQL 3.2 Service Pack 2 およびそれ以前

この問題は、NagiosQL が提供する修正済みのバージョンに NagiosQL を更新す
ることで解決します。詳細については、NagiosQL が提供する情報を参照して下
さい。

関連文書 (日本語)

Japan Vulnerability Notes JVNVU#92648323
NagiosQL にクロスサイトスクリプティングの脆弱性
https://jvn.jp/cert/JVNVU92648323/index.html

関連文書 (英語)

NagiosQL
Security Hotfix for NagiosQL 3.2 SP2
http://www.nagiosql.org/forum8/solved-issues/3270-security-hotfix-for-nagiosql-3-2-sp2.html#3690

■今週のひとくちメモ

○年末年始、フィッシング詐欺に注意

フィッシング対策協議会では、偽のオンラインバンクサイトの存在や、そのよ
うなサイトへの誘導を目的としたメールなど、フィッシングに関する報告を受
け付けています。最近の傾向としては、オンラインバンクやオンラインゲーム
のアカウント情報を詐取しようとする事例が多く報告されています。

年末年始の休暇を迎える前に、参考文献にあげたフィッシング対策の心得など
をご一読いただき、Web サイトへのアクセスやメール閲覧などで、日頃と違う
様子を少しでも感じたときには適切な行動をとれるよう、準備しておくことを
おすすめします。

参考文献 (日本語)

ここからセキュリティ!
フィッシング詐欺・なりすまし
http://www.ipa.go.jp/security/kokokara/measure/index.html#phishing

フィッシング対策協議会
フィッシング対策の心得
https://www.antiphishing.jp/consumer/attention.html

■JPCERT/CC からのお願い

  • 本レポートに関するお問い合わせは editor@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter