-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2013-2101 JPCERT/CC 2013-05-29 <<< JPCERT/CC WEEKLY REPORT 2013-05-29 >>> ―――――――――――――――――――――――――――――――――――――― ■05/19(日)〜05/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】EC-CUBE に複数の脆弱性 【2】Apple QuickTime に複数の脆弱性 【3】Apache Struts に脆弱性 【4】Red Hat Network Satellite Server に脆弱性 【5】Wireshark に複数の脆弱性 【今週のひとくちメモ】「不正」なアクセスに備える ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2013/wr132101.html https://www.jpcert.or.jp/wr/2013/wr132101.xml ============================================================================ 【1】EC-CUBE に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#52552792 EC-CUBE におけるクロスサイトスクリプティングの脆弱性 https://jvn.jp/jp/JVN52552792/index.html Japan Vulnerability Notes JVN#00985872 EC-CUBE におけるセッション固定の脆弱性 https://jvn.jp/jp/JVN00985872/index.html Japan Vulnerability Notes JVN#45306814 EC-CUBE におけるアクセス制限不備の脆弱性 https://jvn.jp/jp/JVN45306814/index.html Japan Vulnerability Notes JVN#39699406 EC-CUBE における不適切な入力確認に起因する情報漏えいの脆弱性 https://jvn.jp/jp/JVN39699406/index.html 概要 EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、ユー ザになりすましたり、ユーザのブラウザ上で任意のコードを実行したりする可 能性があります。 この問題は、ロックオンが提供する修正済みのバージョンに EC-CUBE を更新す ることで解決します。詳細については、ロックオンが提供する情報を参照して 下さい。 関連文書 (日本語) 株式会社ロックオン カート画面でのXSS脆弱性、及びセッション固定の脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=40 株式会社ロックオン 一部環境における、管理画面の不適切な認証に関する脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=42 株式会社ロックオン パスワードリマインド機能における不適切な入力確認の脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=43 【2】Apple QuickTime に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#92679127 Apple QuickTime における複数の脆弱性に対するアップデート https://jvn.jp/cert/JVNVU92679127/index.html 概要 Apple の QuickTime には、複数の脆弱性があります。結果として、遠隔の第三 者が任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Apple QuickTime (Windows) 7.7.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに QuickTime を更新する ことで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple Support About the security content of QuickTime 7.7.4 http://support.apple.com/kb/HT5770 【3】Apache Struts に脆弱性 情報源 JC3 Bulletin V-162: Apache Struts "ParameterInterceptor" Security Bypass Vulnerability http://energy.gov/cio/articles/v-162-apache-struts-parameterinterceptor-security-bypass-vulnerability 概要 Apache Struts には脆弱性があります。結果として、遠隔の第三者が任意の OGNL コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Struts 2.3.14.1 より前のバージョン この問題は、Apache Struts Project が提供する修正済みのバージョンに Apache Struts を更新することで解決します。詳細については、Apache Struts Project が提供する情報を参照して下さい。 関連文書 (英語) Apache Struts Advisory S2-012 Showcase app vulnerability allows remote command execution http://struts.apache.org/development/2.x/docs/s2-012.html Apache Struts Advisory S2-013 A vulnerability, present in the includeParams attribute of the URL and Anchor Tag, allows remote command execution http://struts.apache.org/development/2.x/docs/s2-013.html 【4】Red Hat Network Satellite Server に脆弱性 情報源 JC3 Bulletin V-163: Red Hat Network Satellite Server Inter-Satellite Sync Remote Authentication Bypass http://energy.gov/cio/articles/v-163-red-hat-network-satellite-server-inter-satellite-sync-remote-authentication 概要 Red Hat Network Satellite には、脆弱性があります。結果として、遠隔の第 三者が、認証を回避してサーバにアクセスする可能性があります。 対象となるバージョンは以下の通りです。 - Red Hat Network Satellite (v. 5.3 for RHEL 5) - Red Hat Network Satellite (v. 5.4 for RHEL 5) - Red Hat Network Satellite (v. 5.4 for RHEL 6) - Red Hat Network Satellite (v. 5.5 for RHEL 5) - Red Hat Network Satellite (v. 5.5 for RHEL 6) この問題は、Red Hat が提供する修正済みのバージョンに Red Hat Network Satellite を更新することで解決します。詳細については、Red Hat が提供す る情報を参照して下さい。 関連文書 (英語) Redhat Customer Portal Moderate: Red Hat Network Satellite spacewalk-backend security update http://rhn.redhat.com/errata/RHSA-2013-0848.html 【5】Wireshark に複数の脆弱性 情報源 JC3 Bulletin V-160: Wireshark Multiple Bugs Let Remote Users Deny Service http://energy.gov/cio/articles/v-160-wireshark-multiple-bugs-let-remote-users-deny-service 概要 Wireshark には、複数の脆弱性があります。結果として、遠隔の第三者がサー ビス運用妨害 (DoS) 攻撃を行う可能性があります。 対象となるバージョンは以下の通りです。 - Wireshark バージョン 1.8.0 から 1.8.6 のバージョン この問題は、Wireshark が提供する修正済みのバージョンに Wireshark を更新 することで解決します。詳細については、Wireshark が提供する情報を参照し て下さい。 関連文書 (英語) Wireshark Wireshark 1.8.7 Release Notes http://www.wireshark.org/docs/relnotes/wireshark-1.8.7.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○「不正」なアクセスに備える 最近、様々なインターネットサービスにおいて、ユーザアカウントが不正にア クセスされる事例が多数発生しています。提供しているサービスに応じてどの ようなアクセスが「不正」なのかを検討し、日常のオペレーションで怪しいア クセスを検知できるようにしましょう。 また、不正なアクセスが行われてから、システム管理側が不正なアクセスに気 づくまでに時間がかかっている例も見受けられます。不正なアクセスが行われ たら速やかに対応できるよう、体制を整えましょう。 ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2013 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJRpVBzAAoJEDF9l6Rp7OBIqR8IAKx2RuMEsw9x1ubIDqWf0MDY DQFAptas+ARVS0IKQGmC8EZwepjpEQwrMdMAWGZSGEZHBPSrPmZO6UNOcLZjHTc7 NQc7s4vL2s28omuvRL4t+9QgOS6wA/kVvn+ApfYAwyOaN0YaIqIGceji6qLoC+PY 0+ym8Sp4H/1JhOzEgk6yIuEOmcEVw9BbQf3lBSJt0qLsZ6VouaP5P1lMjQApmvqd hDfTktWeALDecwlHCQ93lkCJgGr8JPTmjX3vp9JJK+dHcITlpn3zhotVkLCfq/+L 7t20vPJiiAqWagQbH/p9M8dvnaYQBsLwrJSYjSI115L7RWJyUq52K83WjpplRw0= =tSh7 -----END PGP SIGNATURE-----