<<< JPCERT/CC WEEKLY REPORT 2013-07-03 >>>
■06/23(日)〜06/29(土) のセキュリティ関連情報
目 次
【1】Mozilla 製品群に複数の脆弱性
【2】EC-CUBE に複数の脆弱性
【3】Lookout Mobile Security にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】新しい CVE 番号体系が決定
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/2013/wr132601.txt
https://www.jpcert.or.jp/wr/2013/wr132601.xml
【1】Mozilla 製品群に複数の脆弱性
情報源
JC3 Bulletin
V-187: Mozilla Firefox Multiple Vulnerabilities
http://energy.gov/cio/articles/v-187-mozilla-firefox-multiple-vulnerabilities
概要
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - Firefox 22.0 より前のバージョン - Firefox ESR 17.0.7 より前のバージョン - Thunderbird 17.0.7 より前のバージョン - Thunderbird ESR 17.0.7 より前のバージョン この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新 することで解決します。詳細については、Mozilla が提供する情報を参照して 下さい。
関連文書 (日本語)
Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
【2】EC-CUBE に複数の脆弱性
情報源
Japan Vulnerability Notes JVN#43886811
EC-CUBE におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN43886811/index.htmlJapan Vulnerability Notes JVN#07192063
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN07192063/index.htmlJapan Vulnerability Notes JVN#98665228
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
https://jvn.jp/jp/JVN98665228/index.htmlJapan Vulnerability Notes JVN#34900750
EC-CUBE におけるコードインジェクションの脆弱性
https://jvn.jp/jp/JVN34900750/index.htmlJapan Vulnerability Notes JVN#04161229
EC-CUBE におけるディレクトリトラバーサルの脆弱性
https://jvn.jp/jp/JVN04161229/index.html
概要
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー バ上の任意のファイルにアクセスしたり、任意の PHP コードを実行したりする 可能性があります。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.12.5 より前のバージョン この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。
関連文書 (日本語)
株式会社ロックオン
ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=45株式会社ロックオン
クロスサイトスクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=46株式会社ロックオン
クロスサイトスクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=47株式会社ロックオン
ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=48株式会社ロックオン
コードインジェクションの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=49
【3】Lookout Mobile Security にサービス運用妨害 (DoS) の脆弱性
情報源
CERT/CC Vulnerability Note VU#704828
Lookout! Mobile Security contains a denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/704828
概要
Lookout Mobile Security には、サービス運用妨害 (DoS) の脆弱性があります。 結果として、ユーザが不正なアプリケーションを使用した場合、サービス運用 妨害 (DoS) 攻撃を受ける可能性があります。 対象となるバージョンは以下の通りです。 - Lookout Mobile Security 8.14.1-7fe5f1 およびそれ以前のバージョン この問題は、Lookout が提供する修正済みのバージョンに Lookout Mobile Security を更新することで解決します。詳細については、Lookout が提供する 情報を参照して下さい。
関連文書 (日本語)
Japan Vulnerability Notes JVNVU#98059114
Lookout Security & Antivirus にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU98059114/index.html
■今週のひとくちメモ
○新しい CVE 番号体系が決定
共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のフォーマッ トを 2014年以降変更することが検討されてきましたが、Editorial Board メー リングリストでは、6月6日付けで "Option B" のフォーマットを採用すること が宣言されています。 Option B では、今まで 4桁固定であった識別番号を 4桁以上で表現するものと し、1 から 999 までは先頭に 0 を加えて 4桁にすること、1000 以降の番号に ついては先頭に 0 をつけないこと、と規定しています。 例: CVE-2014-0001, CVE-2014-54321, CVE-2014-123456 同メーリングリストでは現在、5桁以上の長さの番号への対応について議論が続 いています。
参考文献 (日本語)
JPCERT/CC ひとくちメモ
CVE ID Syntax Change - Call for Public Feedback
https://www.jpcert.or.jp/tips/2013/wr130401.html
参考文献 (英語)
MITRE
Second Round ID Syntax vote declared valid
http://cve.mitre.org/data/board/archives/2013-06/msg00000.htmlMITRE
Status Update on the CVE ID Syntax Change
http://cve.mitre.org/news/index.html#may032013a
■JPCERT/CC からのお願い
-
本レポートに関するお問い合わせは
editor@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下の URL からご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下の URL を参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CC へのセキュリティインシデントの報告方法については以下の URLを参照してください。
https://www.jpcert.or.jp/form/