-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

                                                         JPCERT-WR-2013-2601
                                                                   JPCERT/CC
                                                                  2013-07-03

            <<< JPCERT/CC WEEKLY REPORT 2013-07-03 >>>

――――――――――――――――――――――――――――――――――――――
■06/23(日)〜06/29(土) のセキュリティ関連情報
――――――――――――――――――――――――――――――――――――――

== 目  次 ==================================================================

【1】Mozilla 製品群に複数の脆弱性
【2】EC-CUBE に複数の脆弱性
【3】Lookout Mobile Security にサービス運用妨害 (DoS) の脆弱性
【今週のひとくちメモ】新しい CVE 番号体系が決定

  ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/

  ※HTML 版および XML 版は以下のページをご覧ください。
        https://www.jpcert.or.jp/wr/2013/wr132601.html
        https://www.jpcert.or.jp/wr/2013/wr132601.xml
============================================================================


【1】Mozilla 製品群に複数の脆弱性

    情報源
      JC3 Bulletin
      V-187: Mozilla Firefox Multiple Vulnerabilities
      http://energy.gov/cio/articles/v-187-mozilla-firefox-multiple-vulnerabilities

    概要
      Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
      任意のコードを実行する可能性があります。

      対象となるバージョンは以下の通りです。

      - Firefox 22.0 より前のバージョン
      - Firefox ESR 17.0.7 より前のバージョン
      - Thunderbird 17.0.7 より前のバージョン
      - Thunderbird ESR 17.0.7 より前のバージョン

      この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
      することで解決します。詳細については、Mozilla が提供する情報を参照して
      下さい。

    関連文書 (日本語)
      Mozilla
      Mozilla Foundation セキュリティアドバイザリ
      http://www.mozilla-japan.org/security/announce/

【2】EC-CUBE に複数の脆弱性

    情報源
      Japan Vulnerability Notes JVN#43886811
      EC-CUBE におけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN43886811/index.html

      Japan Vulnerability Notes JVN#07192063
      EC-CUBE におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN07192063/index.html

      Japan Vulnerability Notes JVN#98665228
      EC-CUBE におけるクロスサイトスクリプティングの脆弱性
      https://jvn.jp/jp/JVN98665228/index.html

      Japan Vulnerability Notes JVN#34900750
      EC-CUBE におけるコードインジェクションの脆弱性
      https://jvn.jp/jp/JVN34900750/index.html

      Japan Vulnerability Notes JVN#04161229
      EC-CUBE におけるディレクトリトラバーサルの脆弱性
      https://jvn.jp/jp/JVN04161229/index.html

    概要
      EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
      バ上の任意のファイルにアクセスしたり、任意の PHP コードを実行したりする
      可能性があります。

      対象となるバージョンは以下の通りです。

      - EC-CUBE 2.12.5 より前のバージョン

      この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
      を更新することで解決します。詳細については、株式会社ロックオンが提供す
      る情報を参照して下さい。

    関連文書 (日本語)
      株式会社ロックオン
      ディレクトリトラバーサルの脆弱性
      http://www.ec-cube.net/info/weakness/weakness.php?id=45

      株式会社ロックオン
      クロスサイトスクリプティングの脆弱性
      http://www.ec-cube.net/info/weakness/weakness.php?id=46

      株式会社ロックオン
      クロスサイトスクリプティングの脆弱性
      http://www.ec-cube.net/info/weakness/weakness.php?id=47

      株式会社ロックオン
      ディレクトリトラバーサルの脆弱性
      http://www.ec-cube.net/info/weakness/weakness.php?id=48

      株式会社ロックオン
      コードインジェクションの脆弱性
      http://www.ec-cube.net/info/weakness/weakness.php?id=49

【3】Lookout Mobile Security にサービス運用妨害 (DoS) の脆弱性

    情報源
      CERT/CC Vulnerability Note VU#704828
      Lookout! Mobile Security contains a denial-of-service vulnerability
      http://www.kb.cert.org/vuls/id/704828

    概要
      Lookout Mobile Security には、サービス運用妨害 (DoS) の脆弱性があります。
      結果として、ユーザが不正なアプリケーションを使用した場合、サービス運用
      妨害 (DoS) 攻撃を受ける可能性があります。

      対象となるバージョンは以下の通りです。

      - Lookout Mobile Security 8.14.1-7fe5f1 およびそれ以前のバージョン

      この問題は、Lookout が提供する修正済みのバージョンに Lookout Mobile
      Security を更新することで解決します。詳細については、Lookout が提供する
      情報を参照して下さい。

    関連文書 (日本語)
      Japan Vulnerability Notes JVNVU#98059114
      Lookout Security & Antivirus にサービス運用妨害 (DoS) の脆弱性
      https://jvn.jp/cert/JVNVU98059114/index.html


――――――――――――――――――――――――――――――――――――――
■今週のひとくちメモ
――――――――――――――――――――――――――――――――――――――

○新しい CVE 番号体系が決定

      共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のフォーマッ
      トを 2014年以降変更することが検討されてきましたが、Editorial Board メー
      リングリストでは、6月6日付けで "Option B" のフォーマットを採用すること
      が宣言されています。

      Option B では、今まで 4桁固定であった識別番号を 4桁以上で表現するものと
      し、1 から 999 までは先頭に 0 を加えて 4桁にすること、1000 以降の番号に
      ついては先頭に 0 をつけないこと、と規定しています。

          例: CVE-2014-0001, CVE-2014-54321, CVE-2014-123456

      同メーリングリストでは現在、5桁以上の長さの番号への対応について議論が続
      いています。

    参考文献 (日本語)
      JPCERT/CC ひとくちメモ
      CVE ID Syntax Change - Call for Public Feedback
      https://www.jpcert.or.jp/tips/2013/wr130401.html

    参考文献 (英語)
      MITRE
      Second Round ID Syntax vote declared valid
      http://cve.mitre.org/data/board/archives/2013-06/msg00000.html

      MITRE
      Status Update on the CVE ID Syntax Change
      http://cve.mitre.org/news/index.html#may032013a


――――――――――――――――――――――――――――――――――――――
■JPCERT/CC からのお願い
――――――――――――――――――――――――――――――――――――――

◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま
  す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに
  ついてのご質問にはお答えできない場合もあります。またバックナンバーは、
  以下の URL からご利用いただけます。

        https://www.jpcert.or.jp/wr/

◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス
  の変更などにつきましては、以下の URL を参照してください。

        https://www.jpcert.or.jp/announce.html

◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL
  を参照してください。

        https://www.jpcert.or.jp/form/

以上。
__________

2013 (C) JPCERT/CC
-----BEGIN PGP SIGNATURE-----

iQEcBAEBCAAGBQJR03eKAAoJEDF9l6Rp7OBIXC8H/2Cssrp6C7rS1IA8dnuvyhVy
IGnWi01dtchJ0A+bcSiOFEEEQBQnMzm4rY182jsP/MWCNzyg3adISS7CpdAUTwKx
3o8jBoG+iRuAiZUSWklw6p/Xmcihcf98Z6883rQDKl7/P1WUQttvpkpWApzNyoqK
0qB8OIn3D6plKNadyAh7q2EOsEYIbvxWAsshl8jt027BNFIJ10wE+8LxORmYSLVa
02mVWVP+Y4PkXNtAYkR+xUPKSiqZMsWQgWOuou3Q7L+yXGcJhHQVnsX8KbAtOfdd
zmSxogH8E5OxUCBxy8EgKnbAZfuhcIz/ed5OKbcwldsH03Vl1W/jtYQU6RiJEtI=
=/eEn
-----END PGP SIGNATURE-----