JPCERT-WR-2013-2601
2013-07-03
2013-06-23
2013-06-29
Mozilla 製品群に複数の脆弱性
Mozilla 製品群には、複数の脆弱性があります。結果として、遠隔の第三者が、
任意のコードを実行する可能性があります。
対象となるバージョンは以下の通りです。
- Firefox 22.0 より前のバージョン
- Firefox ESR 17.0.7 より前のバージョン
- Thunderbird 17.0.7 より前のバージョン
- Thunderbird ESR 17.0.7 より前のバージョン
この問題は、Mozilla が提供する修正済みのバージョンに該当する製品を更新
することで解決します。詳細については、Mozilla が提供する情報を参照して
下さい。
Mozilla
Mozilla Foundation セキュリティアドバイザリ
http://www.mozilla-japan.org/security/announce/
EC-CUBE に複数の脆弱性
EC-CUBE には、複数の脆弱性があります。結果として、遠隔の第三者が、サー
バ上の任意のファイルにアクセスしたり、任意の PHP コードを実行したりする
可能性があります。
対象となるバージョンは以下の通りです。
- EC-CUBE 2.12.5 より前のバージョン
この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE
を更新することで解決します。詳細については、株式会社ロックオンが提供す
る情報を参照して下さい。
株式会社ロックオン
ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=45
株式会社ロックオン
クロスサイトスクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=46
株式会社ロックオン
クロスサイトスクリプティングの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=47
株式会社ロックオン
ディレクトリトラバーサルの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=48
株式会社ロックオン
コードインジェクションの脆弱性
http://www.ec-cube.net/info/weakness/weakness.php?id=49
Lookout Mobile Security にサービス運用妨害 (DoS) の脆弱性
Lookout Mobile Security には、サービス運用妨害 (DoS) の脆弱性があります。
結果として、ユーザが不正なアプリケーションを使用した場合、サービス運用
妨害 (DoS) 攻撃を受ける可能性があります。
対象となるバージョンは以下の通りです。
- Lookout Mobile Security 8.14.1-7fe5f1 およびそれ以前のバージョン
この問題は、Lookout が提供する修正済みのバージョンに Lookout Mobile
Security を更新することで解決します。詳細については、Lookout が提供する
情報を参照して下さい。
Japan Vulnerability Notes JVNVU#98059114
Lookout Security & Antivirus にサービス運用妨害 (DoS) の脆弱性
https://jvn.jp/cert/JVNVU98059114/index.html
新しい CVE 番号体系が決定
共通脆弱性識別子 CVE (Common Vulnerabilities and Exposures) のフォーマッ
トを 2014年以降変更することが検討されてきましたが、Editorial Board メー
リングリストでは、6月6日付けで "Option B" のフォーマットを採用すること
が宣言されています。
Option B では、今まで 4桁固定であった識別番号を 4桁以上で表現するものと
し、1 から 999 までは先頭に 0 を加えて 4桁にすること、1000 以降の番号に
ついては先頭に 0 をつけないこと、と規定しています。
例: CVE-2014-0001, CVE-2014-54321, CVE-2014-123456
同メーリングリストでは現在、5桁以上の長さの番号への対応について議論が続
いています。
MITRE
Second Round ID Syntax vote declared valid
http://cve.mitre.org/data/board/archives/2013-06/msg00000.html
MITRE
Status Update on the CVE ID Syntax Change
http://cve.mitre.org/news/index.html#may032013a
JPCERT/CC ひとくちメモ
CVE ID Syntax Change - Call for Public Feedback
https://www.jpcert.or.jp/tips/2013/wr130401.html