-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 JPCERT-WR-2014-0401 JPCERT/CC 2014-01-29 <<< JPCERT/CC WEEKLY REPORT 2014-01-29 >>> ―――――――――――――――――――――――――――――――――――――― ■01/19(日)〜01/25(土) のセキュリティ関連情報 ―――――――――――――――――――――――――――――――――――――― == 目 次 ================================================================== 【1】Apple iTunes に複数の脆弱性 【2】Apple Pages に脆弱性 【3】OpenPNE に任意の PHP コードが実行される脆弱性 【4】EC-CUBE に複数の脆弱性 【5】CS-Cart にクロスサイトスクリプティングの脆弱性 【6】複数の Cisco TelePresence 製品に脆弱性 【7】Sleipnir Mobile for Android に位置情報漏えいの脆弱性 【8】Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性 【9】Thecus NAS Server N8800 に複数の脆弱性 【今週のひとくちメモ】情報セキュリティ月間 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※HTML 版および XML 版は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/2014/wr140401.html https://www.jpcert.or.jp/wr/2014/wr140401.xml ============================================================================ 【1】Apple iTunes に複数の脆弱性 情報源 Japan Vulnerability Notes JVNVU#94321146 Apple iTunes における複数の脆弱性に対するアップデート https://jvn.jp/vu/JVNVU94321146/index.html 概要 Apple iTunes には、複数の脆弱性があります。結果として、遠隔の第三者が、 任意のコードを実行したり、サービス運用妨害 (DoS) 攻撃を行ったりする可能 性があります。 対象となるバージョンは以下の通りです。 - iTunes 11.1.4 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに iTunes を更新するこ とで解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple About the security content of iTunes 11.1.4 http://support.apple.com/kb/HT6001 【2】Apple Pages に脆弱性 情報源 Japan Vulnerability Notes JVNVU#90143917 Apple Pages における脆弱性に対するアップデート https://jvn.jp/vu/JVNVU90143917/index.html 概要 Apple Pages には、脆弱性があります。結果として、遠隔の第三者が、細工し た Microsoft Word ドキュメントを閲覧させることで、サービス運用妨害 (DoS) 攻撃を行ったり、任意のコードを実行したりする可能性があります。 対象となるバージョンは以下の通りです。 - OS X 向け Pages 5.1 より前のバージョン - iOS 7 向け Pages 2.1 より前のバージョン この問題は、Apple が提供する修正済みのバージョンに Pages を更新すること で解決します。詳細については、Apple が提供する情報を参照して下さい。 関連文書 (英語) Apple About the security content of Pages 5.1 and Pages 2.1 http://support.apple.com/kb/HT6117 【3】OpenPNE に任意の PHP コードが実行される脆弱性 情報源 Japan Vulnerability Notes JVN#69986880 OpenPNE において任意の PHP コードが実行される脆弱性 https://jvn.jp/jp/JVN69986880/index.html 概要 OpenPNE には、任意の PHP コードが実行される脆弱性があります。結果として、 遠隔の第三者が、任意の PHP コードを実行する可能性があります。 対象となるバージョンは以下の通りです。 - OpenPNE 3.6.13 およびそれ以前 - OpenPNE 3.8.9 およびそれ以前 この問題は、OpenPNE プロジェクトが提供する修正済みのバージョンに OpenPNE を更新することで解決します。詳細については、OpenPNE プロジェク トが提供する情報を参照して下さい。 関連文書 (日本語) OpenPNE 【緊急リリース】OpenPNE 3.6.13, 3.8.9 以下の「次回から自動ログイン」機能に存在する PHP Object Injection 脆弱性対応のお知らせ (OPSA-2014-001) https://www.openpne.jp/archives/12293/ 【4】EC-CUBE に複数の脆弱性 情報源 Japan Vulnerability Notes JVN#17849447 EC-CUBE における情報改ざんの脆弱性 https://jvn.jp/jp/JVN17849447/index.html Japan Vulnerability Notes JVN#51770585 EC-CUBE における情報漏えいの脆弱性 https://jvn.jp/jp/JVN51770585/index.html 概要 EC-CUBE には、複数の脆弱性があります。結果として、ショッピングサイト利 用者が、他の利用者の登録情報を取得したり、改ざんしたりする可能性があり ます。 対象となるバージョンは以下の通りです。 - EC-CUBE 2.4.4 およびそれ以前のバージョン - EC-CUBE 2.11.0 - EC-CUBE 2.11.1 - EC-CUBE 2.11.2 - EC-CUBE 2.11.3 - EC-CUBE 2.11.4 - EC-CUBE 2.11.5 - EC-CUBE 2.12.0 - EC-CUBE 2.12.1 - EC-CUBE 2.12.2 この問題は、株式会社ロックオンが提供する修正済みのバージョンに EC-CUBE を更新することで解決します。詳細については、株式会社ロックオンが提供す る情報を参照して下さい。 関連文書 (日本語) 株式会社ロックオン 個人情報削除の脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=56 株式会社ロックオン 個人情報漏えいの脆弱性 http://www.ec-cube.net/info/weakness/weakness.php?id=57 【5】CS-Cart にクロスサイトスクリプティングの脆弱性 情報源 CERT/CC Vulnerability Note VU#405942 CS-Cart version 4.0.2 contains cross-site scripting vulnerabilities http://www.kb.cert.org/vuls/id/405942 概要 CS-Cart には、クロスサイトスクリプティングの脆弱性があります。結果とし て、遠隔の第三者が、ユーザのブラウザ上で任意のスクリプトを実行する可能 性があります。 対象となるバージョンは以下の通りです。 - CS-Cart 4.1.1 より前のバージョン この問題は、開発者が提供する修正済みのバージョンに CS-Cart を更新するこ とで解決します。詳細については、CS-Cart が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#97395039 CS-Cart にクロスサイトスクリプティングの脆弱性 https://jvn.jp/vu/JVNVU97395039/index.html 【6】複数の Cisco TelePresence 製品に脆弱性 情報源 US-CERT Current Activity Cisco Releases Multiple Security Advisories http://www.us-cert.gov/ncas/current-activity/2014/01/22/Cisco-Releases-Multiple-Security-Advisories 概要 複数の Cisco TelePresence 製品には、脆弱性があります。結果として、ロー カルのユーザが任意のコードを実行したり、遠隔の第三者がサービス運用妨害 (DoS) 攻撃を行ったりする可能性があります。 対象となる製品は以下の通りです。 - Cisco TelePresence ISDN Gateway - Cisco TelePresence System Software - Cisco TelePresence Video Communication Server この問題は、Cisco が提供する修正済みのバージョンに該当の製品を更新する ことで解決します。詳細については、Cisco が提供する情報を参照して下さい。 関連文書 (英語) Cisco Security Advisory Cisco TelePresence ISDN Gateway D-Channel Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-isdngw Cisco Security Advisory Cisco TelePresence System Software Command Execution Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-cts Cisco Security Advisory Cisco TelePresence Video Communication Server SIP Denial of Service Vulnerability http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140122-vcs 【7】Sleipnir Mobile for Android に位置情報漏えいの脆弱性 情報源 Japan Vulnerability Notes JVN#81637882 Sleipnir Mobile for Android における位置情報漏えいの脆弱性 https://jvn.jp/jp/JVN81637882/index.html 概要 Sleipnir Mobile for Android には、位置情報漏えいの脆弱性があります。結 果として、ユーザの確認なしに、ユーザの位置情報が閲覧中のウェブサイトに 送信される可能性があります。 対象となるバージョンは以下の通りです。 - Sleipnir Mobile for Android 2.12.1 およびそれ以前 - Sleipnir Mobile for Android Black Edition 2.12.1 およびそれ以前 この問題は、フェンリルが提供する修正済みのバージョンに Sleipnir Mobile for Android を更新することで解決します。詳細については、フェンリルが提 供する情報を参照して下さい。 関連文書 (日本語) Google Play Sleipnir Mobile - ウェブブラウザ https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir Google Play Sleipnir Mobile Black Edition https://play.google.com/store/apps/details?id=jp.co.fenrir.android.sleipnir_black 【8】Emerson Network Power Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性 情報源 CERT/CC Vulnerability Note VU#168751 Emerson Network Power Avocent MergePoint Unity 2016 KVM switches contain a directory traversal vulnerability http://www.kb.cert.org/vuls/id/168751 概要 Emerson Network Power Avocent MergePoint Unity 2016 には、ディレクトリ トラバーサルの脆弱性があります。結果として、遠隔の第三者が、当該製品の 設定ファイルを取得し、当該製品に管理者権限でアクセスする可能性がありま す。 対象となるバージョンは以下の通りです。 - Emerson Network Power Avocent MergePoint Unity 2016 (MPU2016) ファームウェア 1.9.16473 およびそれ以前 この問題は、Emerson Network Power が提供する修正済みのバージョンに該当 製品のファームウェアを更新することで解決します。詳細については、 Emerson Network Power が提供する情報を参照して下さい。 関連文書 (日本語) Japan Vulnerability Notes JVNVU#95235811 Emerson Avocent MergePoint Unity 2016 にディレクトリトラバーサルの脆弱性 https://jvn.jp/vu/JVNVU95235811/index.html 【9】Thecus NAS Server N8800 に複数の脆弱性 情報源 CERT/CC Vulnerability Note VU#105686 Thecus NAS Server N8800 contains multiple vulnerabilities http://www.kb.cert.org/vuls/id/105686 概要 Thecus NAS Server N8800 には、複数の脆弱性があります。結果として、遠隔 の第三者が、任意の OS コマンドを実行したり、管理者の認証情報を取得した りする可能性があります。 対象となるバージョンは以下の通りです。 - Thecus NAS Server N8800 ファームウェア 5.03.01 およびそれ以前 2014年1月28日現在、対策済みのファームウエアは提供されていません。以下の 回避策を適用することで、本脆弱性の影響を軽減することが可能です。 - アクセスを制限する 関連文書 (日本語) Japan Vulnerability Notes JVNVU#96911453 Thecus N8800 に複数の脆弱性 https://jvn.jp/vu/JVNVU96911453/index.html ―――――――――――――――――――――――――――――――――――――― ■今週のひとくちメモ ―――――――――――――――――――――――――――――――――――――― ○情報セキュリティ月間 2月は「情報セキュリティ月間」です。情報セキュリティの普及啓発強化のた めの様々な活動が企画されています。 「国民を守る情報セキュリティサイト」では、様々な資料や関連サイトへのリ ンクを紹介しています。有識者のリレー形式によるコラムや情報セキュリティ の普及啓発のためのリーフレットやポスターなども掲載される予定です。 情報セキュリティの普及啓発の一助として、この機会をご活用ください。 参考文献 (日本語) 内閣官房情報セキュリティセンター 情報セキュリティ月間[国民を守る情報セキュリティサイト] http://www.nisc.go.jp/security-site/month/index.html JPCERT/CC WEEKLY REPORT ひとくちメモ 2013-02-06 情報セキュリティ月間 https://www.jpcert.or.jp/tips/2013/wr130501.html ―――――――――――――――――――――――――――――――――――――― ■JPCERT/CC からのお願い ―――――――――――――――――――――――――――――――――――――― ◇本レポートに関するお問い合わせは editor@jpcert.or.jp 宛にお願い致しま す。ただし、JPCERT/CC では、提供する情報について具体的な内容そのものに ついてのご質問にはお答えできない場合もあります。またバックナンバーは、 以下の URL からご利用いただけます。 https://www.jpcert.or.jp/wr/ ◇本メーリングリストの購読申込や購読停止、また登録した電子メールアドレス の変更などにつきましては、以下の URL を参照してください。 https://www.jpcert.or.jp/announce.html ◇JPCERT/CC へのセキュリティインシデントの報告方法については以下の URL を参照してください。 https://www.jpcert.or.jp/form/ 以上。 __________ 2014 (C) JPCERT/CC -----BEGIN PGP SIGNATURE----- iQEcBAEBCAAGBQJS6FgYAAoJEDF9l6Rp7OBI5foH/RbegcNY8Dwfap2nJkZSPirZ bba4FWgOLfxGo8Yu0u0bxJBqm8FIgZfp6pSo360mGPSJ5HCKMUWw3EBXkDd0A+3T eKUncRh2asME0QdjkhRbgIsOp1Jrz3BCooqqQTHQ5tOa8dIH5184DR770zVKIhQB Q4rk5ovst3Yy5y2jq9HrODo3C3x7ls6MKAzDA0T/2R/fqHDeK1+yWqBkhQq4nl1U OAN6f94+ce5T1a8YatthXKh5qslZxmdaEJbMx/rRQ0RTE6MA2rooRbgHRPyipjPN ygkSXuy+wP8DpBLMqsV9UxEM0RwFelbkgGmsIzC9TUwBgbIegNwuD9NyAqPn/ko= =eHAe -----END PGP SIGNATURE-----