PR

Hitach Incident Response Team

 9月27日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

米シスコ製品群に複数のぜい弱性(2009/09/23)

 複数のシスコ製品にぜい弱性が確認されました。今回の対策は,IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Managerで2件,ルーターとスイッチに搭載されているCisco IOSで10件,計12件のぜい弱性への対応となります。

 任意のコード実行につながるぜい弱性(CVE-2009-2865)は,デバイス・プロファイル管理を行うExtension Mobility機能のログイン処理に存在します。攻撃元は登録された電話のIPアドレスに限定されますが,auto-registration機能が有効になっている場合には,事前に電話のIPアドレスを登録してから,細工したペイロードを送信するという侵害活動が可能になるため設定状況と併せて対策を検討する必要があります。

影響 アドバイザリ
攻撃者の用意した任意のコードを実行されてしまう cisco-sa-20090923-cme:Unified Communications Manager Expressに関するぜい弱性
サービス不能(DoS: Denial of Service)状態に陥る cisco-sa-20090923-ipsec:IOS Internet Key Exchangeの資源管理に関するぜい弱性
cisco-sa-20090923-tunnels:IOSトンネル処理に関するぜい弱性(CVE-2009-2872, CVE-2009-2873)
cisco-sa-20090923-cm:Unified Communications Manager SIP処理にぜい弱性
cisco-sa-20090923-h323:IOS H.323処理にぜい弱性
cisco-sa-20090923-sip:IOS SIP処理にぜい弱性
cisco-sa-20090923-tls:IOS不正な暗号通信パケット処理にぜい弱性
cisco-sa-20090923-ios-fw:IOSゾーンポリシー設定型ファイアウォールのぜい弱性
cisco-sa-20090923-ntp:IOS NTPパケット処理にぜい弱性
アクセス権限の昇格 cisco-sa-20090923-acl:IOSオブジェクトグループのアクセス制御に関するぜい弱性
なりすまし cisco-sa-20090923-auth-proxy:IOS認証プロキシ処理に認証回避のぜい弱性

[参考情報]

マイクロソフトSMB 2.0のぜい弱性(2009/09/18)

 Windows ベースのシステム間でファイル共有するためのプロトコルSMB(server message block)にぜい弱性(CVE-2009-3103)が存在します。この問題については,2009年9月8日にマイクロソフトからアドバイザリが発行され,9月18日から回避策「SMB v2を無効にする」を設定するツール『Microsoft Fix it 50304(写真1)』が提供されています。

写真1●Microsoft Fix it 50304

日付(米国日付) イベント
9月7日 ぜい弱性の報告
 SMB 2.0のNEGOTIATE PROTOCOL REQUESTのProcess ID Highフィールドの処理に起因するぜい弱性により,Windows VistaとWindows 7が異常終了するという報告が検証コードとともに,メーリングリストFull-disclosureに投稿されました。

9月8日 マイクロソフトがセキュリティアドバイザリ(975497)を発行
 SMBに存在する可能性のあるぜい弱性を調査中であることと,ぜい弱性を悪用した侵害活動については認識していないことを報告しています。

9月9日 Metasploit Project,SMB 2.0 scannerをリリース
9月14日 Nmap Scripting Engine,smb-check-vulns.nse改訂版をリリース
9月18日 マイクロソフト,回避策を設定するツール『Microsoft Fix it 50304』リリース

[参考情報]

米アップルiTunesのぜい弱性(2009/09/23)

 iTunesのセキュリティ・アップデート版がリリースされました。iTunesのプレイリスト・ファイル(.pls)の処理にはバッファ・オーバーフローのぜい弱性(CVE-2009-2817)が存在するため,不正なプレイリスト・ファイル(.pls)を開くと,アプリケーションが異常終了したり,任意のコードが実行される可能性があります。

[参考情報]

Cyber Security Bulletin SB09-264(2009/09/21)

 9月14日の週に報告されたぜい弱性の中から米アドビ システムズShockWave Playerに関するぜい弱性を取り上げます(Vulnerability Summary for the Week of September 14, 2009)。

■Adobe ShockWave PlayerのActiveXコントロールにバッファ・オーバーフローのぜい弱性(2009/09/18)

 Adobe ShockWave Player 11.5.1.601に同梱されているActiveXコントロールSwDir.dll 11.5.1r601には,サービス不能(DoS: Denial of Service)ならびに任意のコード実行につながる可能性のあるバッファ・オーバーフローのぜい弱性(CVE-2009-3244)が存在します。ぜい弱性を悪用するサイトにアクセスしてしまった場合,任意のコード実行やブラウザの異常終了する場合があります。2009年8月下旬に検証コードが公開されており,ぜい弱性を悪用された場合の影響として、ブラウザの異常終了を確認できます(写真2)。

写真2●ぜい弱性を悪用された場合のブラウザの異常終了

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。