PR

Hitach Incident Response Team

 10月25日までに明らかになったぜい弱性情報のうち,気になるものを紹介します。それぞれ,ベンダーなどの情報を参考に対処してください。

オラクル2009年10月の四半期セキュリティ・アップデート(2009/10/20)

 複数のオラクル製品とそのコンポーネントに複数のぜい弱性が確認されました。Oracle Critical Patch Update - October 2009には,Oracle Database系16件,Oracle Application Server系3件,BEA製品系6件など,計38件のセキュリティ・アップデートが含まれています。

 これらのぜい弱性は,該当するシステム上でのリモート攻撃者による任意のコード実行,情報漏えい,サービス運用妨害などにつながる可能性があります。オラクル製品の多くが,オラクル製品自身ならびにコンポーネントを取り込んだり共有したりしていて,一つのぜい弱性がいろいろな製品やコンポーネントに影響を与えるので注意が必要です。

[参考情報]

Cyber Security Bulletin SB09-292(2009/10/19)

 10月12日の週に報告されたぜい弱性の中からApacheとAdobe Reader,Acrobatのぜい弱性を取り上げます(Vulnerability Summary for the Week of October 12, 2009)。

■Apache 2.2.14リリース(2009/10/05)

 Apache HTTP Serverのライブラリ群を提供するAPR(Apache Portable Runtime)1.3.9より前には,プロセス実行とMPM(Multi Processing Module)に関するHTTP要求を受信した場合に,Apache Webサーバーがハングアップするぜい弱性が存在します。原因はSolaris pollset機能が適切にエラー処理を行わないことです。Apache 2.2.14では,APRに存在するセキュリティ問題(CVE-2009-2699)とともに,9月に報告されたApache HTTPサーバーのftpプロキシ機能に存在する複数のぜい弱性を解決しています。

 なお,ftpプロキシ機能に存在する複数のぜい弱性(CVE-2009-3094,CVE-2009-3095)については,2009年9月3日時点で,ぜい弱性の存在までは公開されているが詳細については開示されていないこと,ぜい弱性の存在を公開しているサイトは信頼できる研究者によって運営されていることから,トラッキングのためにCVEを割り当てたぜい弱性です。

[参考情報]

■Adobe Reader,Acrobatのセキュリティ・アップデート(2009/10/13)

 Gumblarと呼ばれる悪質なプログラムの亜種が関与したAdobe Readerおよび,Acrobatを狙う侵害活動が再度活発になっています。10月13日,米アドビ システムズからAdobe Reader 9.2 / Acrobat 9.2,Adobe Reader 8.1.7 / Acrobat 8.1.7,Adobe Reader 7.1.4 / Acrobat 7.1.4がリリースされていますので,Adobe Reader,Acrobatをアップデートしてください。

 また,MozillaからFirefoxプラグインのバージョンをチェックするページ「Plugin Check」が公開されました。アップデートの確認方法の一つとして活用しましょう。Firefoxプラグインのバージョン・チェックはJavaScript(ozten's Perfidies-of-the-Web at master - GitHub)でチェックしており,プラグインが最新版の場合には「Up to Date」,更新が必要な場合には「Update」,バージョン状態を判定できない場合には自分で確認することを意図した「Research」というボタンが表示されます(写真1)。

写真1●Firefoxプラグインのバージョン・チェックのページ
[画像のクリックで拡大表示]

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。