PR

Hitach Incident Response Team

 2009年12月13日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Flash PlayerとAdobe AIRのセキュリティ・アップデート(2009/12/08)

 米アドビ システムズのAdobe Flash PlayerとAdobe AIRに、異常終了や攻撃者の用意した任意のコード実行につながる複数のぜい弱性(CVE-2009-3794、CVE-2009-3796、CVE-2009-3797、CVE-2009-3798、CVE-2009-3799、CVE-2009-3800、CVE-2009-3951)が存在します。

 このうちCVE-2009-3794は、SWFの中に埋め込まれているJPEGファイルの画像サイズを処理する際に、ヒープ・バッファ・オーバーフローが発生する問題です。CVE-2009-3799はActionScriptのVerifier::parseExceptionHandlers関数のexception_count変数処理において、整数オーバーフローが発生する問題です。いずれも、米ティッピングポイントが立ち上げたぜい弱性報告プログラム「Zero Day Initiative」によって確認されました。

 Adobe Flash Playerを利用しているユーザーは10.0.42.34へのアップデートを、Adobe AIRを利用しているユーザーは1.5.3へのアップデートを実施してください。

 なお、Adobe Flash Playerのバージョン・チェックには、MyJVNバージョン・チェッカを利用できます。MyJVNバージョン・チェッカでは、"http://jvndb.jvn.jp/myjvn? method=getOvalList"でバージョン・チェックするソフトウエア製品のリストを取得した後、"http://jvndb.jvn.jp/myjvn? method=getOvalData"でソフトウエア製品ごとのOVAL定義データを取得しています。Adobe Flash PlayerのOVAL定義データとして、ActiveX用とFirefox Plug-in用が用意されています。ActiveX用の場合は、レジストリHKEY_LOCAL_MACHINE \SOFTWARE \Macromedia \FlashPlayer \CurrentVersionに格納されているバージョン情報(写真1)を、Firefox Plug-in用の場合は、レジストリHKEY_LOCAL_MACHINE \SOFTWARE \MozillaPlugins \@adobe.com/FlashPlayer \Versionに格納されているバージョン情報(写真2)をチェック対象としています。

写真1●MyJVNバージョン・チェッカActiveX用のOVAL定義データ(抜粋)
[画像のクリックで拡大表示]
写真2●MyJVNバージョン・チェッカFirefox Plug-in用のOVAL定義データ(抜粋)
[画像のクリックで拡大表示]

[参考情報]

マイクロソフト2009年12月の月例セキュリティ・アップデート(2009/12/09)

 12月の月例セキュリティ・アップデートでは、6件のセキュリティ更新プログラムを公開し、12件のセキュリティ問題を解決しています。このうち、Internet Explorer用の累積的なセキュリティ更新プログラム(MS09-072)には、2009年11月21日にメーリングリストに検証コードが投稿され、11月24日にセキュリティ・アドバイザリ(977981)「Internet Explorerのぜい弱性」で調査中であると報告されたぜい弱性の対策が含まれています。

【 任意のコード実行 】
MS09-070:Active Directoryフェデレーション・サービスのぜい弱性
MS09-071:インターネット認証サービスのぜい弱性
MS09-072:Internet Explorer用の累積的なセキュリティ更新プログラム
MS09-073:ワードパッドおよびOfficeテキスト・コンバーターのぜい弱性
MS09-074:Microsoft Office Project のぜい弱性

【 サービス不能 】
MS09-069:Local Security Authority Subsystem Service (LSASS) のぜい弱性

【 アクセス権限の昇格 】
MS09-071:インターネット認証サービスのぜい弱性

【 なりすまし 】
MS09-070:Active Directoryフェデレーション・サービスのぜい弱性

[参考情報]

HP OpenView Network Node Managerのぜい弱性(2009/12/09)

 ネットワーク管理ソフトのHP OpenView Network Node Manager (NNM) v7.01、v7.51、v7.53には、攻撃者が用意した任意のコード実行につながる複数のぜい弱性(CVE-2009-0898、CVE-2009-3845、CVE-2009-3846、CVE-2009-3847、CVE-2009-3848、CVE-2009-3849、CVE-2009-4176、CVE-2009-4177、CVE-2009-4178、CVE-2009-4179、CVE-2009-4180、CVE-2009-4181)が存在します。

 CVE-2009-0898は、細工されたHTTPメッセージを受信した場合にスタック・バッファ・オーバーフローが発生する問題で、IBM X-Forceによって確認されました。CVE-2009-3846は、CGIプログラムovlogin.exeの認証処理に存在するヒープ・バッファ・オーバーフローのぜい弱性で、ティッピングポイントによって確認されました。

 このほか、ティッピングポイントの「Zero Day Initiative」によって確認されたPerlのCGIプログラムに存在するコード・インジェクションにつながるぜい弱性(CVE-2009-3845)、CGIプログラムsnmp.exeのOidパラメータ処理とnnmRptConfig.exeのテンプレート・パラメータ処理に存在するスタック・バッファ・オーバーフローのぜい弱性(CVE-2009-3849)、CGIプログラムnnmRptConfig.exeのテンプレート・パラメータ処理に存在するスタック・バッファ・オーバーフローのぜい弱性(CVE-2009-3848)が含まれています。

[参考情報]

Cyber Security Bulletin SB09-341(2009/12/07)

 12月7日の週に報告されたぜい弱性の中からHP Operations Managerのぜい弱性を取り上げます(Vulnerability Summary for the Week of November 30、 2009)。

■HP Operations Managerのデフォルト・パスワード(2009/11/28)

 ネットワーク上に分散されたサーバーのOS、アプリケーションならびにデータベースなどのソフトウエアの動作を集中監視するHP Operations Managerには、ovwebusr:OvW*busr1というTomcatの「manager」権限を持ったアカウントとパスワードの組み合わせが存在します。このアカウントがバックドア・アカウントとして利用された場合、ファイルのアップロードと任意のコード実行が可能となることから、CVE-2009-4189が割り当てられています。

 なお、HP Operations Managerのデフォルト・パスワードに関しては、ティッピングポイントの「Zero Day Initiative」からTomcatに存在する隠しアカウントに関するぜい弱性(CVE-2009-3843)が報告されています。ただ2009年12月13日時点では、これらのぜい弱性が同じ問題であるかどうかの確認まではとれていません。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。