PR

Hitach Incident Response Team

 2010年7月4日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Reader 9.3.3/8.2.3、Acrobat 9.3.3/8.2.3リリース:APSB10-15(2010/06/29)

 米アドビ システムズからAdobe Reader 9.3.3/8.2.3とAcrobat 9.3.3/8.2.3がリリースされました。このリリースでは、2010年6月4日にセキュリティアドバイザリー(APSA10-01)で報告された任意のコード実行につながるぜい弱性(CVE-2010-1297)、メモリー破損ならびにメモリー初期化処理の問題、サービス不能につながるぜい弱性など、計17件のぜい弱性を解決しています。

 既に、ぜい弱性(CVE-2010-1297)を悪用した侵害活動は発生していますので(図1)、Adobe ReaderとAcrobatを利用しているユーザーは9.3.3あるいは、8.2.3へのアップデートを実施してください。

図1●ぜい弱性(CVE-2010-1297)の対応経緯

 図2に示したように、2010年3月29日に公開された「PDFファイルにおけるLauchを用いたプログラム実行のぜい弱性(CVE-2010-1240)」も、このリリースで修正されました(写真1)。ただ7月1日には、対策の迂回が可能であるとの報告が公開されました(写真2)。引き続き、Adobe Reader、Acrobatの「信頼性管理マネージャ」で「外部アプリケーションでPDF以外の添付ファイルを開くことを許可」のチェックを外す方法を適用する必要があります。

図2●ぜい弱性(CVE-2010-1240)の対応経緯
写真1●ぜい弱性(CVE-2010-1240)対策版のダイアログ表示(cpe:/a:adobe:acrobat_reader:9.3.3)
写真2●ぜい弱性(CVE-2010-1240)対策が迂回されたときのダイアログ表示(cpe:/a:adobe:acrobat_reader:9.3.3)

[参考情報]

Firefox 3.6.6リリース(2010/06/27)

 MozillaからFirefox 3.6.6がリリースされました。このバージョンでは、Firefox 3.6.4で導入された「プラグインが原因となったクラッシュを防止する機能」が修正されています。

[参考情報]

Thunderbird 3.1リリース(2010/06/24)

 Thunderbird 3.1がリリースされました。このリリースでは、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

Cyber Security Bulletin SB10-179(2010/06/28)

 6月21日の週に報告されたぜい弱性の中からWebSphere Application Server、Apache Axis2、Red Hat仮想環境製品のぜい弱性を取り上げます(Vulnerability Summary for the Week of June 21, 2010)。

■IBM WebSphere Application Serverに複数のぜい弱性(2010/06/18)

 IBM WebSphere Application Serverに複数のぜい弱性が報告されています。バージョン7.0(7.0.0.11より前)には、大きなサイズのgzipファイルの取り扱い処理にサービス不能につながるぜい弱性(CVE-2010-2328)が存在します。またノード統合を行う際に、トレース機能(addNode -trace)を有効にしていると、addNode.logファイルのログ記録からCIMMetadataCollectorImplによって発行された重要なトレース情報を、悪意ある第三者に参照されてしまう可能性があります(CVE-2010-2326)。

 バージョン7.0(7.0.0.11より前)、バージョン6.1(6.1.0.33より前)ならびに、バージョン6.0(6.0.2.43より前)の管理コンソール機能には、クロスサイトスクリプティングのぜい弱性(CVE-2010-0778、CVE-2010-0779)が存在します。

[参考情報]

■Apache Axis2にサービス不能につながるのぜい弱性(2010/06/22)

 Webサービスフレームワークであり、IBM WebSphere Application Server 7.0~7.0.0.12、IBM Feature Pack for Web Services 6.1.0.9~6.1.0.32、IBM Feature Pack for Web 2.0 1.0.1.0, Apache Synapse、Apache ODE(Orchestration Director Engine)、Apache Tuscany、Apache Geronimoで使用されているApache Axis2(バージョン1.5.2よりも前)には、SOAPメッセージ中の文書型定義DTD(Document Type Definition)を適切に処理しないというぜい弱性(CVE-2010-1632)が報告されています。このぜい弱性は、リモートの第三者による任意のファイル参照、イントラネット内サーバーへのHTTP要求の送信ならびに、サービス不能(CPUとメモリー消費)につながる可能性があります。

[参考情報]

■Red Hat仮想環境製品に複数のぜい弱性(2010/06/24)

 Red Hat Enterprise Virtualization Hypervisor(バージョン5.5-2.2より前)のVirtual Desktop Server Managerには、仮想環境データの削除処理が適切ではないために、ゲストOSユーザーが、削除された仮想環境のデータブロックを参照できるという問題(CVE-2010-2223)があります。また、Red Hat Enterprise Virtualization Manager(バージョン2.2より前)には、スナップショットの統合処理が適切ではないために、ゲストOSユーザーが、削除された仮想環境のデータブロックを参照できるという問題(CVE-2010-2224)があります。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。