PR

Hitach Incident Response Team

 2010年7月25日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Firefox 3.6.8、Firefox 3.5.11リリース(2010/07/24)

 7月21日に、Firefox 3.6.7、Firefox 3.5.11リリースがリリースされました。Firefox 3.6.7では14件、Firefox 3.5.11では11件のセキュリティ問題を解決しています。ただFirefox 3.6.7において修正した「プラグイン引数配列によるクラッシュ問題」に起因して、メモリー破壊の形跡があるクラッシュ問題が新たに生じてしまったことから、7月24日に、この問題を解決したFirefox 3.6.8がリリースされました。

[参考情報]

Thunderbird 3.1.1、Thunderbird 3.0.6リリース(2010/07/21)

 Thunderbird 3.1.1、Thunderbird 3.0.6がリリースされました。Thunderbird 3.1.1dでは10件、Thunderbird 3.0.6では7件の任意のコード実行や情報漏えいにつながるセキュリティ問題を解決しています。

[参考情報]

米シスコCDS Internet Streamerにディレクトリトラバーサルのぜい弱性(2010/07/21)

 Content Delivery System(CDS)の一機能である、Internet StreamerのWebサーバーコンポーネントにディレクトリトラバーサルのぜい弱性が存在します。URLを細工することにより、装置上の任意のファイル参照が可能性になります。

[参考情報]

Tomcat 6.0.29リリース(2010/07/22)

 Tomcat 6.0.29がリリースされました。このリリースでは、context.xmlのパス記述方法、Cookie処理に関する問題が修正されましたが、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

VMware vCenter Update Manager のセキュリティアップデート:VMSA-2010-0012(2010/07/19)

 VMware vCenter Update ManagerのJetty Web serverには、ディレクトリトラバーサル(CVE-2009-1523)とクロスサイトスクリプティング(CVE-2009-1524)のぜい弱性が存在します。

[参考情報]

Cyber Security Bulletin SB10-200(2010/07/19)

 7月12日の週に報告されたぜい弱性の中からMySQLのぜい弱性を取り上げます(Vulnerability Summary for the Week of July 12, 2010)。

■MySQL ALTER DATABASEコマンドにサービス不能のぜい弱性(2010/07/13)

 MySQL 5.1.47ならびに、それ以前のバージョンにサービス不能につながるぜい弱性(CVE-2010-2008)が存在します。この問題は、ALTER DATABASEコマンドにおいて、ドット(.)、ドットドット(..)、ドットドットスラッシュ(../)のような文字列を使用した場合、サーバーの異状終了やデータの消失などが発生する可能性があります。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。