PR

Hitach Incident Response Team

 2010年11月7日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Flash Player 10.1.102.64/9.0.289.0リリース:APSB10-26(2010/11/04)

 2010年10月28日、米アドビ システムズからFlash Playerのぜい弱性(CVE-2010-3654)が公開され、11月4日、Windows、Macintosh、Linux、Solaris版Flash Player 10.1.102.64、Windows、Macintosh、Linux版Flash Player 9.0.289.0がリリースされました(図1)。11月9日には、Android版Flash Player 10.1.105.6がリリースされました。これらのリリースでは、10月28日に明らかとなったFlash Playerのぜい弱性(CVE-2010-3654)、メモリー破損により任意のコード実行につながるぜい弱性13件、サービス不能、情報漏えい、クロスドメインの制限回避につながるぜい弱性3件、安全でないライブラリーのロード(DLLのプリロード)問題(CVE-2010-3976)、計18件の対策を含んでいます。

 なお、このぜい弱性は、Adobe Reader 9.4とAcrobat 9.4およびそれ以前のバージョンに付属のauthplay.dllコンポーネントにも影響します。Adobe ReaderとAcrobatのセキュリティ更新プログラムのリリースは11月15日の週に予定されています、

図1●ぜい弱性(CVE-2010-3654)の対応経緯
図1●ぜい弱性(CVE-2010-3654)の対応経緯

[参考情報]

ISC DHCP 4.2.0-P1/4.1.2/4.0.3リリース(2010/11/02)

 DHCP 4.2.0-P1/4.1.2/4.0.3がリリースされました。このリリースでは、リンクアドレスが格納されていないRelay-Forwardメッセージを含むDHCPv6パケットを受信したときに、DHCPサーバーが異常終了してしまうという問題(CVE-2010-3611)を解決しています。

[参考情報]

Tomcat Connectors 1.2.31リリース(2010/11/01)

 Tomcat Connectors 1.2.31がリリースされました。ただし、このリリースでは、バグフィックスが中心で、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

Internet Explorer のぜい弱性(2010/11/04)

 Internet Explorerには、カスケードスタイルシートを適切に処理しないことに起因した、任意のコード実行につながるぜい弱性(CVE-2010-3962)が存在します。限定的ですが、既にぜい弱性を悪用した侵害活動は発生していますので注意が必要です(図2)。

図2●ぜい弱性(CVE-2010-3962)の対応経緯
図2●ぜい弱性(CVE-2010-3962)の対応経緯

[参考情報]

一太郎に任意のコード実行につながるぜい弱性(2010/06/01)

 一太郎、一太郎ガバメント、ジャストスクール、ジャストジャンプには、文書ファイルを読みこむ際に、任意のコード実行につながるぜい弱性(CVE-2010-3915、CVE-2010-3916)が存在します。このぜい弱性は、2010年9月中旬から不正な一太郎のファイル(拡張子JTDのファイル)として流布したものです(図3)。

図3●ぜい弱性(CVE-2010-3915, CVE-2010-3916)の対応経緯
図3●ぜい弱性(CVE-2010-3915, CVE-2010-3916)の対応経緯

[参考情報]

Cyber Security Bulletin SB10-305(2010/11/01)

 10月25日の週に報告されたぜい弱性の中からシステム全体の管理や運用を統合管理するHP Insightソフトウエア製品のぜい弱性を取り上げます(Vulnerability Summary for the Week of October 25, 2010)。

■HP Systems Insight Managerに複数のぜい弱性(2010/10/21)

 サーバーやストレージの統一管理するHP Systems Insight Manager v6.2より前のバージョンには、クロスサイトリクエストフォージェリー(CVE-2010-3288)、クロスサイトスクリプティング(CVE-2010-3289)、アクセス権限の昇格(CVE-2010-3290)につながるぜい弱性が存在します。

[参考情報]

■HP Insight Control Virtual Machine Managementに複数のぜい弱性(2010/10/26)

 HP Systems Insight Managerの一機能として、仮想マシン管理機能を提供するHP Insight Control Virtual Machine Management v6.2より前のバージョンには、クロスサイトスクリプティング(CVE-2010-3987)、アクセス権限の昇格(CVE-2010-3988)、クロスサイトリクエストフォージェリー(CVE-2010-3989)につながるぜい弱性が存在します。

[参考情報]

■HP Insight Control Server Migrationに複数のぜい弱性(2010/10/26)

 既存のサーバーを新しい物理サーバーまたは仮想サーバーへの移行を支援するHP Insight Control Server Migration v6.2より前のバージョンには、クロスサイトスクリプティング(CVE-2010-3991)、アクセス権限の昇格(CVE-2010-3992)、不正アクセス(CVE-2010-3993)につながるぜい弱性が存在します。

[参考情報]

■HP Insight Control Power Managementに複数のぜい弱性(2010/10/26)

 データセンターの消費電力と熱出力を監視および制御するHP Insight Control Power Management v6.2より前のバージョンには、クロスサイトスクリプティング(CVE-2010-4023)、クロスサイトリクエストフォージェリー(CVE-2010-4024)につながるぜい弱性が存在します。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。