PR

Hitach Incident Response Team

 2011年5月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米シスコWireless LAN Controllerに複数の脆弱性(2011/04/27)

 セキュリティ対策やサービス品質などの機能を提供するWireless LAN Controller(WLC)製品群に、サービス不能につながる脆弱性が確認されました。サービス不能につながる脆弱性は、不正な ICMPパケット受信が引き金となり装置の再起動が発生するもの(CVE-2011-1613)です。

[参考情報]

米シスコUnified Communications Managerに複数の脆弱性(2011/04/27)

 IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Managerには、サービス不能につながる3件の脆弱性、ディレクトリートラバーサル、SQLインジェクション2件の、計5件の脆弱性が存在します。

 サービス不能につながる脆弱性は、いずれも不正なSIP(Session Initiation Protocol)メッセージ受信が引き金となり異常終了が発生し、サービス不能につながるといったものです。対象となるSIPポート番号は5060/TCP、5061/TCP、5060/UDP、5061/UDPです。また、SQLインジェクションの一つは、認証操作が不要で、リモートからの攻撃が可能な脆弱性です。システム設定の変更に悪用される可能性があります。

[参考情報]

Firefox 4.0.1/3.6.17/3.5.19リリース(2011/04/28)

 3月22日、Firefox 3.6.16/3.5.18がリリースされました。これらのリリースでは、3月15日、Comodoという認証局が利用している登録局(RA: Registration Authority)が不正侵入を受け、九つの不正な電子証明書を発行してしまった問題(九つの不正な電子証明書問題)に対処しています。

 4月28日、Firefox 4.0.1/3.6.17/3.5.19がリリースされました。Firefox 4.0.1では任意のコード実行を許してしまう脆弱性など計3件、Firefox 3.6.17とFirefox 3.5.19では計6件の脆弱性を解決しています。2010年8月以降延長サポートが行われていた3.5系は、今回のFirefox 3.5.19が最後のセキュリティアップデートになる予定で、3.6系のサポートは2011年9月に終了予定とアナウンスされています。3.5系を使っている場合には、3.6系、4.0系へのアップグレードを推奨します(図1)。

[参考情報]

Thunderbird 3.1.10リリース(2011/04/28)

 Thunderbird 3.1.10では任意のコード実行を許してしまう脆弱性など、計2件を対策しています。なお、Thunderbird 3.0系のサポートは2010年12月で終了していますので、3.0系を使っている場合には、3.1系へのアップグレードを推奨します(図1)。

図1●Firefox、Thunderbirdリリース回数とリリース平均間隔

[参考情報]