PR

Hitach Incident Response Team

 10月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米シスコ製品に複数の脆弱性

■Cisco IOS(2011/09/28)

 Cisco ISO関連では、9件のセキュリティアドバイザリーを公開し、18件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行1件、サービス不能攻撃17件です。

  • cisco-sa-20110928-c10k:Cisco 10000シリーズルーターのICMPパケット処理にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-smart-install:スマートインストール機能(ポート番号4786/TCP)に任意のコード実行の脆弱性
  • cisco-sa-20110928-dlsw:Data-Link Switching機能のIPパケット(プロトコル番号91)処理にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-nat:ネットワークアドレス変換機能(ポート番号389/TCP、5060/TCP、5060/UDP、1720/TCP)にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-ipsla:IP Service Level Agreement(IP SLA)機能(ポート番号1967/UDP)にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-zbfw:IPSおよびCisco IOS Zone-Based Firewall機能にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-ipv6mpls:Multi Protocol Label Switching(MPLS)ドメイン上でのIPv6パケット処理にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-sip:SIPメッセージ処理(5060/TCP、5060/UDP、5061/TCP)にサービス不能攻撃を可能にする脆弱性
  • cisco-sa-20110928-ipv6:IPv6パケット処理にサービス不能攻撃を可能にする脆弱性

■Cisco Unified Communications Manager(2011/09/28)

 IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Managerには、サービス不能攻撃を許してしまう脆弱性が存在します。不正なSIP(Session Initiation Protocol)メッセージ処理中にセッション制御バッファがリークするためで、音声サービスの中断が発生する可能性があります。対象となるSIPポート番号は5060/TCP、5061/TCP、5060/UDP、5061/UDPです。

■Jabber Extensible Communications Platform(2011/09/28)

 XMLをベースとしたメッセージング、プレセンス基盤であるJabber Extensible Communications Platform(Jabber XCP)およびCisco Unified Presenceには、XML処理にサービス不能攻撃を許してしまう脆弱性が存在します。この問題は処理負荷のかかるXMLデータ(Exponential Entity Expansion攻撃、Billion Laughs攻撃として知られている)に対して脆弱であることに起因します。

[参考情報]

Firefox 7.0.1、Firefox 3.6.23リリース(2011/09/27)

 9月28日、Firefox 7、Firefox 3.6.23がリリースされました。Firefox 7では、任意のコード実行、サービス不能攻撃、アクセス権限昇格や情報漏洩を許してしまう脆弱性など計8件、Firefox 3.6.23では、任意のコード実行、サービス不能攻撃や情報漏洩を許してしまう脆弱性など計5件を解決しています。

 9月29日、Firefox 7に更新するとアドオンが消えてしまう現象が確認されたことから、最新版の配信(自動更新)を中断しました。9月30日、アドオン問題を解決したFirefox 7.0.1がリリースされました。なお、Firefox 3.5系のサポートは2011年4月で終了しています。2011年9月に終了予定であった3.6系のサポートは延長されている状況にあります。

[参考情報]

Thunderbird 7.0.1、Thunderbird 3.1.15リリース(2011/09/27)

 9月28日、Thunderbird 7、Thunderbird 3.1.15がリリースされました。Thunderbird 7では、任意のコード実行やサービス不能攻撃を許してしまう脆弱性など計5件を解決しています。また、9月29日にThunderbird 7でもアドオンが消えてしまう現象確認され、9月30日にアドオン問題を解決したThunderbird 7.0.1がリリースされました。なお、Thunderbird 3.0系のサポートは2010年12月で終了しています。

[参考情報]