PR

Hitach Incident Response Team

 4月22日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー 2.4.2リリース(2012/04/17)

 Apache HTTPサーバー 2.4.2では、2.4.1に存在するLD_LIBRARY_PATH環境変数に起因して発生する安全でないライブラリーの読み込み問題(CVE-2012-0883)を解決しています。そのほかの変更点は、mod_ssl、mod_proxy、mod_slotmem_shm(スロットベースの共有メモリー利用)、mod_sed(sed文法でのフィルターリング)、mod_dumpio(I/Oデータのロギング)、mod_filter(動的フィルター)などに存在するバグ修正です。

OpenSSL 1.0.1a、OpenSSL 1.0.0i、OpenSSL 0.9.8vリリース(2012/04/19)

 OpenSSLのasn1_d2i_read_bio関数には、ASN.1データを処理する際にメモリー破損が発生し、サービス拒否攻撃などを許してしまう脆弱性(CVE-2012-2110)が存在します。この脆弱性は、S/MIMEメッセージを処理するSMIME_read_PKCS7やSMIME_read_CMS関数を使用しているS/MIME、CMS(Cryptographic Message Syntax)アプリケーションに影響します。OpenSSLのSSL/TLS処理に影響はありません。

オラクル2012年4月の四半期セキュリティアップデート(2012/04/20)

 Critical Patch Update - April 2012には、Oracle Database Server系6件(3件)、Oracle Fusion Middleware系11件(9件)、Oracle Enterprise Manager Grid Control系6件(4件)、Oracle Applications系19件[Oracle E-Business Suite系4件(4件)、Oracle Supply Chain Products Suite系5件(4件)、Oracle PeopleSoft系15件(1件)]、Oracle Industry Applications系2件、Oracle Financial Services Software系17件(1件)、Oracle Primavera Product Suite系1件(1件)、Oracle Sun Products Suite系15件(5件)、Oracle MySQL系6件、計88件のセキュリティアップデートが含まれています。カッコ内の件数は、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計32件となっています。

 このうち、Oracle Enterprise Manager Grid Control系の脆弱性は、Application SecurityのTeam SHATTERによって確認されたもので、SQLインジェクション(CVE-2012-0512、CVE-2012-0525)、HTTPレスポンス分割(CVE-2012-0526、CVE-2012-0527)、セッションIDの固定化(CVE-2012-0528)などの脆弱性です。

OpenSSH 6.0、OpenSSH 6.0p1リリース(2012/04/22)

 OpenSSH 6.0、OpenSSH 6.0p1は、sshd、ssh、scp、sftpに存在するバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。また、OpenSSH 6.0p1では、SSHのセキュリティ機能であるprivsep(Privilege separation)へのLinux seccompサンドボックス技術の適用などの機能強化が施されています。

MySQL Community Server 5.5.23リリース(2012/04/12)

 MySQL Community Server 5.5.23での変更点は、1件のセキュリティ問題の解決と、InnoDB Storage Engineならびにレプリケーション処理に存在するバグ修正です。

日立製品に脆弱性(2012/04/20)

 デスクトップの資産・配布などの運用を統合的に管理するJP1/IT Desktop Management - Managerには、クロスサイトスクリプティング(XSS)、サービス拒否攻撃などを許してしまう脆弱性が存在します。XSSの問題は、米アドビ システムズのRoboHelpの脆弱性(CVE-2008-0642、CVE-2009-0524)に起因するものです。サービス拒否攻撃などの問題は、米アドビ システムズのLiveCycle Data Services、LiveCycle ES、BlazeDSに存在する脆弱性(CVE-2011-2092、CVE-2011-2093)に起因しています。

Cyber Security Bulletin SB12-107(2012/04/16)

 4月9日の週に報告された脆弱性の中から、HP製品の脆弱性を取り上げます(Vulnerability Summary for the Week of April 9, 2012)。

■HP ProCurve 5400 zlスイッチにウイルス混入の可能性(2012/04/10)

 インテリジェントスイッチであるHP ProCurve 5400 zlのコンパクトフラッシュカードに、ウイルスが混入している可能性があります。2011年4月30日以降に購入したHP ProCurve 5400 zlが該当し、CVE番号としてCVE-2012-0133が割り当てられています。

■HPシステムマネジメントホームページ(2012/04/16)

 エージェントや管理ツールからのデータを集約して、ハードウエア構成、パフォーマンス測定値、ソフトウエアバージョン管理情報などを提供するシステムマネジメントホームページには、クロスサイトリクエストフォージェリー(CVE-2011-3846)、サービス拒否攻撃(CVE-2012-0135)、情報漏洩(CVE-2012-1993)、任意のコード実行を許してしまう脆弱性など、計38件のセキュリティ問題が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。