PR

Hitach Incident Response Team

 5月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

PHP 5.3.13、PHP 5.4.3リリース(2012/05/08)

 5月6日、PHP 5.3.12、PHP 5.4.2での脆弱性(CVE-2012-1823)の対策が不完全であることが報告され、新たにCVE-2012-2311が割り当てられました。この問題は、HTTPリクエストに「?-s」、「?-d」などを指定すると、そのページのソースコード表示や任意のコード実行を許してしまうというセキュリティ問題です。

 5月8日、CVE-2012-2311とバッファオーバーフロー問題(CVE-2012-2329)を解決したPHP 5.4.3、CVE-2012-2311を解決したPHP 5.3.13がリリースされました。なお、報告された脆弱性は既に侵害活動に利用されていますので(図1)、アップデートを検討してください。

図1●脆弱性の悪用を試みていると思われるアクセスの例
[画像のクリックで拡大表示]

OpenSSL 1.0.1c、OpenSSL 1.0.0j、OpenSSL 0.9.8xリリース(2012/05/10)

 OpenSSL 1.0.1c、OpenSSL 1.0.0j、OpenSSL 0.9.8xでは、TLS 1.1、1.2、DTLS(Datagram Transport Layer Security)のCBC(Cipher Block Chaining)モード処理に存在する、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-2333)を解決しています。なお、TLSについては、OpenSSL 1.0.1ならびに、それ以降のバージョンのみが影響を受けます。

マイクロソフト2012年5月の月例セキュリティアップデート(2012/05/09)

 5月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、23件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行16件、サービス拒否2件、アクセス権限の昇格4件、セキュリティ機能のバイパス1件です。このうち、セキュリティ更新プログラム(MS12-034)は、MS11-087に引き続き、マルウエアDuqu(デューキュー)が悪用する脆弱性(CVE-2011-3402)に対処しています。Duquは、Stuxnet(スタクスネット)のソースコードの一部が利用されていると報告されているマルウエアです(図2)。

図2●脆弱性(CVE-2011-3402)の対応経緯
図2●脆弱性(CVE-2011-3402)の対応経緯

米アドビ システムズ製品に複数の脆弱性

■Illustrator CS5.1:APSB12-10(2012/05/08)

 Illustrator CS5.1以前のバージョンには、メモリー破損に起因する任意のコード実行を許してしまう脆弱性4件が存在します。

■Photoshop CS 5.1:APSB12-11(2012/05/08)

 Photoshop CS5.1以前のバージョンには、メモリーの解放後使用(use-after-free)、バッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性2件が存在します。

■Flash Professional CS5.5:APSB12-12(2012/05/08)

 Flash Professional CS5.5(11.5.1.349)以前のバージョンには、バッファオーバーフローの脆弱性(CVE-20120778)が存在します。

■Shockwave Player 11.6.5.635リリース:APSB12-13(2012/05/08)

 Shockwave Player 11.6.5.635では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性5件を解決しています。