PR

Hitach Incident Response Team

 5月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル製品に複数の脆弱性

■QuickTime 7.7.2リリース(2012/05/15)

 QuickTime 7.7.2では、ムービーファイル処理に存在する任意のコード実行を許してしまう脆弱性11件、MP4、PNG、PICTファイル処理に存在する任意のコード実行を許してしまう脆弱性3件、バッファオーバーフローに起因して任意のコード実行を許してしまう脆弱性3件、計17件の問題を解決しています。

■セキュリティアップデート2012-003(2012/05/14)

 Mac OS X v10.5~v10.5.8のセキュリティアップデートがリリースされました。このリリースでは、Adobe Flash Playerバージョン10.1.102.64ならびに、それ以前がインストールされている場合には、新しいディレクトリを作成し該当ファイルを移動することで、古いAdobe Flash Playerを無効化します。

RealPlayerに複数の脆弱性(2012/05/15)

 Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.5、RealPlayer 14.0.0~15.0.3.37には、任意のコード実行、サービス拒否攻撃を許してしまう脆弱性など、計3件の脆弱性(CVE-2012-1904、CVE-2012-1904、CVE-2012-2411)が存在します。

Tomcat Connector 1.2.36リリース(2012/05/14)

 ApacheをはじめとしたHTTPサーバーと連携して、アプリケーションサーバーに接続するTomcat Connectors 1.2.36がリリースされました。このバージョンは、バグの修正を目的としたもので、セキュリティアップデートは含まれていません。

Apache OpenOffice 3.4.0リリース(2012/05/08)

 ApacheからOpenOffice 3.4.0がリリースされました。Apache OpenOffice 3.4.0は、2011年6月、OpenOffice.orgのコードがオラクルからApache Software Foundationに移管され、Apache Software Foundationプロジェクトとして承認されてからの初のリリースとなります。以前のバージョンで見つかった不整合に起因する問題を避けるためにも、古いOpenOfficeを利用している場合には、このリリースへのアップデートを実施してください。

MySQL Community Server 5.5.24、5.1.63リリース(2012/05/07)

 MySQL Community Server 5.5.24での変更点は、1件のセキュリティ問題の解決とレプリケーション処理に存在するバグ修正です。MySQL Community Server 5.1.63での変更点は、2件のセキュリティ問題の解決と、InnoDB Storage Engine、パーティショニング、レプリケーション処理に存在するバグ修正です。

Google Chrome 19リリース(2012/05/15)

 4月30日にリリースされたGoogle Chrome 18.0.1025.168では、メモリーの解放後使用(use-after-free)、競合など、計5件の脆弱性(CVE-2012-1521、CVE-2011-3078~CVE-2011-3081)を解決しています。

 5月15日にリリースされたGoogle Chrome 19では、5件のメモリーの解放後使用(use-after-free)、4件の領域外のメモリー参照(out-of-bounds read)、2件の領域外メモリーへの書き出し(out-of-bounds write)など、計18件の脆弱性(CVE-2011-3083~CVE-2011-3100)を解決しています。

制御システム系製品の脆弱性

 5月15日と16日、ICS-CERTからWonderwareのSuiteLinkとPro-faceのPro-Server EXの2製品についての注意喚起文書が発行されました。この2製品は、5月11日と13日に発見者のWebサイトから脆弱性の検証コードが公開されたものです。

■WonderwareのSuiteLink(2012/05/15)

 Wonderware(wonderware.com)のSuiteLinkのslssvcサービスは、非常に長いUnicode文字列を含む任意のサイズのパケットを受信することができるために、サービス拒否攻撃を許してしまう可能性があります。SuiteLinkは、Wonderware製品間の通信基盤となる共通コンポーネントです。Wonderwareは英Invensysグループ(invensys.com)のプログラマブルロジックコントローラーのビジネス部門です。

■Pro-faceのPro-Server EX(2012/05/16)

 Pro-face(profaceamerica.com)のHMI SCADAソフトウエアであるPro-Server EXには、不正なメモリーアクセス、整数オーバーフロー、メモリー破損などに起因する、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性が存在します。

■AdvantechのStudio:CVE番号割当(2012/05/16)

 2011年5月に報告されたAdvantech(advantech.com)のHMI SCADAソフトウエアであるAdvantech Studioの続報です。StudioとISSymbol ActiveXコントロールに存在する任意のコード実行を許してしまうバッファオーバーフローの脆弱性(CVE-2011-0342)にCVE番号が割り当てられました。この問題は、InduSoft(indusoft.com)が提供しているHMI SCADAソフトウエアInduSoft Web Studioで確認されている問題と同一です。なお、AdvantechとInduSoftは、2000年からHMI SCADAソフトウエアなどで提携しています。

日立製品に脆弱性(2012/05/14)

 セキュリティ管理と資産管理が簡単に行えるPC管理ツールであるHitachi IT Operations Directorには、クロスサイトスクリプティング(XSS)、サービス拒否攻撃などを許してしまう脆弱性が存在します。XSSの問題は米アドビ システムズのRoboHelpの脆弱性(CVE-2008-0642、CVE-2009-0524)に、サービス拒否攻撃などの問題は米アドビ システムズのLiveCycle Data Services、LiveCycle ES、BlazeDSに存在する脆弱性(CVE-2011-2092、CVE-2011-2093)に起因しています。

Cyber Security Bulletin SB12-135(2012/05/15)

 5月7日の週に報告された脆弱性の中から、HP Performance Insightの脆弱性を取り上げます(Vulnerability Summary for the Week of May 7, 2012)。

■HP Performance Insightに複数の脆弱性(2012/05/07)

 ネットワークやシステム、サービスを計画するために必要なパフォーマンスデータの収集と解析を行うHP Performance Insight for Networksのバージョン5.3~5.41.xには、SQLインジェクション(CVE-2012-2007)、クロスサイトスクリプティングの脆弱性(CVE-2012-2008)、アクセス権限の昇格を許してしまう脆弱性(CVE-2012-2009)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ


『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。