PR

Hitach Incident Response Team

 8月19日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品に複数の脆弱性

■Adobe Reader X(10.1.4)、Adobe Reader 9.5.2リリース:APSB12-16(2012/08/14)

 Windows、Macintosh版Adobe ReaderならびにAcrobatのバージョン10.1.4、9.5.2がリリースされました。これらのリリースでは、メモリー破損、バッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性20件(CVE-2012-1525、CVE-2012-2049~CVE-2012-2051、CVE-2012-4147~CVE-2012-4162)を解決しています。これら脆弱性には、Macintosh版のみに影響する脆弱性2件(CVE-2012-4161~CVE-2012-4162)が含まれています。

■Adobe Flash Player 11.4.402.265リリース:APSB12-19(2012/08/21)

 8月14日、任意のコード実行を許してしまう脆弱性(CVE-2012-1535)を解決したAdobe Flash Player 11.3.300.271、Linux版Adobe Flash Player 11.2.202.238がリリースされました。米アドビ システムズの報告によれば、脆弱性の悪用として、Internet Explorer用のFlash Player ActiveXを攻撃対象とする不正なWord文書による侵害活動が確認されています。

 8月21日、メモリー破損、整数オーバーフローに起因し、任意のコード実行を許してしまう脆弱性(CVE-2012-4163~CVE-2012-4167)、情報漏洩を許してしまう脆弱性(CVE-2012-4168)を解決したAdobe Flash Player(Windows、Macintosh版11.4.402.265、Linux版11.2.202.238、Android 4.x版11.1.15.17、Android 3.x/2.x版11.1.111.16)、Adobe AIR 3.4.0.2540がリリースされました(図1)。

図1●2012年8月のAdobe Flash Playerに関する対応経緯

■Adobe Shockwave Player 11.6.6.636リリース:APSB12-17(2012/08/14)

 Adobe Shockwave Player 11.6.6.636では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性5件(CVE-2012-2043~CVE-2012-2047)を解決しています。

マイクロソフト2012年8月の月例セキュリティアップデート(2012/08/11)

 8月の月例セキュリティアップデートでは、9件のセキュリティ更新プログラムを公開し、27件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行25件、サービス拒否攻撃2件、アクセス権限の昇格1件です。このうち、セキュリティ更新プログラム(MS12-058)では、July 2012のオラクルOutside Inライブラリーに起因する脆弱性(CVE-2012-1766~CVE-2012-1773、CVE-2012-3106~CVE-2012-3110)を解決しています(図2)。

図2●オラクルOutside Inライブラリーに起因する脆弱性の対応経緯

Struts 2.3.4.1リリース(2012/08/13)

 WebアプリケーションフレームワークStrutsのバージョン2.3.4.1がリリースされました。バージョン2.3.4.1では、CSRF(クロスサイトリクエストフォージェリー)の脆弱性と、パラメーター名の長さに起因する、サービス拒否攻撃を許してしまう脆弱性を解決しています。

Java SE 7 Update 6、Java SE 6 Update 34リリース(2012/08/14)

 Java SE 7 Update 6、Java SE 6 Update 34は、バグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。Java SE 7 Update 6では、約200件のバグ修正と合わせ、Mac OS XでのJDK/JREのサポート、ARM版Linuxのサポート、JavaFX SDK/JavaFXをJDK/JREに同梱などの機能強化が施されています。

Samba 3.5.17リリース(2012/08/13)

 Samba 3.5.17は、バグ修正を目的としたリリースで、4件のバグを修正しています。セキュリティアップデートは含まれていません。

PHP 5.4.6、PHP 5.3.16リリース(2012/08/16)

 PHP 5.4.6、PHP 5.3.16は、バグ修正を目的としたリリースで、約15件のバグを修正しています。セキュリティアップデートは含まれていません。

Squid 3.2.1リリース(2012/08/14)

 Squid 3.2.1は、バグ修正(メモリーリークなど2件)を目的としたもので、セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■シーメンスのCOMOSデータベース(2012/08/14)

 産業プラントのライフサイクル全体を管理する、シーメンス(siemens.com)のCOMOSのデータベースアプリケーションには、参照権限を持つ認証されたユーザーに対して、アクセス権限の昇格を許してしまう脆弱性(CVE-2012-3009)が存在します。

■TridiumのNiagara AX:CVE番号割当(2012/08/15)

 7月13日に報告された、Tridium(tridium.com)のNiagara AXの続報です。アクセス権限の昇格を許してしまう脆弱性として、装置内に資格情報を格納する際の問題(CVE-2012-4028)、Cookieにユーザー名とパスワードが格納される問題(CVE-2012-3025)、セッションIDの類推が容易である問題(CVE-2012-3024)にCVE番号が割り当てられました。

Cyber Security Bulletin SB12-226(2012/08/13)

 8月6日の週に報告された脆弱性の中から、IBMのGlobal Security Kit、MITのKerberos 5、ヒューレット・パッカードのHP Network Node Manager iの脆弱性を取り上げます(Vulnerability Summary for the Week of August 6, 2012)。

■IBM Global Security Kit(2012/08/08)

 IBM Rationalディレクトリサーバー、IBM TivoliディレクトリサーバーなどのIBM製品で使用されているIBM Global Security Kit(通称GSKit)には、なりすましやサービス拒否攻撃を許してしまう脆弱性(CVE-2012-2191、CVE-2012-2203)が存在します。この問題は、PKCS #12ファイル処理ならびに、Vaudenay SSL CBCタイミング攻撃の保護機構実行中にデータを適切に検証しないことに起因します。

■MIT Kerberos 5に複数の脆弱性(2012/08/08)

 MIT Kerberos 5のKDC(Key Distribution Center)プログラムには、サービス拒否攻撃と任意のコード実行を許してしまう脆弱性(CVE-2012-1014、CVE-2012-1015)が存在します。いずれの脆弱性は、KDCプログラムが不正なAS-REQ(authentication service request)を受信した場合に発生します。

■HP Network Node Manager i(NNMi)に脆弱性(2012/08/02)

 ネットワーク管理ソフトのHP Network Node Manager i(NNMi)には、クロスサイトスクリプティングの脆弱性(CVE-2012-2022)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ


『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。