PR

Hitach Incident Response Team

 11月25日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 17.0、Firefox ESR 10.0.11(2012/11/20)

 Firefox 17.0では、メモリー破損、メモリーの解放後使用(use-after-free)、バッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリー(CSRF)の脆弱性、DLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者が細工した外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性など、16件のセキュリティアドバイザリーに含まれる計28件の脆弱性を解決しています。Firefox ESR 10.0.11では、10件のセキュリティアドバイザリーに含まれる計16件の脆弱性を解決しています。

Thunderbird 17.0、Thunderbird ESR 10.0.11リリース(2012/11/20)

 Thunderbird 17.0では、メモリー破損、メモリーの解放後使用(use-after-free)、バッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性、クロスサイトスクリプティング(XSS)、クロスサイトリクエストフォージェリー(CSRF)の脆弱性など、12件のセキュリティアドバイザリーに含まれる計24件の脆弱性を解決しています。Thunderbird ESR 10.0.11では、8件のセキュリティアドバイザリーに含まれる計14件の脆弱性を解決しています。

VMwareのセキュリティアップデート:VMSA-2012-0016(2012/11/15)

 このセキュリティアップデートでは、vSphere APIとESXサービスコンソールに存在する脆弱性を解決しています。vSphere APIには、不正なAPI要求を利用したサービス拒否攻撃を許してしまう脆弱性(CVE-2012-5703)が存在します。また、ESXサービスコンソールのbind、python、expat、nspr(Netscape Portable Runtime)、nss(Network Security Services)には、計9件の脆弱性が存在します。このうち、bindで解決された問題は、2012年2月に報告されたゴーストドメイン名に関する脆弱性(CVE-2012-1033)、2012年6月に報告されたリソースレコードを格納するRDATAフィールドの長さが0であるメッセージの処理に起因し、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-1667)、2012年7月に報告された大量のDNSSEC検証要求を受信した際に異常終了が発生する問題(CVE-2012-3817)の3件です。

米アドビ システムズColdFusion 10に脆弱性:APSB12-25(2012/11/19)

 Windows版ColdFusion 10 Update 1以降には、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-5674)が存在します。

PHP 5.4.9、PHP 5.3.19リリース(2012/11/22)

 PHP 5.4.9、PHP 5.3.19は、バグ修正を目的としたリリースです。PHP 5.4.9では、Core、Curl、Fileinfo、Mbstring、OCI8(Oracle Call Interface)、PCRE(Perl Compatible Regular Expressions)、PDO(PHP Data Objects)、PDO_pgsql、Phar(PHP Archive)、Streams、Reflectionなど、約17件のバグを修正しています。このうちMbstringでの対策は、mbstring.encoding_translationが有効になっている場合に、パラメーター数上限を指定するmax_input_varsによるフィルターが機能しないという問題を解決しています。フィルターが機能しない場合、ハッシュテーブルの衝突を悪用したサービス拒否攻撃を許してしまう可能性があります。

Tomcat 7.0.33リリース(2012/11/21)

 Tomcat 7.0.33では、HTTPヘッダーの解析処理の性能改善、JasperならびにTomcat JSPエンジンの性能改善と、既存バージョンに存在するバグの修正を目的としたリリースで、約25件のバグを修正しています。セキュリティアップデートは含まれていません。

Struts 2.3.7リリース(2012/11/19)

 WebアプリケーションフレームワークStrutsのバージョン2.3.7がリリースされました。バージョン2.3.7では、43件のバグ修正と13件の改善です。セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■Sinapsi製品(2012/11/20)

 2012年10月に報告されたSinapsi(sinapsitech.it)製品に関する追加情報です。太陽光発電を監視するためのシステムであるSinapsiのeSolar Lightだけではなく、eSolar、eSolar DUOにも、不正アクセス、情報漏洩、任意のコード実行などを許してしまう複数の脆弱性が存在します。報告されている問題は、アカウント情報がハードコーディングされている問題(CVE-2012-5862)、SQLインジェクション(CVE-2012-5861)、コマンドインジェクションの脆弱性(CVE-2012-5863)、認証されたセッションへの介入に関する脆弱性(CVE-2012-5864)、計4件です。

Cyber Security Bulletin SB12-324(2012/11/19)

 11月12日の週に報告された脆弱性の中から、EMCのRSA Data Protection ManagerとIBM WebSphere Application Serverの脆弱性を取り上げます(Vulnerability Summary for the Week of November 12, 2012)。

■EMC RSA Data Protection Manager(2012/11/13)

 機密データの保護と運用の効率化を実現するRSA Data Protection Managerには、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2012-4612)と認証の試行失敗回数の制限が適切ではないという脆弱性(CVE-2012-4613)が存在します。

■IBM WebSphere Application Server(2012/10/29)

 IBM WebSphere Application Server 8.5.0.1では、アクセス権限の昇格を許してしまう脆弱性(CVE-2012-3304)、ディレクトリートラバーサルの脆弱性(CVE-2012-3305)、クロスサイトリクエストフォージェリー(CSRF)の脆弱性(CVE-2012-4853)、SSL通信においてサービス拒否攻撃を許してしまう脆弱性(CVE-2012-2190、CVE-2012-2191)、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2012-4851)、IBM WebSphere Application Serverのプロキシー機能に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2012-3330)など、計13件を解決しています。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。