PR

Hitach Incident Response Team

 1月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 11リリース(2013/01/13)

 Java SE 7 Update 11では、新たに発見された計2件の脆弱性(CVE-2013-0422、CVE-2012-3174)を解決しています。このうちCVE-2013-0422は、Exploit Kitと呼ばれている攻撃コードツールキット群で利用されており、Exploit Kitを用いた侵害活動も既に確認されています。なお、脆弱性の対策状況については、1月17日に、MITREから発信されたCVE-2013-0422の注意書きを参照してください(図1)。

 影響を受けるバージョンはJDK/JRE 7のみです。JDK/JRE 6系、5系、1.4.2系、Java SE Embedded JREには影響はありません。Webブラウザーで稼働するJava 環境に影響はありますが、サーバー側で稼働するJava環境、スタンドアロンのJavaデスクトップアプリケーション、組み込み向けJavaアプリケーションには影響はありません。

図1●脆弱性(CVE-2013-0422)の対応経緯
図1●脆弱性(CVE-2013-0422)の対応経緯

米アドビ システムズ製品に複数の脆弱性

■Adobe Reader XI(11.0.1)、X(10.1.5)、9.5.3リリース:APSB13-02(2013/01/09)

 Windows版、Mac版 Adobe ReaderならびにAcrobatのバージョンXI(11.0.1)、X(10.1.5)、9.5.3 がリリースされました。これらの リリースでは、メモリー破損 7件、メモリーの解放後使用(use-after-free)、ヒープバッファオーバーフロー(2件)、スタックバッファオーバーフロー(2件)、前述以外のバッファオーバーフロー(5件)、整数オーバーフロー(2件)、ロジックエラー(5件)に起因する任意のコード実行を許してしまう脆弱性、アクセス権限の昇格ならびにセキュリティ機構の迂回を許してしまう脆弱性、計27件(CVE-2012-1530、CVE-2013-0601~CVE-2013-0627)を解決しています。

■Flash Player 11.5.502.146 リリース:APSB13-01(2013/01/09)

 バッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性(CVE-2013-0630)を解決したAdobe Flash Player 11.5.502.146、Linux版11.2.202.261 がリリースされました。

マイクロソフト2013年1月の月例セキュリティアップデート(2013/01/08)

 1月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、12件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機構の迂回です。また、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB13-01)対応がリリースされました。

米シスコ製品に複数の脆弱性

■Cisco Unified IP Phones 7900シリーズ(2013/01/09)

 IP電話Cisco Unified IP Phones 7900シリーズには、ローカルの攻撃者による任意のコード実行を許してしまう脆弱性(CVE-2012-5445)が存在します。この問題は、入力に対する検証が適切ではないことに起因します。

■Cisco Prime LAN Management(2013/01/09)

 ネットワークライフサイクル管理機能を提供するCisco Prime LAN Managementには、認証操作なしでリモートから管理者権限で任意のコマンド実行を許してしまう脆弱性(CVE-2012-6392)が存在します。この問題は、TCPポートで受信したコマンドに対する検証が適切ではないことに起因します。

DHCP 4.1-ESV-R8、DHCP 4.2.5リリース(2013/01/09)

 DHCP 4.2.5は、DHCP 4.2.4-P1、DHCP 4.2.4-P2での脆弱性対策を取り込んだリリースです。脆弱性対策は、DHCPに存在するメモリーリーク問題(CVE-2012-3954:DHCP 4.2.4-P1)、不正なクライアント識別子によってサーバープロセスが無限ループに陥る問題(CVE-2012-3571:DHCP 4.2.4-P1)、不正なクライアント識別子を持つクライアントからのアクセスによってDHCPv6モードで動作するサーバーが異常終了する問題(CVE-2012-3570:DHCP 4.2.4-P1)、DHCPサーバーのDHCPv6のリース処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2012-3955:DHCP 4.2.4-P2)の4件です。

 DHCP 4.1-ESV-R8は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。