PR

Hitach Incident Response Team

 5月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Tomcat 6.0.37リリース(2013/05/03)

 Tomcat 6.0.37では、APR(Apache Portable Runtime)コネクターでのTLS圧縮機能の無効化選択の追加、バグ修正のほかに、Tomcat Native 1.1.27、Apache Commons Daemon 1.0.15へのアップデートがありました。リリース時点で、セキュリティアップデートの詳細情報の掲載はありません。

 TLS圧縮機能の無効化選択は、CRIME(Compression Ratio Info-leak Made Easy/Compression Ratio Info-Leak Mass Exploitation)とも呼ばれる攻撃手法への対処策となっています。この攻撃手法は、2012年9月に明らかになったもので、SSL/TLSの入力データの圧縮度合いによって出力データのサイズが変化することを利用して、入力データを推測する手法です。

 この脆弱性に対しては、CVE番号として、CVE-2012-4929、CVE-2012-4930が割り当てられており、対処策は圧縮機能を利用しないことです。Tomcat 7.x系では、バージョン7.0.36以降、APRコネクターでのTLS圧縮機能の無効化選択が追加されています。サーバーのSSL/TLSが圧縮機能をサポートしているかどうかは、Qualys SSL Labs - Projects / SSL Server Test(https://www.ssllabs.com/ssltest/)でチェックできます(図1)。圧縮機能をサポートしていない場合には「Compression No」、サポートしている場合には「Compression Yes:INSECURE」と表示されます。

図1●SSL Server Testによるチェック結果の例
[画像のクリックで拡大表示]

MySQL Community Server 5.6.11、5.5.31、5.1.69リリース(2013/04/18)

 オラクルは2013年4月の四半期セキュリティアップデートOracle MySQL系25件に合わせて、MySQL Community Server 5.6.11、5.5.31、5.1.69をリリースしました。これらは、InnoDB Storage Engine、パーティショニング、レプリケーション処理などに存在する脆弱性とバグ修正を目的としたリリースです。17件、19件、14件の脆弱性を解決しています。また、これらのバージョンでは、CRIME攻撃への対処策として、OpenSSL圧縮機能をデフォルト無効としています。

HP-UX版Apache Web Server Suite(2013/04/15)

 HP-UX 11.23、11.31上で稼働するHP-UX版Apache Web Server Suite v3.25並びに、それ以前には、サービス拒否攻撃を許してしまう脆弱性(CVE-2007-6750、CVE-2012-2733、CVE-2012-4534、CVE-2012-4557)、クロスサイトスクリプティングの脆弱性(CVE-2012-2687、CVE-2012-3499、CVE-2012-4558)、クロスサイトリクエストフォージェリーの脆弱性(CVE-2012-4431)、セキュリティ機構の迂回を許してしまう脆弱性(CVE-2012-3546、CVE-2012-5885)、CRIME攻撃に対して脆弱な問題(CVE-2012-4929)が存在します。

Squid 3.3.4、3.2.11リリース(2013/04/29)

 Squid 3.3.4は、SSL証明書の検証、ConnStateData pinningでのメモリーリークなどのバグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。

 4月26日にリリースされたSquid 3.2.10は、SSL証明書の検証でのメモリーリーク、basic_ncsa_authでのセグメンテーションフォルトなどのバグ修正を目的としたリリースです。4月29日にリリースされた3.2.11では、Squid Nowアイコンの取り扱いを改訂しています。

Samba 3.6.14リリース(2013/04/29)

 Samba 3.6.14は、拡張ファイル属性で発生するWindowsエラーの問題解決など、バグ修正を目的としたリリースで、17件のバグを修正しています。セキュリティアップデートは含まれていません。

Cyber Security Bulletin SB13-119(2013/04/29)

 4月21日の週に報告された脆弱性の中から、オープンソースのWebアプリケーションファイアウォールであるModSecurity、IBMのWebSphere Application Serverの脆弱性を取り上げます(Vulnerability Summary for the Week of April 21, 2013)。

■ModSecurity(2013/04/25)

 ModSecurity 2.7.2並びにそれ以前には、任意のファイル参照やサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1915)が存在します。この問題は、外部に置かれたXMLファイルを呼び出す処理に関係することから、XML External Entity問題とも呼ばれています。対策版となる2.7.3では、外部に置かれたXMLファイルを呼び出す処理のオン/オフを選択できるSecXmlExternalEntityオプションが導入されました。

■IBM WebSphere Application Server(2013/04/24)

 IBM WebSphere Application Serverには、クロスサイトスクリプティング(XSS)の脆弱性(CVE-2013-0458、CVE-2013-0461、CVE-2013-0459、CVE2013-0542、CVE-2013-0565)、アクセス制御の迂回を許してしまう脆弱性(CVE-2013-0462、CVE-2013-0540、CVE-2013-0543)、ディレクトリートラバーサルの脆弱性(CVE-2013-0544)、バッファオーバーフローに起因してサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0541)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。