PR

Hitach Incident Response Team

 2014年1月1日から変更となるCVE番号の番号体系についての情報です。2013年7月17日、新番号体系がOption B(年+桁数可変:ただし、1~999は4桁固定)となることが正式にアナウンスされました。

図1●CVEの新番号体系
図1●CVEの新番号体系

 新番号体系については、2013年1月、CVE Editorial BoardからOption A~Option Cの3案に対する意見募集から検討が始まりました(図1)。2013年4月のCVE Editorial Boardによる第1回目の投票でOption A(6桁固定)とOption B(可変長)が残りました。ただし、Option Aについては、6桁では短いとの意見もあり、8桁に拡張されることになりました。5月の第2回目の投票では、Option A(8桁固定)とOption B(可変長)との戦いになったわけですが、結果として、18票中15票を得たOption B(可変長)が採択となりました。

 ここからは、8月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 23.0、ESR 17.0.8リリース(2013/08/06)

 Firefox 23.0では、バッファオーバーフロー、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、13件のセキュリティアドバイザリーに含まれる計15件の脆弱性を解決しています(図2)。

図2●Firefox 23.0、Thunderbird 17.0.8での対応
図2●Firefox 23.0、Thunderbird 17.0.8での対応

Thunderbird 17.0.8、ESR 17.0.8リリース(2013/08/06)

 Thunderbird 17.0.8では、バッファオーバーフロー、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、8件のセキュリティアドバイザリーに含まれる計10件の脆弱性を解決しています。

米シスコTelePresenceシステム(2013/08/07)

 ビデオ会議システムを提供するCisco TelePresenceシステムのWebインタフェースには、アクセス権限の昇格を許してしまう脆弱性(CVE-2013-3454)が存在します。この問題は、リモートからアクセス可能なデフォルトのユーザーアカウントが存在すること、パスワード回復用の管理者アカウントがデフォルトで有効になっていることに起因します。問題を悪用された場合、システムそのものの制御を許してしまう可能性があります。

Samba 4.0.8、3.6.17、3.5.22リリース(2013/08/05)

 Samba 4.0.8、3.6.17、3.5.22では、サービス拒否攻撃を許してしまう脆弱性を解決しています。この問題は、不正なパケットをsmbdサーバーが受信した場合にメモリー割当のループ処理状態に陥ってしまうことに起因します。認証されたユーザーあるいは、ゲストアカウントでのファイル共有が前提で、Samba 3.0.x~4.0.7に影響があります。

Red Hat Enterprise Linux Server(v.6)(2013/08/07)

 Firefox、Thunderbird並びに、ネットワークセキュリティ関連ライブラリーNSS(Network Security Services)のセキュリティアップデート(RHSA-2013:1140、RHSA-2013:1142、RHSA-2013:1144)がリリースされました。

 Firefox、Thunderbirdの脆弱性は、Firefox 23.0、Thunderbird 17.0.8で解決されたものです。NSSでは、SSL、TLS、DTLS(Datagram Transport Layer Security)のCBC(Cipher Block Chaining)モード処理に存在する脆弱性(CVE-2013-1620)、領域外のメモリー参照(out-of-bounds read)に起因するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0791)を解決しています。

制御システム系製品の脆弱性

■MOXAのOnCell Gatewayシリーズ(2013/08/05)

 シリアルデバイス向けセルラーIPゲートウエイであるMOXA(moxa.com)のOnCell Gatewayシリーズには、SSH並びにSSL用に生成する鍵のエントロピーが十分ではないことに起因して、不正アクセスや情報漏洩を許してしまう脆弱性(CVE-2012-3039)が存在します。

■Schneider ElectricのVijeo Citect、CitectSCADA、PowerLogic SCADA(2013/08/05)

 産業用の監視制御システムであるSchneider Electric(schneider-electric.com)のVijeo Citect、CitectSCADA、PowerLogic SCADAには、任意のファイル参照やサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2796)が存在します。この問題は、外部に置かれたXMLファイルを呼び出す処理に関係することから、XML External Entity問題とも呼ばれています。

■SchweitzerのRTAC(2013/08/07)

 Schweitzer Engineering Laboratories(selinc.com)のReal-Time Automation Controller(RTAC)であるSEL-3530、SEL-3505、SEL-2241のIP並びにシリアルインタフェースには、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2792、CVE- 2013-2798)が存在します。この問題は、DNP3ドライバーでの入力データの検証が適切でないために、ループ処理状態に陥ってしまうことに起因します。DNP3(Distributed Network Protocol)は、電力および水道施設などで使用される通信プロトコルです。

Cyber Security Bulletin SB13-217(2013/08/05)

 7月29日の週に報告された脆弱性の中から、シマンテック製品の脆弱性を取り上げます(Vulnerability Summary for the Week of July 29, 2013)。

■シマンテックSymantec Web Gateway

 Web用のセキュリティゲートウエイ・アプライアンスであるSymantec Web Gateway 5.1.0 以前の管理インタフェースには、任意のコマンド実行を許してしまうOSコマンドインジェクションの脆弱性(CVE-2013-1616)、SQLインジェクションの脆弱性(CVE-2013-1617)、クロスサイトスクリプティングの脆弱性(CVE-2013-4670)、クロスサイトリクエストフォージェリーの脆弱性(CVE-2013-4671)、アクセス制御の迂回により任意のコマンド実行を許してしまう脆弱性(CVE-2013-4672)、RADIUS認証の迂回により任意のコード実行を許してしまう脆弱性(CVE-2013-4673)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。