PR

Hitach Incident Response Team

 12月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

■NTP 4.2.8リリース(2014/12/18)

 NTP 4.2.8では、脆弱な擬似乱数生成器(PRNG)に起因してなりすましを許してしまう脆弱性(CVE-2014-9293、CVE-2014-9294)、スタックバッファオーバーフローに起因して任意のコード実行を許してしまう脆弱性(CVE-2014-9295)、エラー発生時に動作不備を起こす問題(CVE-2014-9296)を解決しています。任意のコード実行を許してしまう脆弱性(CVE-2014-9295)は、不正なパケットを受信した場合に影響を受ける可能性があります。

SSL 3.0の脆弱性(CVE-2014-3566)(2014/12/18)

 10月15日、SSL 3.0のCBC(Cipher Block Chaining)モードに、中間者攻撃によりSSL通信の暗号文の解読を許してしまう脆弱性(CVE-2014-3566)の存在が報告されました。この問題は、別名POODLE(Padding Oracle On Downgraded Legacy Encryption)問題とも呼ばれています。Alexa:Top Sites in Japanの上位200サイト(うち、119サイトが調査対象)のプロトコルサポート状況を調査した結果、SSL 3.0をサポートするサイトは68%(10月18日)から39%(12月18日)となっています(図1)。

 12月中旬、TLSでのPOODLE問題(CVE-2014-8730)が報告され始めました。これは、TLSでのパディングチェックが適切ではないことに起因しています。Cisco Adaptive Security Appliance(ASA)ソフトウエア、Cisco ACE Application Controlエンジンモジュール、IBM HTTPサーバー、IBM WebSphere Portalなどが影響を受けます。

図1●サーバーのプロトコルサポート状況
図1●サーバーのプロトコルサポート状況

PHP 5.6.4、PHP 5.5.20、PHP 5.4.36リリース(2014/12/18)

 PHP 5.6.4、PHP 5.5.20、PHP 5.4.36では、unserialize関数に存在する任意のコード実行を許してしまう脆弱性(CVE-2014-8142)を解決しています。この脆弱性は、メモリーの解放後使用(use-after-free)に起因しています。

 また、PHP 5.6.4ではCore、Date、FPM、Mcrypt、GMP、PDO_pgsql、Session、SOAP、zlibコンポーネントに存在する26件の不具合を、PHP 5.5.20ではCore、Date、FPM、Mcrypt、PDO_pgsql、zlibコンポーネントに存在する20件の不具合を、PHP 5.4.36ではCoreコンポーネントに存在する2件の不具合を修正しています。