Hitach Incident Response Team

 2010年1月3日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Sendmail 8.14.4リリース(2009/12/31)

 Sendmail 8.14.4リリースされました。8.14.4では、ドメイン名にNULL文字(”\x00”と表記)を含むX.509証明書の取り扱いに関するぜい弱性を解決しています。X.509証明書ドメイン名処理のぜい弱性は、2009年夏に米国ラスベガスで開催されたBlack Hat USA 2009カンファレンスで報告されたものです。これまでにMozilla FirefoxとThunderbird(CVE-2009-2408)、Internet Explorer(CVE-2009-2510)、メール受信プログラムfetchmail(CVE- 2009-2666)、ProFTPDのTLSモジュール(CVE-2009-3639)など数多くのアプリケーションで、この問題が確認されています。

[参考情報]

Cyber Security Bulletin SB09-355(2009/12/21)

 12月14日の週に報告されたぜい弱性の中からVeritas製品とWindows環境のIndeoコーデック処理のぜい弱性を取り上げます(Vulnerability Summary for the Week of December 14, 2009)。

■シマンテックVeritas VRTSweb.exeにぜい弱性(2009/12/09)

 ストレージ管理ソフトのVeritas製品に、攻撃者の用意した任意のコード実行につながるぜい弱性(CVE-2009-3027)が米ティッピングポイント社の「Zero Day Initiative」によって確認されました。ぜい弱性は、Veritas製品に搭載されている共有コンポーネントのVRTSweb.exe(VERITAS Web Server)に存在します。ポート14300/TCPで受信した認証に関連するデータを適切に検証しないことに起因するセキュリティ問題です。攻撃者はぜい弱性を利用して認証を回避した後、JSP、HTML、Javaクラス・ファイルなどを一つのファイルにまとめたWARファイルを解凍し、実行するという操作が可能になります。

[参考情報]

■Windows環境のIndeoコーデック処理にぜい弱性(2009/12/09)

 マイクロソフトWindows環境のIndeoコーデック処理に、攻撃者の用意した任意のコード実行につながるぜい弱性(CVE-2009-431、CVE-2009-4311)が存在します。ぜい弱性は、英NGS Software、米ティッピングポイントの「Zero Day Initiative」、米ベリサインのiDefenseラボ、米アドビ システムズなど数社によって確認されたものです。

 Windows 2000、XPおよび2003を実行するコンピュータ上で、特別な細工が施されたIndeoコーデックのコンテンツを開いた場合にぜい弱性を悪用される可能性があります。マイクロソフトでは、ぜい弱性そのものを除去するのではなく、Internet ExplorerまたはWindows Media PlayerからIndeoコーデック処理を起動させない対処方法を更新プログラムとして提供しています。

[参考情報]

Cyber Security Bulletin SB09-362(2009/12/28)

 12月21日の週に報告されたぜい弱性の中からFlash Media ServerとPHPで開発されたWebサイト用プログラムに関するぜい弱性を取り上げます(Vulnerability Summary for the Week of December 21, 2009)。

■米アドビ システムズFlash Media Serverのセキュリティ・アップデート(2009/12/18)

 ビデオ・ストリーミング製品であるFlash Media Server 3.5.2ならびにそれ以前のバージョンに、複数のぜい弱性が存在します。一つはサービス不能につながるセキュリティ問題です(CVE-2009-3791)。もう一つはディレクトリ・トラバーサルのぜい弱性(CVE-2009-3792)で、サーバー上の任意のDLLへのアクセスを許してしまうことになります。

[参考情報]