2010年5月30日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
米シスコ Network Building Mediatorに複数のぜい弱性(2010/05/26)
Network Building Mediator製品 NBM-2400ならびにNBM-4800と、Richards-Zeta Mediator 2500に、認証回避、アクセス権限昇格、情報参照に関する複数のぜい弱性が報告されています。
認証回避については、管理者権限を含むデフォルトの資格証明書が存在するために、第三者がリモートから管理者権限でログインできることになります(CVE-2010-0595)。アクセス権限の昇格では、既存ユーザーの読み取り、変更の権限を利用することで、管理者権限がなくとも機器設定を変更可能となります(CVE-2010-0596、CVE-2010-0597)。情報参照では、通信中に流れる情報の傍受(CVE-2010-0598、CVE-2010-0599)や、パスワードなどの機密情報へのアクセス(CVE-2010-0600)などが可能となります。
[参考情報]
VMwareセキュリティアップデート(VMSA-2010-0009)(2010/05/27)
VMwareのセキュリティアップデートVMSA-2010-0009がリリースされました。このリリースで対象となるESXiユーティリティのアップデートではntpを更新します。また、ESXサービス・コンソールのアップデートでは、ESX Console OS(COS)kernel、openssl、krb5、gcc、bind、gzip、sudoを更新します。ntpでは、mode 7パケットの処理に起因するサービス不能につながるぜい弱性(CVE-2009-3563)を解決し、opensslではzlib再初期化に関係して発生する多量のメモリーリークのぜい弱性(CVE-2009-4355)などを解決します。
[参考情報]
BIND 9.7.0-P2リリース(2010/05/19)
BIND 9.7.0-P2、BIND 9.6.2-P2、BIND 9.5.2-P4がリリースされました。ただし、このリリースはバグフィックスが中心で、ぜい弱性に関する新しい修正は含まれていません。
[参考情報]
Cyber Security Bulletin SB10-144(2010/05/24)
5月17日の週に報告されたぜい弱性の中からFirefoxのぜい弱性を取り上げます(Vulnerability Summary for the Week of May 17, 2010)。
■Firefoxにサービス不能のぜい弱性(2010/05/20)
マイクロソフトWindows XP3上で稼働するMozilla Firefox 3.6.3に、サービス不能につながる複数のぜい弱性(CVE-2010-1986、CVE-2010-1987)が報告されています。これらのぜい弱性は、JavaScriptで長い文字列を処理する際に、資源枯渇(Resources consumption DoS)、特にメモリー浪費を伴い、場合によっては異常終了につながります。報告されたぜい弱性は、Firefox 3.6.3だけではなく、それ以前のバージョンにも影響がありそうです。写真1は、Windows XP3とMozilla Firefox 3.0.19上で、報告されている検証コード(CVE-2010-1986)を動作させた際のパフォーマンスパネルの画面です。この事例の場合には、Firefoxで検証コードのページにアクセスすると、約5分後に異常終了が発生しました。ただし、動作環境によっては、Firefoxが写真2のような警告ダイアログを上げ、異常終了を回避できる場合もあります。
[参考情報]
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)とは』 |
HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
