Hitach Incident Response Team

 2010年6月6日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Flash PlayerおよびAdobe Reader、Acrobatにぜい弱性:APSA10-01(2010/06/04)

 米アドビ システムズからAdobe Flash Player 10.0.45.2、9.0.262およびそれ以前のバージョン10.0.x/9.0.x、Adobe ReaderとAcrobat 9.3.2およびそれ以前のバージョン9.xにおいて、異常終了やシステム侵害の影響を伴うぜい弱性(CVE-2010-1297)のアドバイザリーが発行されました。アドバイザリーによれば、Flash Player 10.1 RC(release candidate)、Adobe ReaderとAcrobat 8.xは、このぜい弱性の影響を受けないとしています。また暫定対策として、Flash Playerについては10.1 RCの利用、Adobe Reader、Acrobatについてはauthplay.dllのファイル名変更/削除/アクセス制限が示されています。

[参考情報]

OpenSSL 0.9.8o、OpenSSL 1.0.0aリリース(2010/06/01)

 OpenSSL 0.9.8o、OpenSSL 1.0.0aがリリースされました。これらのバージョンでは、次のぜい弱性を解決しています。CMS(Cryptographic Message Syntax)のメモリーアドレス書き込みとメモリー解放処理に存在するぜい弱性(CVE-2010-0742)は、任意のコード実行につながる可能性があり、OpenSSL 0.9.8h以降が影響を受けます。EVP_PKEY_verify_recover関数の処理に存在するエラーコードの代わりに未定義長の初期化を行なっていないバッファを返すぜい弱性(CVE-2010-1633)は、情報漏えいにつながる可能性があり、OpenSSL 1.0.0が影響を受けます。

[参考情報]

一太郎に任意のコード実行につながるぜい弱性(2010/06/01)

 一太郎、一太郎ガバメント、ジャストスクールの文字属性の処理に任意のコード実行につながるぜい弱性(CVE-2010-2152)が存在します。このぜい弱性は、4月下旬に不正な一太郎のファイル(拡張子JTDのファイル)として流布したもので、対応経緯は次の通りです。

2010年4月21日 トレンドマイクロ:ぜい弱性への侵害活動を報告
2010年4月21日 トレンドマイクロ:定義ファイル(TROJ_TARODROP.XZ)の公開
2010年6月1日 ジャストシステム:セキュリティ情報JS10002を公開

[参考情報]

HP製品に複数のぜい弱性(2010/06/02)

 HPから、HPSBMA02538:HP ServiceCenterにクロスサイトスクリプティングのぜい弱性、HPSBUX02531:HP-UX版ApacheベースのWebサーバーにサービス不能ならびに不正アクセスにつながるぜい弱性、HPSBUX02524:HP-UX版JRE/JDKに任意のコード実行、情報漏えいなどにつながるぜい弱性の計3件のセキュリティ情報が発行されました。

[参考情報]

Cyber Security Bulletin SB10-152(2010/06/01)

 5月24日の週に報告されたぜい弱性の中からAdobe Photoshop CS4、Apache MyFaces、Apache Axis2のぜい弱性を取り上げます(Vulnerability Summary for the Week of May 24, 2010)。

■Adobe Photoshop CS4 11.0.2リリース:APSB10-13(2010/05/26)

 Adobe Photoshop CS4バージョン11.0.1および11.0.0のブラシファイル(.abr)、グラデーションファイル(.grd)、レイヤースタイルファイル(.asl)処理にバッファオーバーフローのぜい弱性(CVE-2010-1296)が報告されています。いずれのファイル処理もサービス不能や任意のコード実行につながる可能性があります。このぜい弱性は、今回リリースされたPhotoshop CS4 11.0.2で解決されています。また、Photoshop CS5は、このぜい弱性の影響を受けないとしています。

[参考情報]

■Apache MyFacesにクロスサイトスクリプティングのぜい弱性(2010/05/27)

 JavaServer Facesのオープンソース実装の一つであり、IBM WebSphere Application Serverなどで使用されているApache MyFacesにクロスサイトスクリプティング、任意のExpression Languageの実行につながるぜい弱性(CVE-2010-2086)が報告されています。影響を受けるバージョンは、1.1.7、1.2.8です。Expression Language(式言語)はJSP 2.0から導入された埋め込み型言語です。

[参考情報]

■Apache Axis2にクロスサイトスクリプティングのぜい弱性(2010/05/27)

 Webサービスフレームワークであり、SAP Business Objects 12、3com IMC(intelligent management center)などで使用されているApache Axis2にクロスサイトスクリプティングのぜい弱性(CVE-2010-2103)が報告されています。ぜい弱性は、Apache Axis2/Java 1.4.1、1.5.1の管理コンソール処理に存在します。なお、他のバージョンも影響を受ける可能性があるとしています。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。