チェックしておきたいぜい弱性情報＜2010.06.29＞

2010.06.29

　2010年6月20日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Thunderbird 3.0.5リリース（2010/06/18）

　MozillaからThunderbird 3.0.5がリリースされました。このバージョンでは、安定性とセキュリティを強化する修正が行われています。対応したセキュリティ問題は4件で、いずれも任意のコード実行につながるぜい弱性です。

【任意のコード実行】
　MFSA 2010-30：XSLTノードの並べ替えにおける整数オーバーフロー
　MFSA 2010-29：nsGenericDOMDataNode::SetTextInternalにおけるヒープバッファオーバーフロー
　MFSA 2010-26：メモリー破壊の形跡があるクラッシュ
　MFSA 2010-25：スコープの混同による解放済みオブジェクトの再使用

[参考情報]

Mozilla：Thunderbird 3.0セキュリティアドバイザリー

Mac OS Xのセキュリティ・アップデート2010-004（2010/06/15）

　Mac OS X v10.5.8/v10.6～v10.6.3、Mac OS X Server v10.5.8/v10.6～v10.6.3のセキュリティ・アップデートがリリースされました。影響を受ける機能は、CUPS、DesktopServices、Flash Playerプラグイン、Folder Manager、ヘルプビューア、iChat、ImageIO、Kerberos、libcurl、ネットワーク認証、Open Directory、プリンタ設定、プリント、Ruby、SMB ファイルサーバー、SquirrelMail、Wikiサーバーです。

　Flash Playerプラグインは、米アドビシステムズの「APSB10-06：Adobe Flash Player用セキュリティ・アップデート公開」への対応で、バージョン10.0.45.2へのアップデートとなります。なお、最新バージョンは、「APSB10-14：Adobe Flash Player用のセキュリティ・アップデート公開」への対応で10.1.53.64です。米アドビのブログでも、「Apple Security Update 2010-004 / Mac OS X v10.6.4 Shipping with Outdated Version of Adobe Flash Player」として、アップデート版のバージョンが古いことを指摘しています。

[参考情報]

米アップル：セキュリティ・アップデート2010-004／Mac OS X v10.6.4のセキュリティコンテンツについて

Samba 3.3.13リリース（2010/06/16）

　Samba 3.3.13がリリースされました。このバージョンでは、米iDefenseによって確認された、任意のコード実行につながるぜい弱性（CVE-2010-2063）を解決しています。ぜい弱性は、不正なSMBパケットを受信した場合に、バッファオーバーフローが発生するというものです。米iDefenseのセキュリティアドバイザリーによれば、Samba 3.4.0ならびに、それ以降のバージョンでは、該当する処理全体の改訂がおこなわれているため、影響はないとしています。

[参考情報]

Samba：Samba 3.3.13 Available for Download

HP HP-UX Web Server Suiteに複数のぜい弱性（2010/06/16）

　HP-UX Web Server Suite v.3.10, v.2.31には、クロスサイトスクリプティングならびに、サービス不能、不正アクセスにつながる計9件のぜい弱性が存在します。いずれもPHPに起因するぜい弱性です。

[参考情報]

HP：HPSBUX02543 SSRT100152 - HP-UX Running Apache with PHP, Remote Denial of Service（DoS）, Unauthorized Access, Privileged Access, Cross Site Scripting（XSS）

BIND 9.7.1リリース（2010/06/18）

　BIND 9.7.1がリリースされました。9.7.1rc1でバグフィックスが行なわれており、このリリースではバグフィックスやぜい弱性に関する新しい修正は含まれていません。

[参考情報]

ISC：BIND 9.7.1

Cyber Security Bulletin SB10-165（2010/06/14）

　6月7日の週に報告されたぜい弱性の中からHP StorageWorks Storage Mirroringのぜい弱性を取り上げます（Vulnerability Summary for the Week of June 7, 2010）。

■HP StorageWorks Storage Mirroringに不正アクセスにつながるぜい弱性（2010/06/02）

　小規模のIT環境向けのデータ複製ソフトウエアであるStorageWorks Storage Mirroringに、リモートからの不正アクセスが可能となるぜい弱性（CVE-2010-1962）が存在します。v5.2.1.870.0で、この問題が解決されています。影響をうけるバージョンは、v5.2.1.870.0より前のv5です。

[参考情報]

HP：HPSBST02536 SSRT100057 - HP StorageWorks Storage Mirroring, Remote Unauthorized Access

寺田　真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT（Hitachi Incident Response Team）とは』

HIRTは，日立グループのCSIRT連絡窓口であり，ぜい弱性対策，インシデント対応に関して，日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動，インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは，日立の製品やサービスのセキュリティ向上に関する活動に力を入れており，製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。