Hitach Incident Response Team

 2010年7月11日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米シスコCisco Industrial EthernetのSNMPコミュニティ名がハードコードされている問題(2010/07/07)

 Cisco Industrial Ethernet 3000シリーズの読み込みおよび書き込み用SNMPコミュニティー名がハードコードされているという報告です。ハードコードされている名称は、public、privateというよく知られている名称です。

 SNMPコミュニティー名がハードコードされているというぜい弱性は、Cisco IOSシリーズのルーターおよびスイッチでの問題(Advisory ID: cisco-sa-20040420-snmp)、Cisco IP/VCビデオカンファレンスシステムでの問題(Advisory ID: cisco-sa-20050202-ipvc)、Cisco IAD2400、Series Mobile Wireless Edgeルーター、Cisco VG224アナログ電話での問題(Advisory ID: cisco-sa-20060920-docsis)など、これまでにも報告されています。アプリケーション開発の際には、回避すべきぜい弱性の一つとして確認しておきましょう。

[参考情報]

BIND 9.7.1-P1リリース(2010/07/08)

 9.7.1-P1がリリースされました。このリリースでは、ロールバックと名前解決に関する問題が修正されましたが、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

JDK/JRE 6 Update 21リリース(2010/07/07)

 JDK/JRE 6 Update 21がリリースされました。このリリースでは、コンパイラー、ガベージコレクション、ランタイム、ユーザーインタフェース(swing)処理などのバグが修正されましたが、ぜい弱性に関する新しい修正は含まれていません。

[参考情報]

Tomcat 7.0.0/6.0.28/5.5.30リリース(2010/07/07)

 Tomcat 7.0.0/6.0.28/5.5.30がリリースされました。Tomcat 5.5.0~5.5.29、6.0.0~6.0.26では、BASICまたはDIGEST認証処理が適切ではないために、HTTP WWW-Authenticateヘッダーを利用して、サーバーのホスト名、またはIPアドレスの情報が漏れてしまう問題(CVE-2010-1157)、Transfer-Encodingヘッダー処理が適切ではないために、サービス不能あるいは、情報流出につながるぜい弱性(CVE-2010-2227)を解決しています。

[参考情報]

Cyber Security Bulletin SB10-186(2010/07/06)

 6月28日の週に報告されたぜい弱性の中からPHPで開発されたWebサイト用プログラムのぜい弱性を取り上げます(Vulnerability Summary for the Week of June 28, 2010)。

■PHPで開発されたWebサイト用プログラムのぜい弱性

 6月28日の週に報告されたPHPで開発されたWebサイト用プログラムのぜい弱性は計40件です。2010年4月~6月までの3カ月間についてみると、米国ぜい弱性データベースNVDに登録されたCVEの件数は計1417件でした。このうちPHPで開発されたWebサイト用プログラムのぜい弱性は388件(27%)でした(図1)。ぜい弱性の種別は、SQLインジェクション(CWE-89)、クロスサイトスクリプティング(CWE-79)、パストラバーサル(CWE-22)が上位を占めています(図2)。

図1●PHPで開発されたWebサイト用プログラムのぜい弱性登録件数
図1●PHPで開発されたWebサイト用プログラムのぜい弱性登録件数
図2●PHPで開発されたWebサイト用プログラムのぜい弱性種別
図2●PHPで開発されたWebサイト用プログラムのぜい弱性種別


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。