Hitach Incident Response Team

 2011年2月6日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

マイクロソフトMHTMLのぜい弱性(2501696)(2011/01/29)

 HTMLの関連コンテンツを一つのファイルにまとめ、MIMEで記述するMHTML(MIME Encapsulation of Aggregate HTML)形式のデータ処理に、クロスサイトスクリプティングなどの情報漏えいにつながるぜい弱性(CVE-2011-0096)が存在します。このぜい弱性の対応経緯は次の通りです(図1)。現時点で、このぜい弱性を悪用する攻撃の発生や被害は報告されていません。

図1●ぜい弱性(CVE-2011-0096)の対応経緯
図1●ぜい弱性(CVE-2011-0096)の対応経緯

 公開された検証コードの一つは、MHTML形式のデータとMHTMLプロトコルハンドラーを含むURL(例:iframe src="mhtml:http://www.hitachi.co.jp/hirt...<MHTML形式のデータ>...")を利用したものです。ユーザーがこのようなWebページにアクセスすると、URLに記載されたMHTML形式のデータ内のスクリプトを実行してしまいます。写真1はCookieを参照するスクリプトが実行された例です。

写真1●検証コードの実行例(cpe:/o:microsoft:windows_xp::sp3:pro + cpe:/a:microsoft:ie:6)
写真1●検証コードの実行例(cpe:/o:microsoft:windows_xp::sp3:pro + cpe:/a:microsoft:ie:6)

[参考情報]

米シスコWebExプレーヤに複数のぜい弱性(2011/02/01)

 Web会議録の再生アプリケーションである、WebEx Recording Format(WRF)とWebEx Advanced Recording Format(ARF)プレーヤーに、複数のバッファオーバーフローのぜい弱性が存在します。不正なWRFあるいはARFファイルにアクセスすると、プログラムを異状終了させられたり、任意のコードを実行されたりする恐れがあります。

[参考情報]

米シスコTandberg Cシリーズ、E/EXのアカウント設定にぜい弱性(2011/02/02)

 ビデオ会議システムで利用されるTandberg CシリーズエンドポイントおよびE/EXパーソナルビデオユニットは、デフォルト設定でパスワードなしのrootアカウントが有効になっています。該当するバージョンを利用している場合には、設定コマンドによってrootアカウントのパスワード設定または、アカウント自身を無効にする必要があります。

[参考情報]

Tomcat 7.0.8/6.0.31/5.5.33リリース(2011/02/05)

 Tomcat 7.0.8/6.0.31/5.5.33がリリースされました。Tomcat 7.0.8/6.0.31では、Tomcat 7.0.0~7.0.6、Tomcat 6.0.0~6.0.30に存在するぜい弱性(CVE-2011-0534)を解決しています。このぜい弱性は、NIO(Nonblocking I/O)コネクターの受信処理に存在し、悪用された場合、サービス不能につながる可能性があります。また、Tomcat 5.5.33では、Tomcat 5.5.0~5.5.31に存在するクロスサイトスクリプティング問題(CVE-2011-0013)を解決しています。

[参考情報]

OpenSSH 5.8/5.8p1リリース(2011/02/04)

 OpenSSH 5.8/5.8p1がリリースされました。このバージョンでは、バージョン5.6/5.6p1で導入されたレガシーな証明書の処理機能に関するぜい弱性(CVE-2011-0539)を解決しています。この問題は、バージョン5.6あるいは5.7でレガシーな証明書を作成した場合に、この証明書にはスタックのデータを含むため、情報漏えいにつながる可能性があるというものです。

[参考情報]

Cyber Security Bulletin SB11-031(2011/01/31)

 1月24日の週に報告されたぜい弱性の中からModbus/TCP OPC Serverのぜい弱性を取り上げます(Vulnerability Summary for the Week of January 24, 2011)。

■Automated SolutionsのModbus/TCP OPC Serverにぜい弱性(2011/01/28)

 Modbus機器や制御システムと接続するModbus/TCP OPC(OLE for Process Control)サーバーのModbus/TCPヘッダーの処理には、サービス不能ならびに、任意のコード実行を許してしまうバッファオーバーフローのぜい弱性(CVE-2010-4709)が存在します。この問題については、昨年11月にICS-CERT(Industrial Control Systems Cyber Emergency Response Team)から、"ICSA-10-322-02: AUTOMATED SOLUTIONS OPC SERVER VULNERABILITY"としてアドバイザリーも発行されています。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。