Hitach Incident Response Team

 2011年2月20日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米アドビ システムズColdFusionに複数のぜい弱性:APSB11-04(2011/02/08)

 ColdFusion 8.0、8.0.1、9.0、9.0.1には、クロスサイトスクリプティング、セッションID固定化(Session Fixation)、HTTPヘッダーインジェクション、情報漏えいを許してしまうぜい弱性が存在します。リリースされたホットフィックスでは、これらぜい弱性5件を解決しています。

 ぜい弱性そのものの特性を評価するCVSS基本評価値が高いぜい弱性は、攻撃元区分=ネットワーク、攻撃条件の複雑さ=低、攻撃前の認証要否=不要、機密性への影響=部分的となる情報漏えいを許してしまうぜい弱性(CVE-2011-0582)です。

[参考情報]

Java 1.6.0_24リリース(2011/02/15)

 Oracle Java SE and Java for Business Critical Patch Update - February 2011として、JDK/JRE 6 Update 24がリリースされました。このリリースには、2月8日に報告されたぜい弱性(CVE-2010-4476)など、計21件の問題を解決するセキュリティアップデートが含まれています。このうち、認証操作が不要で、リモートからの攻撃が可能なぜい弱性は19件です。ぜい弱性(CVE-2010-4476)は、"2.2250738585072012e-308"のような文字列を浮動小数点数に変換する際にインタプリターがハングアップする問題で、既にPHPで類似のぜい弱性(CVE-2010-4645)が報告されています。このぜい弱性のCVSS基本評価値は、攻撃元区分=ネットワーク、攻撃条件の複雑さ=低、攻撃前の認証要否=不要、可用性への影響=部分的となります。

 図1は、Java 1.4.2.x系、1.5.0.x系、1.6.0.x系のリリース回数とリリースの平均間隔です。バージョンアップとともにリリース平均間隔が少しづつですが短くなっています。また、1.4.2.x系、1.5.0.x系は、すでにサービス期間(EOSL: End of Service Life)が終了していますので、有償サービスあるいは、最新のJava環境に移行していること確認しましょう。

図1●Java (JDK/JRE)リリース回数とリリース平均間隔
図1●Java (JDK/JRE)リリース回数とリリース平均間隔

[参考情報]

米シスコCisco Security Agentにぜい弱性(2011/02/16)

 ポリシーの定義と配布、ソフトウエアの更新、エージェントへの通信の保守などの集中管理を実現するManagement Center for Cisco Security Agent 5.1、5.2、6.0には、任意のコード実行を許してしまうぜい弱性(CVE-2011-0364)が存在します。このぜい弱性は、認証されていない攻撃者がリモートからWeb管理インタフェース経由で悪用される可能性があります。CVSS基本評価値は、攻撃元区分=ネットワーク、攻撃条件の複雑さ=低、攻撃前の認証要否=不要、機密性・完全性・可用性への影響=全面的となります。なお、影響を受けるのは、Management Center for Cisco Security Agentで、サーバーやデスクトップにインストールされたCisco Security Agentは影響を受けません。

[参考情報]

BIND 9.7.3リリース(2011/02/14)

 2月14日、BIND 9.7.3がリリースされました。このリリースでは、23件のバグ修正を行なっていますが、新たな機能やぜい弱性に関する新しい修正は含まれていません。

 2月22日、BIND 9.7.1から9.7.2-P3までのバージョンに、ゾーン情報更新の差分転送、ダイナミックアップデート処理に起因するサービス不能のぜい弱性(CVE-2011-0414)が公表されました。BIND 9.8、BIND 9.7.3、BIND 9.6.x、BIND 9.6-ESV-Rx、BIND 9.4-ESV-R4には、ぜい弱性の影響はありません。該当するバージョンを利用している場合には、アップデートしてください。

[参考情報]

VMwareのセキュリティアップデート:VMSA-2011-0003(2011/02/10)

 VMware vCenter、Update ManagerとVMware ESX/ESXiのセキュリティアップデート版がリリースされました。影響を受ける部品は、Apache Tomcat(6件)、Apache Tomcat Manager(1件)、cURL(1件)COSカーネル(28件)、Microsoft SQL Express(5件)、OpenSSL(4件)、Oracle JRE(50件)、pam_krb5(2件)を解決しています。なおOracle JREでは、TLS/SSLの再ネゴシエーション処理のぜい弱性(CVE-2009-3555)、Java Deployment Toolkitのぜい弱性(CVE-2010-0886)などを解決しています。

[参考情報]

Cyber Security Bulletin SB11-045(2011/02/14)

 2月7日の週に報告されたぜい弱性の中からGoogle Chromeのぜい弱性を取り上げます(Vulnerability Summary for the Week of February 7, 2011)。

■Google Chrome 9.0.597.98リリース(2011/02/10)

 2月3日、情報漏えい、アクセス制御回避、サービス不能、任意のコード実行などを許してしまう計9件のぜい弱性を解決したGoogle Chrome 9.0.597.84がリリースされました。2月8日、サービス不能につながる計5件のぜい弱性を解決したGoogle Chrome 9.0.597.94がリリースされました。また、2月10日には、バグを修正したGoogle Chrome 9.0.597.98がリリースされました。

[参考情報]

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。