Hitach Incident Response Team

 2011年3月6日までに明らかになったぜい弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Firefox 3.6.15、Firefox 3.5.17リリース(2011/03/05)

 3月2日、Firefox 3.6.14、Firefox 3.5.17リリースがリリースされました。Firefox 3.6.14では任意のコード実行につながるぜい弱性など計10件、Firefox 3.5.17でも計10件のセキュリティ問題を解決しています。ただFirefox 3.6.14において、一部Javaアプレットの読み込みに失敗する問題が新たに生じてしまったことから、3月5日に、この問題を解決したFirefox 3.6.15がリリースされました。

 図1は、Firefoxのリリース回数とリリースの平均間隔です。バージョンアップとともにリリース平均間隔が少しずつ短くなっています。また、3.5系のサポートは2010年8月で終了予定で、現在の延長サポートは予告なく終了する可能性があるとアナウンスされています。3.5系を使っている場合には、3.6系へのアップグレードを推奨します。

図1●Firefoxリリース回数とリリース平均間隔
[画像のクリックで拡大表示]

[参考情報]

Thunderbird 3.1.9リリース(2011/03/05)

 3月2日、Thunderbird 3.1.8がリリースされました。Thunderbird 3.1.8では任意のコード実行につながるぜい弱性など、計3件を対策しています。ただ、Thunderbird 3.1.8において、一部のユーザーに更新後の異常終了問題が新たに生じてしまったことから、3月5日に、この問題を解決したThunderbird 3.1.9がリリースされました。なお、Thunderbird 3.0系のサポートは2010年12月で終了していますので、3.0系を使っている場合には、3.1系へのアップグレードを推奨します。

[参考情報]

BIND 9.8.0リリース(2011/03/01)

 BIND 9.8.0では、30件のバグ修正と11件の新機能追加があります。追加されたのは、変換ルールに沿ってIPv4アドレスとIPv6アドレスとを対応付けるDNS64機能、LDAP/SQLデータベースと連携させたDynamically Loadable Zones(DLZ)を用いた動的アップデート、static-stubという新しいゾーンタイプなどです。なお、このリリースには、ぜい弱性に関する新しい修正は含まれていません。

 DNSに関連して、3月3日、日本レジストリサービスから、「qmail/netqmailにおける512バイトを超えるDNS応答の不適切な取り扱いについて」が報告されています。この報告では、qmail/netqmailにおいて、512バイトを超えるDNS応答の取り扱いが適切ではないために、予期しない障害が発生することを指摘しています。

[参考情報]

Samba 3.5.8/3.4.12/3.3.15リリース(2011/02/28)

 2月28日、Samba 3.5.7/3.4.12/3.3.15がリリースされました。これらのバージョンでは、メモリー破損によりサービス不能につながるぜい弱性(CVE-2011-0719)を解決しています。ぜい弱性は、FD_SETマクロで使われているファイルディスクリプタの範囲チェックしないことに起因してメモリー破損が発生するというものです。

 3月7日、Samba 3.5.8がリリースされました。このバージョンはバグ対策を目的としたもので、セキュリティアップデートは含まれていません。

[参考情報]

Adobe Flash 10.2.152.32リリース(2011/03/02)

 Adobe Flash 10.2.152.32がリリースされました。このバージョンには、セキュリティアップデートは含まれていません。

[参考情報]

Cyber Security Bulletin SB11-059(2011/02/28)

 2月21日の週に報告されたぜい弱性の中からF-Secure アンチウイルス Linux ゲートウェイのぜい弱性を取り上げます(Vulnerability Summary for the Week of February 21, 2011)。

■F-SecureアンチウイルスLinuxゲートウェイに認証不備のぜい弱性(2011/02/15)

 F-SecureアンチウイルスLinuxゲートウェイ バージョン3.x系には、情報漏えいにつながるぜい弱性(CVE-2011-0453)が存在します。この問題は、ぜい弱性を悪用された場合に、Web管理画面での認証をすることなく、ログファイルを参照できてしまうというものです。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『HIRT(Hitachi Incident Response Team)とは』

HIRTは,日立グループのCSIRT連絡窓口であり,ぜい弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。ぜい弱性対策とはセキュリティに関するぜい弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品のぜい弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。