Hitach Incident Response Team

 2011年4月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Reader 9.4.4、Acrobat 9.4.4/Acrobat X(10.0.3)リリース:APSB11-08(2011/04/21)

 2011年4月11日、Flash Playerの脆弱性(CVE-2011-0611)が公開され、4月21日、この脆弱性の影響を受けるコンポーネントの問題を解決するため、Windows、Macintosh版Adobe Reader/Acrobat 9.4.4、Windows、Macintosh版Adobe Acrobat X(10.0.3)、Macintosh版Adobe Reader X(10.0.3)がリリースされました(図1)。なおFlash Playerの脆弱性は、UNIX版Adobe Reader 9.x、Android版Adobe Reader、Adobe Reader 8.x、Acrobat 8.xへの影響はありません。Windows版Adobe Reader Xについては、次回リリースでの修正が予定されています。

図1●脆弱性(CVE-2011-0611)の対応経緯
図1●脆弱性(CVE-2011-0611)の対応経緯

[参考情報]

JDK/JRE 6 Update 25リリース(2011/04/23)

 リリースされたJDK/JRE 6 Update 25には、脆弱性に関する新しい修正は含まれていません。Update 25では、性能、安定性、診断環境などを改善したJava HotSpot Virtual Machineバージョン20が含まれています。また、Oracle Linux 6、Windows 7 SP1などのOS環境をサポートするとともに、Internet Explorer 9、Firefox 4、Chrome 10などのブラウザ環境をサポートしています。

[参考情報]

オラクル2011年4月の四半期セキュリティアップデート(2011/04/19)

 Critical Patch Update - April 2011には、Oracle Database Server系6件、Oracle Fusion Middleware系9件、Oracle Enterprise Manager Grid Control系1件、Oracle Applications系30件、Oracle Industry Applications系1件、Oracle Sun Products Suite系26件(含む、Oracle Open Office Suite系8件)、計73件のセキュリティアップデートが含まれています。このうち、認証操作が不要で、リモートからの攻撃が可能な脆弱性は36件です。

[参考情報]

Samba 3.4.13リリース(2011/04/21)

 Samba 3.4.13では、認証や管理情報を連携するためのサービスWinbindのバグ対策などを目的とした修正が含まれています。セキュリティアップデートは含まれていません。

[参考情報]

PostgreSQL 9.0.4/8.4.8/8.3.15/8.2.21リリース(2011/04/18)

 リリースされたPostgreSQL 9.0.4/8.4.8/8.3.15/8.2.21は、バグ対策などを目的とした修正が含まれています。セキュリティアップデートは含まれていません。

[参考情報]

HP製品に複数の脆弱性(2011/04/19)

■HP System Management Homepage(SMH)に複数の脆弱性
 System Management Homepage(SMH)は、HP-UX、Linux、およびWindows上で稼働するHPサーバーのシステム管理を統合するためのWebベースのインタフェースです。このSMH v6.3より前のバージョンには、任意のコード実行、サービス不能、不正アクセスにつながる脆弱性9件が存在します。

■HP Systems Insight Managerに複数の脆弱性
 サーバーやストレージの統一管理するHP Systems Insight Manager v6.3より前のバージョンには、Adobe Flash Playerに起因する脆弱性、クロスサイトリクエストフォージェリー(CVE-2011-1543)、クロスサイトスクリプティング(CVE-2011-1542)が存在します。Adobe Flash Playerに起因する脆弱性は、2010年11月4日に、セキュリティアップデート公開APSB10-26(Flash Player 10.1.102.64/9.0.289.0)で解決されたものです。

■HP OpenView Performance Insight Serverに脆弱性
 ネットワークやシステム、サービスを計画するために必要なパフォーマンスデータの収集と解析を行うHP OpenView Performance Insight Serverのバージョン5.xには、情報漏えいを許してしまう脆弱性(CVE-2011-1536)が存在します。

■HP Insight Control Performance Managementに複数の脆弱性(2011/04/20)
 サーバー性能の監視ならびに分析を通して、ボトルネック調査などを支援するWindows版HP Insight Control Performance Managementには、クロスサイトリクエストフォージェリー(CVE-2011-1545)、アクセス権限の昇格(CVE-2011-1544)につながる脆弱性が存在します。

[参考情報]

Cyber Security Bulletin SB11-108(2011/04/20)

 4月11日の週に報告された脆弱性の中からHP Network Node Manager iの脆弱性を取り上げます(Vulnerability Summary for the Week of April 11, 2011)。

■HPネットワーク管理製品Network Node Manager i(NNMi)に複数の脆弱性(2011/04/12)

 ネットワーク管理ソフトのHP Network Node Manager i(NNMi)に複数の脆弱性が報告されています。v8.1xとv9.0xには、サービス不能につながる脆弱性(CVE-2010-4476)、情報漏えいを許してしまう脆弱性(CVE-2011-0895)が存在します。また、v9.00には、ローカルから不正なファイル参照を許してしまう脆弱性(CVE-2011-0897)とクロスサイトスクリプティング(CVE-2011-0898)が存在します。v9.0xには、リモートからNNMiプロセスに不正なアクセスを許してしまう脆弱性(CVE-2011-1534)が存在します。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。