Hitach Incident Response Team

 2011年6月19日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

米アドビ システムズ製品に複数の脆弱性

■Flash Player 10.3.181.26リリース:APSB11-18(2011/06/14)

 異常終了やシステム侵害を許してしまう脆弱性(CVE-2011-2110)を解決したFlash Player 10.3.181.26、Android版Flash Player r 10.3.181.24がリリースされました。報告された脆弱性は既に侵害活動に利用されています。速やかにアップデートを実施してください(図1)。

図1●脆弱性(CVE-2011-2110)の対応経緯
図1●脆弱性(CVE-2011-2110)の対応経緯

■Shockwave Player 11.6.0.626リリース:APSB11-17(2011/06/14)

 Shockwave Player 11.6.0.626では、メモリー破損、整数オーバーフロー、バッファーオーバーフロー、入力検証に起因する任意のコード実行を許してしまう脆弱性21件を解決しています。

■Adobe Reader X(10.1)、Adobe Reader 9.4.5リリース:APSB11-16(2011/06/14)

 Windows、Macintosh版Adobe ReaderとAcrobatのバージョン10.1/9.4.5/8.3がリリースされました。これらのリリースでは、バッファオーバーフロー、メモリー破損、セキュリティ機構の迂回に起因する任意のコード実行、サービス不能攻撃を許してしまう脆弱性13件を解決しています。また、Flash Playerの脆弱性に対するアップデート(APSB11-12、APSB11-13)も含まれています。

図2●Adobe Readerのセキュリティアップデート対応経緯
図2●Adobe Readerのセキュリティアップデート対応経緯

■LiveCycle Data Services、LiveCycle ES、BlazeDS:APSB11-15(2011/06/14)

 リモーティングやメッセージングのソフトウエアである、LiveCycle Data Services、LiveCycle ES、BlazeDSには、サービス不能攻撃などを許してしまう脆弱性2件を解決するアップデートがリリースされました。

■ColdFusion:APSB11-14(2011/06/14)

 ColdFusion 8.0、8.0.1、9.0、9.0.1には、クロスサイトリクエストフォージェリー(CSRF)の脆弱性(CVE-2011-0629)、サービス不能攻撃を許してしまう脆弱性(CVE-2011-2091)が存在します。リリースされたホットフィックスでは、これら脆弱性2件を解決しています。

[参考情報]

マイクロソフト2011年6月の月例セキュリティアップデート(2011/06/15)

 6月の月例セキュリティアップデートでは、16件のセキュリティ更新プログラムを公開し、29件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行20件、サービス不能攻撃3件、アクセス権限の昇格3件、情報漏洩4件です。

[参考情報]

Tomcat 7.0.16リリース(2011/06/17)

 Tomcat 7.0.16では、新たな機能として、AJP(Apache JServ Protocol)コネクターのNIO(Nonblocking I/O)実装、クラスター構成時のServlet 3非同期処理、並行配備用の管理機能が追加されました。このバージョンは、バグ対策を目的としたもので、セキュリティアップデートは含まれていません。

[参考情報]