2011年8月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
VMwareのセキュリティアップデート:VMSA-2011-0010(2011/07/28)
VMware ESXのセキュリティアップデートがリリースされました。このアップデートではglibc、dhcpを更新し、計5件のセキュリティ問題を解決しています。
dhcpに存在する脆弱性(CVE-2011-0997)は、2011年4月に報告されたもので、任意のコード実行を許してしまう可能性があります。DHCPサーバーからDHCPクライアントに送信される応答メッセージのホスト名に含まれるメタキャラクターの処理に関するものです。また、glibcに存在する脆弱性は、GNU Cライブラリーに内在する問題で、サービス不能攻撃やアクセス権限昇格を許してしまう可能性があります。
[参考情報]
BIND 9.7.4、BIND 9.6-ESV-R5、BIND 9.4-ESV-R5リリース(2011/08/01)
BIND 9.7.4、BIND 9.6-ESV-R5、BIND 9.4-ESV-R5では、2011年4月に報告された「名前が存在しない(NXDOMAIN)」、「リソースレコードが存在しない(NODATA)」などのDNS否定応答をキャッシュする処理の脆弱性(CVE-2011-1910)、2011年7月に報告された不正なパケットを受信すると、サービス不能攻撃を許してしまう脆弱性(CVE-2011-2464)を解決しています。いずれも、既に対策版(BIND 9.8.0-P2、BIND 9.7.3-P1、BIND 9.6-ESV-R4-P1、BIND 9.4-ESV-R4-P1)がリリースされている脆弱性です。
またBIND 9.4-ESV-R5は、SO_ACCEPTFILTERを利用できないように変更されています。これは、NetBSD、FreeBSDでSO_ACCEPTFILTERを有効とした場合に、TCPスタックで発生し得るサービス不能攻撃を回避するための暫定対策です。
[参考情報]
MySQL Community Server 5.5.15リリース(2011/07/28)
MySQL Community Server 5.5.15がリリースされました。このバージョンは、パーティショニング、レプリケーションなどのバグ対策を目的としており、セキュリティアップデートは含まれていません。
[参考情報]
QuickTime 7.7リリース(2011/08/03)
QuickTime 7.7では、QTL(Quicktime Media Link)ファイル処理で任意のコード実行を許してしまう脆弱性1件、音声系ファイル処理(WAV)で任意のコード実行を許してしまう脆弱性1件、静止画系ファイル処理(JPEG、PICT、GIF)で任意のコード実行を許してしまう脆弱性4件、動画系ファイル処理で任意のコード実行を許してしまう脆弱性7件、情報漏洩につながる脆弱性1件の、計14件への対策が含まれています。
[参考情報]
米シスコ 保証CDによるマルウエア配布サイトへの誘導(2011/07/29)
2010年12月~2011年8月までの期間に出荷された保証CDは、ブラウザーで保証CDにアクセスした際に、自動的に(警告なく)マルウエア配布サイトに誘導(リダイレクト)される可能性があります。報告によれば、2011年7月末時点でマルウエア配布サイトは稼働していないため、感染などの被害が発生することはないとしています。
[参考情報]
Cyber Security Bulletin SB11-213(2011/08/02)
7月25日の週に報告された脆弱性の中から、J2EE準拠のミドルウエアであるJBossの脆弱性を取り上げます(Vulnerability Summary for the Week of August 2, 2011)。
■JBoss Seam 2に任意のコード実行の脆弱性(2011/07/26)
JBoss Enterprise SOA Platformならびに、JBoss Enterprise Application Platformに同梱されている、WebアプリケーションフレームワークJBoss Seam2には、Expression Languageの処理が適切ではないために、不正なURLを介して任意のJavaコード実行を許してしまう脆弱性(CVE-2011-1484、CVE-2011-2196)が存在します。
JBoss Enterprise SOA Platformは、SOA(Service Oriented Architecture)環境を実現するためのサービス連携基盤です。JBoss Enterprise Application Platformは、JBoss EAPあるいは、JBEAPと呼ばれている、Java Enterprise Edition準拠のアプリケーションサーバーです。Expression Language(式言語)はJSP 2.0から導入された埋め込み型言語です。
JBoss Seam2の脆弱性は、2011年3月下旬に報告され、4月20日にRedHatから対策版がリリースされました。このときに付与されたCVE番号がCVE-2011-1484です。ところが6月中旬に、CVE-2011-1484に対する対策が不完全であることが指摘され、7月20日、RedHatから再度対策版がリリースされました。このときに付与されたCVE番号がCVE-2011-2196です。
[参考情報]
- RedHat:Bug 692421 -(CVE-2011-1484)CVE-2011-1484 JBoss Seam privilege escalation caused by EL interpolation in FacesMessages
- RedHat:Bug 712283 -(CVE-2011-2196)CVE-2011-2196 JBoss Seam EL interpolation in exception handling
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)』とは |
HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
