Hitach Incident Response Team

 2011年8月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

DHCP 4.2.2、DHCP 4.1-ESV-R3、DHCP 3.1-ESV-R3リリース(2011/08/10)

 ISC DHCP 4.2.2、 DHCP 4.1-ESV-R3、DHCP 3.1-ESV-R3がリリースされました。このリリースでは、不正なパケットを受信した際にDHCPサーバープログラムが停止するというサービス不能攻撃を許してしまう脆弱性2件(CVE-2011-2748、 CVE-2011-2749)を解決しています。脆弱性の影響を受けるバージョンは、DHCP 3.1.0~3.1-ESV-R1、4.0.x、4.1.0~4.1.2rc1、4.1-ESV~4.1-ESV-R3b1、4.2.0~4.2.2rc1です。

[参考情報]

米アドビ システムズ製品に複数の脆弱性

■Flash Player 10.3.183.5リリース:APSB11-21(2011/08/09)

 バッファオーバーフロー、整数オーバーフロー、メモリー破損に起因する異常終了やシステム侵害を許してしまう脆弱性13件を解決したAdobe Flash Player 10.3.183.5、Android 版Flash Player 10.3.186.3がリリースされました。

■Shockwave Player 11.6.1.629リリース:APSB11-19(2011/08/09)

 Shockwave Player 11.6.1.629では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性7件を解決しています。Shockwave Player 11.xの前回のアップデートは2011年6月中旬で、アップデートのリリース平均間隔は1.78カ月となっています(図1)。

図1●Shockwave Playerのアップデートのリリース回数
図1●Shockwave Playerのアップデートのリリース回数

■Flash Media Server 4.0.3、3.5.7リリース:APSB11-20(2011/08/09)

 ビデオストリーミング製品であるFlash Media Server 4.0.3、3.5.7では、サービス不能攻撃を許してしまう脆弱性(CVE-2011-2132)を解決しています。Flash Media Server 4.0.2およびそれ以前のバージョン、3.5.6およびそれ以前のバージョンが、この脆弱性の影響を受けます。

■Photoshop CS5:APSB11-22(2011/08/09)

 Photoshop CS5(12.0)および CS5.1(12.1)以前のバージョンのGIF処理に、任意のコード実行を許してしまう脆弱性(CVE-2011-2131)が報告されています。

■RoboHelp:APSB11-23(2011/08/09)

 ヘルプシステム、規定、手順書のオーサリングや共同制作からマルチチャネルおよびマルチデバイスへの発行を支援する、Adobe RoboHelp 9(9.0.1.232 以前)、RoboHelp 8、RoboHelp Server 9 および RoboHelp Server 8には、クロスサイトスクリプティングの脆弱性(CVE-2011-2133)が存在します。

[参考情報]

Samba 3.6.0、Samba 3.5.11リリース(2011/08/09)

 Samba 3.6.0では、「client ntlmv2 auth = yes」により、クライアント動作のデフォルトとしてNTLM(Windows NT LAN Manager authentication)認証を使用しないなど、セキュリティ設定のデフォルト値を変更しています。また、SMB2フルサポート、Winbind passdbの変更、spoolssコード改良などの改善が施されています。

 Samba 3.5.11は、WindowsのセキュリティパッチKB2536276(MS11-043:SMB クライアントの脆弱性により、リモートでコードが実行される)を適用すると、Sambaサーバーにアクセスできなくなる問題を解決するなど、主にバグ対策を目的としたリリースです。セキュリティアップデートは含まれていません。

[参考情報]