2011年8月28日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。
Flash Player 10.3.183.7リリース(2011/08/24)
Flash Player 10.3.183.7がリリースされました。このリリースに関連して、脆弱性に関する新しい報告はありません。
[参考情報]
PHP 5.3.8リリース(2011/08/23)
PHP 5.3.8では、8月18日にリリースしたPHP 5.3.7に存在する問題を解決しています。これは、crypt関数がソルトしか出力しないという問題で、認証の迂回を許してしまう可能性があります。ソルトは、パスワードをハッシュ化する際に付加する値で、同じパスワードであっても、ハッシュ化後には異なる値になるようにするためのものです(写真1)。該当するバージョンでは、コマンドラインからcrypt関数を実行したときに、ソルト部分のみが出力され、ハッシュ化した値が出力されません。
[参考情報]
Google Chrome 13.0.782.215リリース(2011/08/22)
Google Chrome 13.0.782.215では、4件のメモリーの解放後使用(use-after-free)に関する問題、メモリー破損、メモリーの2重解放(double free)、整数オーバーフロー、Cross-originに関する問題など、計11件の脆弱性を解決しています。
[参考情報]
米シスコ製品に複数の脆弱性
■Unified Communications Manager、Unified Presence Server(2011/08/24)
IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Manager、在席状態や利用可能なコミュニケーション手段に関する情報を管理するUnified Presence Serverには、誰でもデータベースにアクセス可能なクエリーインタフェースを有するという問題(CVE-2011-1643)が存在します。この脆弱なインタフェースを悪用された場合、該当製品のデータベースから情報が漏洩する可能性があります。対象となるポート番号は443/TCP、8443/TCPで、SSL接続でのTCPコネクションの確立処理が終了している場合に、この脆弱性の影響を受けるとしています。
■Cisco Intercompany Media Engine(2011/08/24)
Unified Communications機能を企業間で相互運用するためのCisco Intercompany Media Engineには、不正なSAF(Service Advertisement Framework)メッセージを受信した場合に、装置が再起動してしまう脆弱性(CVE-2011-2563、CVE-2011-2564)が存在します。SAFは、ネットワークに接続されたリソースの存在、位置、および設定をアプリケーションで検出可能にする機構です。TCPコネクションの確立処理が終了している場合に、この脆弱性の影響を受けるとしています。
■Cisco Unified Communications Manager(2011/08/24)
IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Managerには、サービス不能攻撃を許してしまう5件の脆弱性が存在します。サービス不能につながる脆弱性は、パケットキャプチャーサービスが適切なタイミングで終了しないためにメモリー消費を引き起こし、サービスが再起動してしまう脆弱性(CVE-2011-2560)、SIP(Session Initiation Protocol)メッセージ受信が引き金となってサービス不能につながるもの(CVE-2011-2561、CVE-2011-2562)、不正なSAF(Service Advertisement Framework)メッセージを受信した場合に、装置が再起動してしまう脆弱性(CVE-2011-2563、CVE-2011-2564)です。
[参考情報]
- シスコ:cisco-sa-20110824-cucm-cups: Open Query Interface in Cisco Unified
Communications Manager and Cisco Unified Presence Server - シスコ:cisco-sa-20110824-ime: Denial of Service Vulnerabilities in Cisco Intercompany Media Engine
- シスコ:cisco-sa-20110824-cucm: Cisco Unified Communications Manager Denial of Service Vulnerabilities