Hitach Incident Response Team

 2011年9月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーなどの情報を参考に対処してください。

Adobe Flash Player 10.3.183.10リリース:APSB11-26(2011/09/21)

 Windows、Macintosh、Linux、Solaris版Adobe Flash Player 10.3.183.10と、Android版Adobe Flash Player 10.3.186.7がリリースされました。これらのリリースでは、ユーザーのなりすましを許してしまうクロスサイトスクリプティングの脆弱性(CVE-2011-2444)、任意のコード実行、サービス不能攻撃ならびに情報漏洩を許してしまう脆弱性、計6件の問題を解決しています。米アドビ システムズの報告によれば、脆弱性(CVE-2011-2444)の悪用として、メール本文内に記載された悪意あるリンクをユーザーにクリックさせるという事例が確認されています。

 2011年に入ってからのAdobe Flash Playerのリリース状況を調べてみますと、アップデートは約3週間に一度、セキュリティアップデートは約1カ月に一度という間隔です(図1)。月に一度は、最新バージョンかどうか確認することをお勧めします。

図1●Adobe Flash Playerのアップデートリリース回数
図1●Adobe Flash Playerのアップデートリリース回数

[参考情報]

Unbound 1.4.13リリース(2011/09/15)

 キャッシュDNSサーバーの一つであるUnboundのバージョン1.4.13がリリースされました。主にバグ対策を目的としたリリースです。セキュリティアップデートは含まれていません。

[参考情報]

米シスコ Cisco Identity Services Engineに脆弱性(2011/09/20)

 Cisco Identity Services Engineは、アクセス制御ポリシーを作成および管理し、属性に基づくアクセス制御ソリューションを提供する製品です。このCisco Identity Services Engineには、デバイスの構成や設定変更を許してしまう脆弱性(CVE-2011-3290)が存在します。この脆弱性は、同梱されているデータベースの資格情報にデフォルト値が設定されていることに起因します。

[参考情報]

Google Chrome 14.0.835.186リリース(2011/09/20)

 9月16日、Google Chrome 14.0.835.163がリリースされました。このリリースでは、メモリーの解放後使用(use-after-free)、メモリーの2重解放(double free)、領域外のメモリー参照(out-of-bounds read)に関する問題など、計32件のセキュリティ問題を解決しています。

 9月20日、Adobe Flash playerの最新版に対応したGoogle Chrome 14.0.835.186がリリースされました。

[参考情報]

Tomcat 5.5.34リリース(2011/09/22)

 Tomcat 5.5.34では、情報漏洩を許してしまう脆弱性4件を解決しています。Tomcat 5.5.0~5.5.33に存在する脆弱性3件は、JMX(Java Management Extensions)クライアントのエラーメッセージに新規ユーザーのパスワードが含まれている可能性(CVE-2011-2204)、HTTP NIO(Nonblocking I/O)コネクターなどで情報漏洩を許してしまう脆弱性(CVE-2011-2526)、AJP(Apache JServ Protocol)を介して情報漏洩を許してしまう脆弱性(CVE-2011-3190)です。これらは、7月にリリースされたTomcat 7.0.19、9月にリリースされたTomcat 7.0.21で解決された脆弱性です。

 Tomcat 5.5.32~5.5.33に存在する脆弱性(CVE-2011-2729)は、8月にリリースされたTomcat 7.0.20で解決された脆弱性です。jsvcがアクセス制御を適切に処理しないことに起因し、情報漏洩を許してしまう可能性があります。

[参考情報]

制御システム系製品の脆弱性(2011/09/21)

 9月21日、ICS-CERTからMeasuresoftのScadaProとAzeotechのDAQFactoryの2製品について、アドバイザリーが発行されました。この2製品は、いずれも、9月13日に発見者のWebサイトから脆弱性の検証コードが公開され、同日、ICS-CERTから注意喚起文書が発行された経緯があります。アドバイザリーでは、脆弱性を解決したバージョンがリリースされたこと、脆弱性の詳細を公開する際には、事前にICS-CERTや製品開発ベンダーなどの関連組織との間で公開日の調整を図って欲しい旨がアナウンスされました。

[参考情報]

Cyber Security Bulletin SB11-262(2011/09/19)

 9月12日の週に報告された脆弱性の中から、トレーディングツールであるeSignalの脆弱性を取り上げます(Vulnerability Summary for the Week of September 12, 2011)。

■トレーディングツールeSignalに任意のコード実行の脆弱性(2011/09/16)

 Interactive Dataが提供するトレーディングツールであるeSignalバージョン10.6.2425並びにそれ以前のバージョンには、サービス不能攻撃や任意のコード実行を許してしまう脆弱性(CVE-2011-3494)が存在します。この脆弱性は、eSignalのコンポーネントであるWinSig.exeに存在し、ファイルの属性処理をする際にスタックオーバーフローやヒープローバーフローが発生することに起因します。脆弱性は、9月13日に、制御システム系製品であるMeasuresoftのScadaProやAzeotechのDAQFactoryの脆弱性を発見した研究者のWebサイトから公開されました。

[参考情報]


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。