10月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
QuickTime 7.7.1リリース(2011/10/26)
QuickTime 7.7.1では、ムービーファイル処理に存在する任意のコード実行を許してしまう脆弱性8件、FlashPix、FLIC、PICTファイル処理に存在する任意のコード実行を許してしまう脆弱性3件、クロスサイトスクリプティングの脆弱性1件、計12件の問題を解決しています。
[参考情報]
米シスコ製品に複数の脆弱性
■Security Agent(2011/10/26)
サーバーおよびデスクトップに対する脅威を防止するためのCisco Security Agentには、任意のコード実行を許してしまう脆弱性が存在します。この問題は、サードパーティー製のライブラリー(Oracle Outside In)に存在する脆弱性(CVE-2011-0794、CVE-2011-0808)に起因し、Cisco Security Agentのバージョン6.xが影響を受けます。
■WebEx Player(2011/10/26)
Web会議録の再生アプリケーションであるWebEx Recording Format(WRF)プレーヤーには、複数のバッファオーバーフローの脆弱性(CVE-2011-3319、CVE-2011-4004)が存在します。不正なWRFファイルにアクセスすると、プログラムの異常終了などのサービス不能攻撃や任意のコード実行を許してしまう恐れがあります。なお、WebEx Advanced Recording Format(ARF)プレーヤーは、これらの脆弱性の影響を受けません。
■Unified Communications Manager、Unified Contact Center Express(2011/10/26)
IPテレフォニーのための呼処理の基盤であるCisco Unified Communications Manager、コンタクトセンター業務の支援を実現するソリューションであるUnified Contact Center Express、コンタクトセンター向けの音声応答機能などを提供するUnified Interactive Voice Responseには、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2011-3315)が存在します。
■Video Surveillance IPカメラ(2011/10/26)
Video Surveillance 2421、2500、2600シリーズのIPカメラに、サービス不能攻撃を許してしまう脆弱性(CVE-2011-3318)が存在します。IPカメラが不正なRTSP(Real Time Streaming Protocol)パケットを受信した場合、ビデオ送信が停止し、リブートする可能性があります。
[参考情報]
- シスコ:cisco-sa-20111026-csa: Cisco Security Agent Remote Code Execution Vulnerabilities
- シスコ:cisco-sa-20111026-webex: Buffer Overflow Vulnerabilities in the Cisco WebEx Player
- シスコ:cisco-sa-20111026-uccx: Cisco Unified Contact Center Express Directory Traversal Vulnerability
- シスコ:cisco-sa-20111026-cucm: Cisco Unified Communications Manager Directory Traversal Vulnerability
- シスコ:cisco-sa-20111026-camera: Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
DHCP 4.2.3リリース(2011/10/19)
ISC DHCP 4.2.3では、DDNS(Dynamic DNS)トランザクション処理でのバグ対策、AM_MAINTAINER_MODEの追加、IPv6アドレスDNSサーバーへのDDNS情報の通知などの機能改善が施されています。このバージョンは、バグ対策を目的としたもので、セキュリティアップデートは含まれていません。
[参考情報]
VMwareのセキュリティアップデート:VMSA-2011-0013(2011/10/27)
VMware vCenter Server、vCenter Update Manager、ESXi、ESXのセキュリティアップデート版がリリースされました。OpenSSL(2件)、libuser(1件)、NSS/NSPR(Network Security Services/Netscape Portable Runtime、2件)、Oracle JRE 1.6.0(49件)、Oracle JRE 1.5.0(21件)、SFCB(Small Footprint CIM Broker、1件)を解決しています。Oracle JREでは、vCenter Server、ESXのJREを1.6.0 Update 24に、vCenter Update ManagerのJREを1.5.0 Update 30に更新します。
[参考情報]
Google Chrome 15.0.874.106リリース(2011/10/26)
10月25日、Google Chrome 15.0.874.102がリリースされました。このアップデートでは、メモリーの解放後使用(use-after-free)、クロスサイトスクリプティング、Cross-originに関する問題など、計18件のセキュリティ問題を解決しています。
10月26日、Barrons OnlineとWall Street Journalへのログインに失敗する問題を解決したGoogle Chrome 15.0.874.106がリリースされました。
[参考情報]
Cyber Security Bulletin SB11-297(2011/10/24)
10月17日の週に報告された脆弱性の中から、HP Data Protector Notebook Extensionの脆弱性を取り上げます(Vulnerability Summary for the Week of October 17, 2011)。
■HP Data Protector Notebook Extensionに複数の脆弱性(2011/10/18)
デスクトップおよびノートブックのクライアントPCをバックアップ対象にしたHP Data Protector Notebook Extensionバージョン6.20、7.0には、任意のコード実行を許してしまう7件の脆弱性が存在します。
[参考情報]
- HP:HPSBMU02716 SSRT100651 - HP Data Protector Notebook Extension, Remote Execution of Arbitrary Code
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)』とは |
HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
