11月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.8.1-P1、BIND 9.7.4-P1、BIND 9.6-ESV-R5-P1、BIND 9.4-ESV-R5-P1リリース(2011/11/16)
BIND 9.8.1-P1、BIND 9.7.4-P1、BIND 9.6-ESV-R5-P1、BIND 9.4-ESV-R5-P1では、サービス不能攻撃を許してしまう脆弱性(CVE-2011-4313)を解決しています。影響を受けるバージョンは9.x系列で、キャッシュサーバーが対象となっています。また、既に複数の組織から、この脆弱性に関連するサービスダウンが報告されています。
[参考情報]
- ISC:BIND 9 Resolver crashes after logging an error in query.c
- JPRS:BIND 9.xのキャッシュDNSサーバー機能の実装上の問題によるnamedのサービス停止について
米アップルiTunes 10.5.1リリース(2011/11/14)
iTunes 10.5.1では、ソフトウエアのアップデートの際に、中間者攻撃(Man-In-The-Middle Attack)を許してしまう脆弱性(CVE-2008-3434)を解決しています。
[参考情報]
RealPlayerに複数の脆弱性(2011/11/18)
Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.5、RealPlayer 14.0.0~14.0.7および、Macintosh版RealPlayer 12.0.0.1701には、任意のコード実行を許してしまう脆弱性など、計19件の脆弱性が存在します。
[参考情報]
VMware vCenter Update Managerのセキュリティアップデート:VMSA-2011-0014(2011/11/17)
VMware vCenter Update Managerのセキュリティアップデートでは、Update ManagerのJetty Web serverに存在するディレクトリートラバーサルの脆弱性(CVE-2011-4404)を解決しています。JettyはJavaベースのWebアプリケーションサーバーです。
[参考情報]
MySQL Community Server 5.5.18、5.1.60リリース(2011/11/16)
MySQL Community Server 5.5.18では、Linux環境下でのrpm(Redhat Package Manager)更新処理のサポートのほかに、レプリケーション処理でのバグ対策などを目的としており、セキュリティアップデートは含まれていません。また、MySQL Community Server 5.1.60では、Linux環境下でのrpm更新処理、メモリーテーブルの作成時刻のサポートのほかに、InnoDB Storage Engineならびにレプリケーション処理でのバグ対策などを目的としており、セキュリティアップデートは含まれていません。
[参考情報]
Cyber Security Bulletin SB11-318(2011/11/14)
11月7日の週に報告された脆弱性の中から、Google Chrome、米EMC製品Documentum eRoom、RSA Key Manager Applianceの脆弱性を取り上げます(Vulnerability Summary for the Week of November 7, 2011)。
■Google Chrome 15.0.874.121リリース(2011/11/16)
11月10日、Google Chrome 15.0.874.120がリリースされました。このリリースでは、メモリーの解放後使用(use-after-free)、メモリーの2重解放(double free)、領域外のメモリー参照(out-of-bounds read)、メモリー破損に関する問題など、計7件のセキュリティ問題を解決しています。
11月16日、領域外メモリーへの書き出し(out-of-bounds write)に関するセキュリティ問題(CVE-2011-3900)を解決したGoogle Chrome 15.0.874.121がリリースされました。
[参考情報]
■米EMC製品に複数の脆弱性(2011/11/09)
EMC Documentum eRoom 7.3から導入されたファイルブロッキング機能には、任意のファイルアップロードを許してしまう脆弱性(CVE-2011-2739)が存在します。Documentum eRoomは、ネットワーク上での共同作業を支援するWebベースのソフトウエアです。
RSA Key Manager Appliance 2.7 Service Pack1のアップデートHotfix 6では、Oracle Critical Patch Update(CPU)July 2011やRSA Access Manager Serverのセキュリティ問題とともに、Firefox 4ならびにFirefox 5を使用している際に、ログアウト後のセッションが適切に終了しない問題(CVE-2011-2740)を解決しています。
[参考情報]
- 米EMC:ESA-2011-032: EMC Documentum eRoom arbitrary file upload vulnerability
- 米EMC:ESA-2011-035: RSA, The Security Division of EMC, announces the release of Hotfix 6 with security updates for RSA Key Manager Appliance 2.7 Service Pack 1
Hitachi Incident Response Team
チーフコーディネーションデザイナ
| 『HIRT(Hitachi Incident Response Team)』とは |
HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
