Hitach Incident Response Team

 12月11日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

DHCP 4.1-ESV-R4、DHCP 4.2.3-P1リリース(2011/12/07)

 ISC DHCP 4.1-ESV-R4、DHCP 4.2.3-P1では、DHCPサーバー 4.x以降に存在するサービス不能攻撃を許してしまう脆弱性(CVE-2011-4539)を解決しています。この問題は、DHCPサーバーにおいて正規表現("~="や"~~")を用いて評価するよう設定されている場合に、DHCPクライアントからDHCPサーバーに送信される不正な要求メッセージによって異常終了などが発生するというものです。

[参考情報]

Tomcat 6.0.35リリース(2011/12/05)

 Tomcat 6.0.34では、AJP(Apache JServ Protocol)を介して情報漏洩を許してしまう脆弱性(CVE-2011-3190)を解決しています。この脆弱性は、Tomcat 6.0.0~6.0.33に影響があります。なお、このTomcat 6.0.34は手続きが完了しなかったために、リリースに至っていません。12月5日にリリースされたTomcat 6.0.35は、Tomcat 6.0.34を取り込んだバージョンとなっています。Tomcat 6.0.35では、Catalinaサーブレットコンテナのパラメーター処理に作り込まれてしまった問題を解決しています。

[参考情報]

PostgreSQL 9.1.2、9.0.6、8.4.10、8.3.17、8.2.23リリース(2011/12/05)

 累積バグ対策版であるPostgreSQL 9.1.2、9.0.6、8.4.10、8.3.17、8.2.23がリリースされました。9.1.2では、52件のバグ対策を実施しています。また、PostgreSQL 8.2系は今回が最後のアップデートとなり、EOL(End-Of-Life)に入りますので、8.3系あるいは、それ以降にアップデートしていく必要があります。

[参考情報]

米アドビ システムズ製品に複数の脆弱性

■Adobe Readerに任意のコード実行を許してしまう脆弱性:APSA11-04(2011/12/06)

 Windows、Macintosh版Adobe Reader X(10.1.1)以前のバージョン、Unix版Adobe Reader 9.4.6以前のバージョン、Windows、Macintosh版Adobe Acrobat X(10.1.1)以前のバージョンに、任意のコード実行を許してしまう脆弱性(CVE-2011-2462)が存在します。国内でも、バージョン9を対象として、この脆弱性を悪用する標的型メールの存在が確認されています(図1)。

 脆弱性を悪用した攻撃は、Adobe Reader Xの保護モードおよびAcrobat Xの保護されたビューにより防止できますので、Adobe Reader Xを利用している場合には、保護モードの設定を確認してください(写真1)。

図1●脆弱性(CVE-2011-2462)の対応経緯
図1●脆弱性(CVE-2011-2462)の対応経緯

写真1●Adobe Reader Xの保護モードの設定
[画像のクリックで拡大表示]

■Flash Playerに任意のコード実行を許してしまう脆弱性(2011/12/06)

 12月6日、Adobe Flash Player バージョン11.1.102.55ならびにそれ以前に、不正なファイルを読み込んだ際に、任意のコード実行を許してしまう脆弱性(CVE-2011-4693、CVE-2011-4694)の存在が報告されました。なお、12月11日時点では、これら脆弱性に関する具体的な情報は明らかになっていません(図2)。

図2●脆弱性(CVE-2011-4693、CVE-2011-4694)の対応経緯
図2●脆弱性(CVE-2011-4693、CVE-2011-4694)の対応経緯

[参考情報]

制御システム系製品の脆弱性

 ICS-CERTから、何らかかの形でインターネットに接続する制御システムが多数存在し、そのシステムにおいて、セキュリティ問題があることを指摘するレポートが発行されました。そのレポートによれば、インターネットからアクセス可能な複数のSCADAシステムの存在(2011年2月)、75件のインターネットからアクセス可能な制御システムの存在(2011年4月)、数千件におよぶインターネットからアクセス可能な制御システム装置の存在(2011年9月)など、これらのシステムの多くが、ユーザー名とパスワードとして、デフォルト値を使用していることを指摘しています。

■3SのCoDeSys Webサーバー(2011/12/02)

 3S(3s-software.com)のSCADAシステム用HMI(Human Machine Interface)パッケージであるCoDeSys(Controller Development System)Webサーバーには、スタックオーバーフロー、整数オーバーフロー、NULLポインターなどに起因し、任意のコード実行、サービス不能攻撃を許してしまう複数の脆弱性が存在します。

■Sielco SistemiのWinlog(2011/12/06)

 イタリアを活動拠点としたSielco Sistemi(sielcosistemi.com)のSCADAシステム用HMI(Human Machine Interface)パッケージであるWinlogには、サービス不能攻撃や任意のコード実行を許してしまうバッファオーバーフローの脆弱性(CVE-2011-4037)が存在します。

[参考情報]

日立製品にサービス不能の脆弱性(2011/12/06)

 Apache HTTP ServerをベースとしたNetCS-HD(Wooolive)製品には、Rangeヘッダー処理に起因し、サービス不能攻撃を許してしまう脆弱性(CVE-2011-3192)が存在します。

[参考情報]

Cyber Security Bulletin SB11-339(2011/12/05)

 11月28日の週に報告された脆弱性の中から、HPのプリンター、ネットワークスキャナー製品の脆弱性を取り上げます(Vulnerability Summary for the Week of November 28, 2011)。

■HPプリンタ、ネットワークスキャナー製品群に脆弱性(2011/11/30)

 HP LaserJet、Color LaserJetプリンタならびに、HP Digital Senderネットワークスキャナーのファームウエアのアップデート手順に脆弱性(CVE-2011-4161)が存在します。この問題は、ファームウエアのアップデートをインストールする際に、デジタル署名をチェックしないことに起因します。結果として、プリンターやネットワークスキャナーのファームウエアの不正なアップデートを許してしまう可能性があります。

[参考情報]