Hitach Incident Response Team

 1月8日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

OpenSSL 1.0.0f、OpenSSL 0.9.8sリリース(2012/01/04)

 OpenSSL 1.0.0f、OpenSSL 0.9.8sでは、DTLS(Datagram Transport Layer Security)処理(CVE-2011-4108)、メモリーの2重解放(double free)(CVE-2011-4109)、SSL 3.0でのパディング処理(CVE-2011-4576)、RFC3779(IPアドレスおよびAS識別子のためのX.509の拡張)データ処理(CVE-2011-4577)、SGC(Server Gated Cryptography)処理(CVE-2011-4619)、GOSTパラメーター処理(CVE-2012-0027)に存在するサービス不能攻撃、情報漏洩などを許してしまう6件の脆弱性を解決しています。

 SGCは、40ビットや56ビットのSSL暗号化しか利用できないブラウザーの接続を128ビットに変更する技術で、輸出規制を順守するためにInternet Explorer 4.0などに実装された仕様です。GOST(GOsudarstvennyy STandart)はロシアの標準規格で、暗号アルゴリズムはOpenSSL 1.0.0からサポートされました。

Struts 2.3.1.1リリース(2011/12/25)

 WebアプリケーションフレームワークStrutsのバージョン2.3.1.1がリリースされました。このバージョンでは、任意のコード実行を許してしまう複数の脆弱性を解決しています。脆弱性は、入力変換エラーの際に入力値をOGNL(Object Graph Navigation Language)の式として再評価してしまう問題、バージョン2.2.1.1から導入された入力パラメーター名フィルタ(acceptedParamNames = "[a-zA-Z0-9\.][()_']+";)の迂回などです。Struts 2.1.0~Struts 2.3.1に影響があります。バージョン2.3.1.1へのアップデートとあわせて、入力パラメーター名フィルタの適用を推奨しています。

Google Chrome 16.0.912.75リリース(2012/01/05)

 Google Chrome 16.0.912.75では、メモリーの解放後使用(use-after-free)に関する問題、ヒープバッファオーバーフロー、スタックオーバーフローに関する問題など、計3件の脆弱性を解決しています。

制御システム系製品の脆弱性

■シーメンスのTecnomatix FactoryLink(2012/01/04)

 2011年3月に報告されたシーメンス(siemens.com)のTecnomatix FactoryLinkの続報です。産業用の監視・制御システムを構築するためのWindowsベースのSCADA製品であるTecnomatix FactoryLinkに、新たに2件の脆弱性が確認されました。ActiveXに存在する脆弱性(CVE-2011-4055、CVE-2011-4056)で、任意のコード実行や任意のデータファイル格納を許してしまうものです。