チェックしておきたい脆弱性情報<2012.01.25>

Hitach Incident Response Team

 1月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2012年1月の月例セキュリティアップデート(2012/01/11)

 1月の月例セキュリティアップデートでは、6件のセキュリティ更新プログラムを公開し、7件のセキュリティ問題を解決しています。脆弱性による影響は、リモートからの任意のコード実行3件、アクセス権限の昇格1件、情報漏洩3件、セキュリティ機構の迂回1件です。

 セキュリティ更新プログラム(MS12-006)は、平文とそれに対応した暗号文を手がかりに暗号解読(選択平文攻撃)が可能であるというSSL 3.0/TLS 1.0のCBCモードの脆弱性(CVE-2011-3389)を解決します。この問題は、2002年2月から知られていた問題ですが、2011年9月の講演により再度注目を集めた脆弱性です(図1)。

図1●脆弱性(CVE-2011-3389)の対応経緯
図1●脆弱性(CVE-2011-3389)の対応経緯

Adobe Reader X(10.1.2)、Adobe Reader 9.5リリース:APSB12-01(2012/01/10)

 Windows、Macintosh版Adobe ReaderならびにAcrobatのバージョン10.1.2、9.5がリリースされました。これらのリリースでは、メモリー破損、ヒープ破損に起因する、任意のコード実行を許してしまう脆弱性6件を解決しています。このうち2件の脆弱性(CVE-2011-2462、CVE-2011-4369)は、12月6日に米アドビ システムズから報告され、9.x系ではバージョン9.4.7で解決された脆弱性です(図2)。

図2●脆弱性(CVE-2011-2462)の対応経緯
図2●脆弱性(CVE-2011-2462)の対応経緯

DHCP 4.2.3-P2リリース(2012/01/12)

 ISC DHCP 4.2.3-P2では、DHCPサーバーに存在するサービス不能攻撃を許してしまう脆弱性(CVE-2011-4868)を解決しています。この問題は、DHCPv6のリース処理に起因し、IPv6アドレスとDDNS(Dynamic DNS)を提供している場合に発生するというものです。4.2.2、4.2.3、4.2.3-P1が影響を受けます。

PHP 5.3.9リリース(2012/01/10)

 PHP 5.3.9では、2件のセキュリティ問題対策と100件以上のバグ対策を行っています。セキュリティ問題対策では、ハッシュテーブルの衝突を悪用したサービス不能攻撃を許してしまう脆弱性(CVE-2011-4885)を解決するために、GET/POST/COOKIEで利用できるパラメーター数上限を指定するmax_input_vars(デフォルト1000)を導入しました。また、EXIF(Exchangeable Image File Format)ヘッダー処理で発生する整数オーバーフローの脆弱性(CVE-2011-4566)を解決しています。

MySQL Community Server 5.1.61リリース(2012/01/10)

 MySQL Community Server 5.5.61では、InnoDB Storage Engine処理でのバグ対策などを目的としており、セキュリティアップデートは含まれていません。