チェックしておきたい脆弱性情報＜2012.02.07＞

　1月29日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.1.2リリース（2012/01/22）

　WebアプリケーションフレームワークStrutsのバージョン2.3.1.2がリリースされました。このバージョンでは、ParametersInterceptorに組み込まれている防護機能を迂回して、OGNL（Object Graph Navigation Language）を使った任意のコード実行を許してしまう脆弱性（CVE-2011-3923）を解決しています。Struts 2.0.0～2.3.1.1に影響があります。

• Apache Struts：ParameterInterceptor vulnerability allows remote command execution
• Apache Struts：Version Notes 2.3.1.2

米シスコ IronPort製品に脆弱性（2012/01/26）

　FreeBSDカーネルをベースとした、電子メールシステムでスパムメール対策やウイルス対策を実現するCisco IronPort Email Security Appliances（ESA）と、IronPort製品群を集中管理するCisco IronPort Security Management Appliances（SMA）には、任意のコード実行を許してしまう脆弱性（CVE-2011-4862）が存在します。この脆弱性は、FreeBSDのtelnetdのバッファオーバーフロー問題に起因するものです（図1）。

• シスコ：cisco-sa-20120126-ironport: Cisco IronPort Appliances Telnet Remote Code Execution Vulnerability

Unbound 1.4.15リリース（2012/01/26）

　キャッシュDNSサーバーの一つであるUnboundのバージョン1.4.15がリリースされました。メモリーリーク対策、ハッシュテーブル生成処理の改善など、主にバグ修正を目的としたリリースです。ハッシュテーブル生成処理の改善では、ハッシュテーブルの衝突を悪用したサービス不能の報告を踏まえて、初期値を固定から乱数に変更しています。

• NLnet Labs：Unbound 1.4.15

MySQL Community Server 5.5.20リリース（2012/01/11）

　MySQL Community Server 5.5.20では、Windows service control managerによる起動時タイムアウトを解決するために、--slow-start-timeoutオプションを導入しました。そのほかに、InnoDB Storage Engineならびにレプリケーション処理でのバグを修正しています。セキュリティアップデートは含まれていません。

• MySQL：Changes in MySQL 5.5.20（10 January 2012）

Samba 3.6.3リリース（2012/01/29）

　1月25日、Samba 3.6.2がリリースされました。このリリースは、主にバグ修正を目的としたもので、Winbind、SMB2でのバグなど、計63件を修正しています。

　1月29日、smbdのサービス不能攻撃を許してしまう脆弱性（CVE-2012-0817）を解決したSamba 3.6.3がリリースされました。脆弱性は、smbdがコネクションを受け付けるたびにメモリーリークが発生し、メモリーリークが累積した場合に、サービス不能状態に陥ってしまうというものです。Samba 3.6.0～3.6.2に影響があります。

• Samba：Memory leak/Denial of service
• Samba：Samba 3.6.3 Available for Download

制御システム系製品の脆弱性

　2011年の第4四半期頃から、ICS-CERTの注意喚起（ICS-CERT Alert）と脆弱性の詳細が記載されたアドバイザリー（ICS-CERT Advisory）の発行件数が増えてきています（図2）。また、2012年1月の注意喚起の大半が、1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったPLC（Programmable Logic Controller）の脆弱性に関するものです。

• ICS-CERT：ICS-ALERT-12-020-01: S4 Disclosure of Multiple PLC Vulnerabilities in Major ICS Vendors

■ロックウェルのControlLogix PLC（2012/01/20）

　2012年1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったものです。ロックウェル（rockwellautomation.com）のControlLogixには、入力検証の不備に起因するサービス不能攻撃を許してしまう脆弱性が存在します。また、PLCコマンド「インタフェース制御、停止、リセット、ダンプ、ファームウエアアップグレード」を悪用された場合に、サービス不能攻撃、情報漏洩、任意のコード実行を許してしまう可能性があります。

• ICS-CERT：ICS-ALERT-12-020-02: Rockwell Automation ControlLogix PLC Multiple Vulnerabilities

■Schneider ElectricのModicon Quantum PLC（2012/01/20）

　2012年1月中旬に開催されたSCADA Security Scientific Symposiumの報告において明らかとなったものです。Schneider Electric（schneider-electric.com）のModicon Quantum PLCには、ツールとPLC間の認証機構の未サポート、バックドアアカウントの存在、HTTPならびにFTPサービスにおけるバッファオーバーフロー、クロスサイトスクリプティングの脆弱性が存在します。脆弱性による影響は、サービス不能攻撃、任意のコード実行、アクセス権限の昇格などです。

• ICS-CERT：ICS-ALERT-12-020-03: Schneider Modicon Quantum Vulnerabilities