Hitach Incident Response Team

 2月26日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Apache HTTPサーバー 2.4.1リリース(2012/02/21)

 Apache HTTPサーバー 2.4.1(図1)では、MPM(Multi-Processing Modules)の動的ローディング、OSCP(Online Certificate Status Protocol)サポート、プログラミング言語Luaへの対応、動的なリバースプロキシー、認証ならびに認可機構、FastCGIプロキシーなど、拡張機能の改善ならびにプログラムの機能強化が施されています。脆弱性については、Apache HTTPサーバー 2.2.22ならびに、それ以前のリリースで報告されている問題を解決しています。

図1●Apache HTTPdリリース回数(除くアルファ、ベータ版)
図1●Apache HTTPdリリース回数(除くアルファ、ベータ版)

Tomcat 7.0.26リリース(2012/02/21)

 Tomcat 7.0.26(図2)では、ServletContainerInitializerで使用するアノテーション@HandlesTypes処理の改善、AJP(Apache JServ Protocol)コネクター使用時のPOST処理など、多数のバグを修正しています。セキュリティアップデートは含まれていません。

図2●Tomcat 7.x/6.xリリース回数(除くアルファ版)
図2●Tomcat 7.x/6.xリリース回数(除くアルファ版)

MySQL Community Server 5.5.21リリース(2012/02/20)

 MySQL Community Server 5.5.21は、InnoDB Storage Engineならびにレプリケーション処理に存在するバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

日立製品に脆弱性(2012/02/21)

 ストレージ管理ソフトウエアであるHitachi Command Suite製品には、クロスサイトスクリプティング(XSS)の脆弱性が存在します。この問題は、米アドビ システムズのFlex SDKの脆弱性(CVE-2011-2461)が原因となり、Flexアプリケーションにクロスサイトスクリプティングの問題が生じるというものです。

Cyber Security Bulletin SB12-051(2012/02/20)

 2月13日の週に報告された脆弱性の中から、Apache Portable Runtimeの脆弱性を取り上げます(Vulnerability Summary for the Week of February 13, 2012)。

■Apache Portable Runtime 1.4.6リリース(2012/02/14)

 Apache HTTP ServerのサポートライブラリーであるApache Portable Runtime 1.4.6では、2011年12月末に報告されたハッシュテーブルの衝突を悪用したサービス不能攻撃を許してしまう脆弱性である、ハッシュテーブルDoS問題(CVE-2012-0840)を解決しています。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。