Hitach Incident Response Team

 4月1日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米シスコ IOSに複数の脆弱性(2012/03/28)

 Cisco ISO関連では、9件のセキュリティアセドバイザリーを公開し、13件のセキュリティ問題を解決しています。脆弱性による影響はサービス不能攻撃12件、コマンド実行1件です。

■cisco-sa-20120328-ike:IKE(Internet Key Exchange)バージョン1処理にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0381)
■cisco-sa-20120328-msdp:MSDP(Multicast Source Discovery Protocol)処理にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0382)
■cisco-sa-20120328-nat:ネットワークアドレス変換機能のSIP(Session Initiation Protocol)パケット変換処理(ポート番号5060/UDP)にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0383)
■cisco-sa-20120328-pai:許可レベルに対応するすべてのCisco IOSコマンド実行を許してしまう脆弱性(CVE-2012-0384)
■cisco-sa-20120328-smartinstall:スマートインストール機能にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0385)
■cisco-sa-20120328-ssh:SSHバージョン2処理にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0386)
■cisco-sa-20120328-zbfw:Cisco IOS Zone-Based Firewall機能のIPパケット処理ならびにHTTP/H.323/SIPインスぺクション処理ににサービス不能攻撃を許してしまう脆弱性(CVE-2012-0387、CVE-2012-0388、CVE-2012-1310、CVE-2012-1315)
■cisco-sa-20120328-rsvp:VRF(VPN routing and forwarding)インスタンスが設定されたデバイス上のRSVP(Resource reSerVation Protocol)機能にサービス不能攻撃を許してしまう脆弱性(CVE-2012-1311)
■cisco-sa-20120328-mace:WAAS(Wide Area Application Services)Express機能ならびにMACE(Measurement, Aggregation, and Correlation Engine)機能にサービス不能攻撃を許してしまう脆弱性(CVE-2012-1312、CVE-2012-1314)

Adobe Flash Player 11.2.202.228リリース:APSB12-07(2012/03/28)

 メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2012-0772、CVE-2012-0773)を解決したWindows、Macintosh、Linux版Flash Player 11.2.202.228/10.3.183.18、Solaris版Flash Player 11.2.202.223、Android 3.xおよび2.x版Flash Player 11.1.111.8、AIR 3.2.0.2070、Android版AIR 3.2.0.2080がリリースされました。

VMware ESXi/ESXのセキュリティアップデート:VMSA-2012-0006(2012/03/29)

 VMware ESXi/ESXのセキュリティアップデートがリリースされました。このアップデートでは、メモリー上書きに起因するアクセス権限の昇格を許してしまう脆弱性、ESXサービスコンソールのカーネルに存在する脆弱性3件、ESXサービスコンソールのkrb5-telnet、ekrb5-telnetに存在する脆弱性、計5件のセキュリティ問題を解決しています。

日立製品に脆弱性(2012/03/26)

 簡単な運用管理を支援するHitachi IT Operationsには、クロスサイトスクリプティング(XSS)の脆弱性が存在します。この問題は、米アドビ システムズのRoboHelpの脆弱性(CVE-2011-0613、CVE-2011-2133)に起因するものです。

制御システム系製品の脆弱性

■WonderwareのHMI Reports(2012/03/30)

 Wonderware(wonderware.com)のWWCabFileコンポーネントには、ヒープオーバーフローに起因し、任意のコード実行を許してしまう脆弱性(CVE-2012-0257、CVE-2012-0258)が存在します。WWCabFileコンポーネントは、Wonderware Application Server、Foxboro Control Software、InTouchなどの製品に組み込まれています。Wonderwareは英Invensysグループ(invensys.com)のプログラマブルロジックコントローラーのビジネス部門です。

■ロックウェルのFactoryTalk RNADiagReceiver(続報)(2012/03/28)

 2012年1月に報告されたロックウェル(rockwellautomation.com)の製造システムと情報システムとのリアルタイムなデータ交換を実現するFactoryTalkの続報です。不正なパケットを受信した場合にサービス不能攻撃を許してしまう脆弱性(CVE-2012-0221、CVE-2012-0222)にCVE番号が割り当てられました。影響を受けるのは、FactoryTalkの診断用コンポーネントの一つであるRnadiagreceiver.exeで、対象となるポート番号は4445/UDPです。

Cyber Security Bulletin SB12-086(2012/03/26)

 3月19日の週に報告された脆弱性の中から、Google Chrome、米EMC製品、テープライブラリー製品、複数のウイルス対策ソフトの脆弱性を取り上げます(Vulnerability Summary for the Week of March 19, 2012)。

■Google Chrome 18.0.1025.140リリース(2012/03/28)

 3月21日にリリースされた17.0.963.83では、メモリーの解放後使用(use-after-free)、メモリー破損など、計8件の脆弱性(CVE-2011-3045、CVE-2011-3050~CVE-2011-3056)を解決しています。

 3月28日にリリースされたGoogle Chrome 18.0.1025.140では、メモリーの解放後使用(use-after-free)、領域外のメモリー参照(out-of-bounds read)、メモリー破損など、計9件の脆弱性(CVE-2011-3057~CVE-2011-3065)を解決しています。

■米EMC RSA enVisionに複数の脆弱性(2012/03/19)

 統合的なログ管理を支援するRSA enVision 4.xには、クロスサイトスクリプティング(CVE-2012-0399)、認証処理の試行回数の制限(CVE-2012-0400)、SQLインジェクション(CVE-2012-0401)、ハードコーディングされた認証情報(CVE-2012-0402)、ディレクトリートラバーサル(CVE-2012-0403)の脆弱性が存在します。

■複数のテープライブラリー製品に複数の脆弱性(2012/03/19)

 Quantum Scalar i500、Dell ML6000、IBM TS3310テープライブラリーには、デフォルトパスワードが設定されたアカウントが存在します(CVE-2012-1844)。また、Quantum Scalar i500、Dell ML6000のWebインタフェースには、情報漏洩を許してしまう脆弱性(CVE-2012-1841)、クロスサイトスクリプティング(CVE-2012-1842)、クロスサイトリクエストフォジェリー(CVE-2012-1843)の脆弱性が存在します。

■複数のウイルス対策ソフトに検出回避を許してしまう複数の脆弱性(2012/03/19)

 複数のウイルス対策ソフトに検出回避を許してしまう複数の脆弱性が存在します。この問題は、IEEE Symposium on Security and Privacy 2012("Abusing File Processing in Malware Detectors for Fun and Profit")において報告されたものです。この報告によれば、TARファイルの特定の位置に"\7fELF"を含む場合、ELFファイルの特定の位置に"\19\04\00\10"を含む場合、EXEファイルの特定の位置に"\4a\46\49\46"を含む場合など、計45パターンにおいて(CVE-2012-1419~CVE-2012-1463)、ウイルス対策ソフトに検出回避の可能性が提示されています。なお、ここで確認されているバージョンは、Symantec 20101.3.0.103、TrendMicro 9.120.0.1004、TrendMicro-HouseCall 9.120.0.1004、Kaspersky 7.0.0.125、McAfee 5.400.0.1158、McAfee-GW-Edition 2010.1C、F-Secure 9.0.16160.0、ClamAV 0.96.4など約40製品です。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『HIRT(Hitachi Incident Response Team)』とは

HIRTは,日立グループのCSIRT連絡窓口であり,脆弱性対策,インシデント対応に関して,日立グループ内外との調整を行う専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動,インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは,日立の製品やサービスのセキュリティ向上に関する活動に力を入れており,製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。