5月6日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.6-ESV-R6、9.7.5、9.8.2、9.9.0の稼働に影響を与えるバグ(2012/04/30)
4月30日、ISC(Internet Systems Consortium)からBINDのresolver.cでセグメンテーション違反のエラーが発生すること、このエラーによりBINDが異常終了する可能性のあることが報告されました。この問題は、前のバージョンのバグ修正の際に作り込まれてしまったもので、脆弱性ではないとしています。影響を受けるのは、キャッシュDNSサーバーのみです。
オラクルデータベースTNSリスナーに脆弱性(2012/04/30)
オラクルデータベースのコンポーネントであるTNSリスナーサービスには、トラフィック盗聴と任意のデータベースコマンド実行を許してしまう脆弱性(CVE-2012-1675)が存在します。TNS(Transparent Network Substrate)は、データベース接続や複数ノード間のメッセージ交換のインタフェースで、脆弱性はデータベースコンポーネントを使用しているOracle Fusion Middleware、Oracle Enterprise Manager、Oracle E-Business Suiteにも影響します。
この脆弱性は、発見者が、2012年4月の四半期セキュリティアップデートで脆弱性(CVE-2012-1675)が解決したと勘違いして、その詳細と検証コードの公開に至ってしまったという経緯があります(図1)。
Adobe Flash Player 11.2.202.235リリース:APSB12-09(2012/05/04)
任意のコード実行を許してしまう脆弱性(CVE-2012-0779)を解決したAdobe Flash Player 11.2.202.235、Android版Adobe Flash Player 11.1.115.8/11.1.111.9がリリースされました。米アドビ システムズの報告によれば、脆弱性(CVE-2012-0779)の悪用として、悪質なファイルを添付した電子メールによる侵害活動が確認されています(図2 )。
Samba 3.6.5、3.5.15、3.4.17リリース(2012/04/30)
Samba 3.6.5、3.5.15、3.4.17では、ファイルサーバー上でのアクセス権限の昇格を許してしまう脆弱性(CVE-2012-2111)を解決しています。脆弱性はLocal Security Authority(LSA)のCreateAccount、OpenAccountなどのRPC処理に存在します。セキュリティチェックが適切ではないために、権限データベースの改ざんが可能になるというものです。Samba 3.4.x~3.6.4に影響があります。
- Samba:Incorrect permission checks when granting/removing privileges can compromise file server security.
- Samba:Samba 3.6.5 Available for Download
VMwareセキュリティアップデート:VMSA-2012-0009(2012/05/03)
VMware Workstation、Player、ESXi/ESXのセキュリティアップデートがリリースされました。このアップデートでは、任意のコード実行やサービス拒否攻撃を許してしまう複数の脆弱性を解決しています。具体的には、RPC処理に存在するCVE-2012-1516、CVE-2012-1517、ESXのNFS処理に存在するCVE-2012-2448、フロッピーディスク設定処理ならびにSCSIデバイス登録処理に存在するCVE-2012-2449、CVE-2012-2450を解決しています。
