6月10日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
BIND 9.6-ESV-R7-P1、9.7.6-P1、9.8.3-P1、9.9.1-P1リリース(2012/06/04)
BIND 9.6-ESV-R7-P1、9.7.6-P1、9.8.3-P1、9.9.1-P1では、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-1667)を解決しています。脆弱性は、リソースレコードを格納するRDATAフィールドの長さが0であるメッセージの処理に存在し、コンテンツサーバー(権威DNSサーバー)ならびにキャッシュDNSサーバーに影響を及ぼします。
- ISC:Handling of zero length rdata can cause named to terminate unexpectedly
- JPRS:BIND 9.xの脆弱性(サービス停止を含む)について
DHCP 4.1-ESV-R5、DHCP 4.2.4リリース(2012/06/05)
ISC DHCP 4.2.4には、DHCP 4.2.3-P1、DHCP 4.2.3-P2で解決したサービス拒否攻撃を許してしまう脆弱性(CVE-2011-4539、CVE-2011-4868)を含んでいます。
Squid 3.1.20リリース(2012/06/08)
Squid 3.1.20では、HTTP要求のホスト部(例:http:// :80)がNULLの場合の処理、パス名(例:http://www.example.com?data)がNULLの場合の処理など、計25件の問題を解決しています。このバージョンは、バグ修正を目的としたもので、セキュリティアップデートは含まれていません。
承認されていない電子証明書によるコード署名問題(2012/06/04)
5月28日に報告されたマルウエアsKyWIper(Flame)のコンポーネントのコード署名に、マイクロソフト認証機関によって承認されていない電子証明書が使われていることが確認されました。このためマイクロソフトでは、ソフトウエアへのコード署名など、承認されていない電子証明書の悪用による被害を防ぐために、影響のある中間CA証明書を失効させ、「信頼されない発行元」に該当する証明書を登録しました(写真1)。
Adobe Flash Player 11.3.300.257リリース:APSB12-14(2012/06/08)
メモリー破損、スタックオーバーフロー、整数オーバーフロー、NULLポインターに起因する任意のコード実行を許してしまう脆弱性(CVE-2012-2034~CVE-2012-2040)、セキュリティ機構の迂回により情報漏洩を許してしまう脆弱性(CVE-2012-2039)、計7件を解決したAdobe Flash Player 11.3.300.257/10.3.183.20、Linux版Adobe Flash Player 11.2.202.236、Android 4.x版Adobe Flash Player 11.1.115.9、Android 3.xおよび2.x版Adobe Flash Player 11.1.111.10、Adobe AIR 3.3.0.3610がリリースされました。
Firefox 13、Firefox ESR 10.0.5リリース(2012/06/05)
Firefox 13、Firefox ESR 10.0.5では、バッファオーバーフロー、メモリー破損、メモリーの解放後使用(use-after-free)などに起因し、サービス拒否攻撃や任意のコード実行を許してしまう脆弱性、Windowsファイル共有とショートカットファイルを通じた情報漏洩など、6件のセキュリティアドバイザリーに対応した計13件の脆弱性を解決しています。
Thunderbird 13、Thunderbird ESR 10.0.5リリース(2012/06/05)
Thunderbird 13、Thunderbird ESR 10.0.5では、バッファオーバーフロー、メモリー破損、メモリーの解放後使用(use-after-free)などに起因し、サービス拒否攻撃や任意のコード実行を許してしまう脆弱性、Windowsファイル共有とショートカットファイルを通じた情報漏洩など、6件のセキュリティアドバイザリーに対応した計13件の脆弱性を解決しています。
Google Chrome 19.0.1084.56リリース(2012/06/08)
OS-X Mountain Lionに対応するために、5月31日にGoogle Chrome 19.0.1084.53が、6月5日にGoogle Chrome 19.0.1084.54がリリースされました。また、6月8日、Adobe Flash playerの最新版(11.3)に対応したGoogle Chrome 19.0.1084.56がリリースされました。
- Google:Stable Channel Update(19.0.1084.56)
- Google:Stable Channel Update(19.0.1084.54)
- Google:Stable Channel Update(19.0.1084.53)
制御システム系製品の脆弱性
■シーメンスのSIMATIC HMI製品(2012/06/06)
シーメンス(siemens.com)のSCADAシステム用HMI(Human Machine Interface)製品であるSIMATIC WinCCには、クロスサイトスクリプティング(CVE-2012-2595、CVE-2012-3003)、XMLインジェクション(CVE-2012-2596)、ディレクトリートラバーサル(CVE-2012-2597)、バッファオーバーフロー(CVE-2012-2598)に起因し、サービス拒否攻撃、ファイル改ざん、情報漏洩などを許してしまう計5件の脆弱性が存在します。
Cyber Security Bulletin SB12-156(2012/06/04)
5月28日の週に報告された脆弱性の中から、Android系アプリケーションZTE sync_agentの脆弱性を取り上げます(Vulnerability Summary for the Week of May 28, 2012)。
■Android系アプリケーションの脆弱性:ZTE
ZTE Score Mデバイス上で稼働するAndroid用ZTE sync_agentプログラムには、ハードコーディングされているパスワード(ztex1609523)を引数として指定すると、管理者権限でOSコマンド操作できるという脆弱性(CVE-2012-2949)が存在します。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
