チェックしておきたい脆弱性情報＜2012.07.09＞

　6月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Adobe Flash Player 11.3.300.262リリース（2012/06/21）

　Firefox、Mozilla、Netscape、Operaなどのプラグインベースのブラウザー向けにAdobe Flash Player 11.3.300.262がリリースされました。このリリースは、Windows版Adobe Flash Player 11.3のインストールに起因し、動画が再生できない、日本語が入力できないなどのバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

• 米アドビ システムズ：最新バージョンに関する情報
• 米アドビ システムズ：Flash Player Help / Release Notes | Flash Player 11.3 AIR 3.3

米シスコ製品に複数の脆弱性

■ASA 5500シリーズとASAサービスモジュール（2012/06/20）

　Cisco ASA（Adaptive Security Appliances）5500シリーズと、Cisco Catalyst 6500シリーズのASAサービスモジュールに、IPv6通過トラフィックに起因して、サービス拒否攻撃を許してしまう脆弱性（CVE-2012-3058）が存在します。

• シスコ：cisco-sa-20120620-asaipv6: Cisco ASA 5500 Series Adaptive Security Appliances and Cisco Catalyst 6500 Series ASA Services Module Denial of Service Vulnerability

■Application Control Engine（2012/06/20）

　負荷分散とアプリケーション配信機能を提供するCisco ACE（Application Control Engine）アプライアンスまたはモジュールには、ユーザーが意図しないコンテキストにログインすることを許してしまう脆弱性（CVE-2012-3063）が存在します。この問題は、二つ以上のコンテキストに同じ管理IPアドレスを設定し、さらに、マルチコンテキストモードで動作させている場合に発生する可能性があります。

• シスコ：cisco-sa-20120620-ace: Cisco Application Control Engine Administrator IP Address Overlap Vulnerability

■AnyConnectセキュアモビリティクライアント（2012/06/20）

　IPsecやSSL VPN接続を提供するVPN クライアントである、Cisco AnyConnectセキュアモビリティクライアントには、脆弱なActiveXコントロールまたはJavaアプレットを悪用して任意のコード実行を許してしまう脆弱性（CVE-2012-2493、CVE-2012-2496）、シスコによる署名付きの古いバージョンのインストールを許してしまう脆弱性（CVE-2012-2494、CVE-2012-2495）が存在します。

• シスコ：cisco-sa-20120620-ac: Multiple Vulnerabilities in Cisco AnyConnect Secure Mobility Client

Tomcat 7.0.28リリース（2012/06/19）

　Tomcat 7.0.28（図1）は、WebSocketの機能改善など、バグの修正を目的としたリリースで、約80件のバグを修正しています。セキュリティアップデートは含まれていません。また、Tomcat 7.0.28でAPR/Nativeコネクターを使用する場合には、APR/Nativeライブラリーとしてバージョン1.1.24が必要となります。

• Apache：Apache Tomcat 7 Changelog

日立製品に複数の脆弱性（2012/06/22）

　ストレージ管理ソフトウエアであるHitachi Command Suiteには、クロスサイトスクリプティング（XSS）、サービス拒否攻撃などを許してしまう脆弱性が存在します。XSSの問題は米アドビ システムズのRoboHelpの脆弱性（CVE-2008-0642、CVE-2009-0524）に、サービス拒否攻撃などの問題は米アドビ システムズのLiveCycle Data Services、LiveCycle ES、BlazeDSに存在する脆弱性（CVE-2011-2092、CVE-2011-2093）に起因しています。

• 日立：HS12-017: Hitachi Command Suite製品（日本国内向け製品）におけるクロスサイトスクリプティングの脆弱性
• 日立：HS12-018: Hitachi Command Suite製品（日本国内向け製品）におけるDoS脆弱性

制御システム系製品の脆弱性

　ICS-CERTから、何らかの形でインターネットに接続する制御システムが多数存在し、そのシステムにおいて、セキュリティ問題があることを指摘するレポートが改訂されました。今回の改訂では、インターネットに接続する制御システムにおいて、デフォルトのユーザー名とパスワードが使用されている状況が続いていること、認証機構などが脆弱な製品の場合には、製品開発ベンダーが推奨するセキュリティ対策が必要であることを追加指摘しています。

• ICS-CERT：ICS-ALERT-11-343-01: ICS-CERT Updated ALERT（UPDATE）Control Systems Internet Accessibility

■WonderwareのSuiteLink：CVE番号割当（2012/06/19）

　2012年5月に報告されたWonderware（wonderware.com）のSuiteLinkの続報です。非常に長いUnicode文字列を含む任意のサイズのパケットを受信することができるために、サービス拒否攻撃を許してしまう脆弱性にCVE番号が割り当てられました（CVE-2012-3007）。

• ICS-CERT：ICSA-12-171-01: Wonderware SuiteLink Unallocated Unicode String DoS
• ICS-CERT：ICS-ALERT-12-136-01: Wonderware SuiteLink UnallocatedUnicode String

Cyber Security Bulletin SB12-170（2012/06/18）

　6月11日の週に報告された脆弱性の中から、HP Web Jetadminの脆弱性を取り上げます（Vulnerability Summary for the Week of June 11, 2012）。

■HP Web JetadminにXSSの脆弱性（2012/06/13）

　ネットワーク上のプリンティング環境を一元管理するHP Web Jetadmin v8.xには、クロスサイトスクリプティング（XSS）の脆弱性（CVE-2012-2011）が存在します。

• HP：HPSBPI02779 SSRT100855 - HP Web Jetadmin v8.x Running on Windows, Remote Cross Site Scripting（XSS）

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。