Hitach Incident Response Team

 8月5日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

MySQL Community Server 5.5.27リリース(2012/08/02)

 MySQL Community Server 5.5.27は、InnoDB Storage Engineならびにレプリケーション処理に存在するバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。また、このリリースに合わせて、年の桁数表示に関して、2桁表示を推奨しないこととし、今後、機能を削除していくことを明らかにしています。MySQLでは、4桁表示の範囲は1901年~2155年か0000です。2桁表示(文字列)の場合、0~69は2000年~2069年、70~99は1970年~1999年と解釈します。

 時刻については、年の桁数表示以外にも、2038年問題があります。また、最近では2012年7月1日の「うるう秒」による障害も報告されていますので、脆弱性情報と同様に注目しておく必要があります。

Unbound 1.4.18リリース(2012/08/02)

 キャッシュDNSサーバーの一つであるUnboundのバージョン1.4.18がリリースされました。ビルドオプション、FIPSモードでのRSAMD5の無効化などの機能変更を加えたほか、バグを修正しています。セキュリティアップデートはありません。

Adobe Flash Player 11.3.300.270リリース(2012/08/02)

 Windows版Adobe Flash Player 11.3.300.270がリリースされました。なお、8月2日時点でダウンロードサイトから提供されている最新バージョンは11.3.300.268、Release Notesページに記載されている最新バージョンはFlashPlayerUpdateService.exeのバグ修正を目的とした11.3.300.269、Archived Flash Playerページに記載されている最新バージョンは11.3.300.270となっています。

オラクルOutside Inライブラリー脆弱性の影響(2012/07/25)

 Microsoft Exchange Server、Microsoft SharePoint Server、FAST Search Serverは、2012年7月に報告されたオラクルCritical Patch Update Advisory - July 2012のオラクルOutside Inライブラリーに存在する脆弱性(CVE-2012-1766~CVE-2012-1773、CVE-2012-3106~CVE-2012-3110)の影響を受ける可能性があります。このほかにも、AccessData FTK(Forensic Toolkit)などが影響を受ける可能性があります。

制御システム系製品の脆弱性

■Kessler-Ellis ProductsのInfilink(2012/07/30)

 Kessler-Ellis Products(kep.com)のHMI(Human Machine Interface)パッケージであるInfilinkには、パスワードの格納に適切な暗号アルゴリズムを使用していないことに起因する脆弱性が存在します。ICS-CERTの文書では、XORを使用したパスワード格納であることを明らかにしています。この問題は、7月29日、DEFCON20というカンファレンスの「SCADA HMI and Microsoft Bob: Modern Authentication Flaws With a 90's Flavor」において報告されたことから、注意喚起文書の発行に至ったというものです。

■ウェリンテックのKingView(2012/07/30)

 製造現場の監視ならびに制御データの分析ソフトである、ウェリンテック(wellintech.com)のKingViewには、パスワードの格納に適切な暗号アルゴリズムを使用していないことに起因する脆弱性が存在します。この問題は、DEFCON20で報告されたものです。

■SpecView(2012/08/01)

 SpecView(specview.com)のSCADA用パッケージSpecViewにはディレクトリートラバーサルの脆弱性が存在します。この問題は、7月29日に発見者がWebサイトで脆弱性の検証コードを公開したことから、注意喚起文書の発行に至ったというものです。

■アイコニクスのGENESIS32、BizViz(2012/07/30)

 アイコニクス(iconics.com)のSCADAシステム用HMIパッケージで3次元グラフィックスによりデータを可視化するGENESIS32、同じく制御系システムの可視化を支援するBizVizには、認証機構の迂回を許してしまう脆弱性(CVE-2012-3018)が存在します。この問題は、ロックアウト回復機能の認証コードの生成において、適切な暗号アルゴリズムを使用していないことに起因します。

■シーメンスのSIMATIC Controller(2012/07/30)

 シーメンス(siemens.com)のSIMATIC S7-400にはサービス拒否攻撃を許してしまう脆弱性が2件存在します。報告された問題は、不正なICMPパケットを受信した場合(CVE-2012-3016)、不正なHTTPならびにIPパケットを受信した場合(CVE-2012-3017)にdefectモードに遷移し、通常稼働に戻すためには、手動のリセットが必要になるというものです。

■シーメンスのSynco OZW(2012/08/01)

 シーメンスのSynco OZWのWebサーバーには、デフォルトパスワードが設定されているという脆弱性(CVE-2012-3020)が存在します。インストール時に強制的なパスワード変更は実施されません。インストール後もデフォルトパスワードを継続使用した場合には、リモートからの侵害を許してしまう可能性があります。Syncoは、ビルオートメーションにおける換気空調設備HVAC(Heating, Ventilation and Air Conditioning)用の製品です。

■Sielco SistemiのWinlog:CVE番号割当(2012/07/31)

 6月14日、27日に報告された、Sielco Sistemi(sielcosistemi.com)のSCADAシステム用HMI製品Winlogの続報です。バッファオーバーフロー問題、アクセス制御が適切に行われていない問題、書き込み処理の問題の脆弱性にCVE番号としてCVE-2012-3815が割り当てられました。

Cyber Security Bulletin SB12-212(2012/07/30)

 7月23日の週に報告された脆弱性の中から、シマンテック製品の脆弱性を取り上げます(Vulnerability Summary for the Week of July 23, 2012)。

■シマンテックSymantec Web Gateway(2012/07/20)

 Web用のセキュリティゲートウエイアプライアンスであるSymantec Web Gateway 5.0.xの管理インタフェースには、コマンド実行(CVE-2012-2953)、任意のパスワード変更(CVE-2012-2977)、SQLインジェクション(CVE-2012-2574、CVE-2012-2961)など、計6件のセキュリティ問題が存在します。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ


『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。