Hitach Incident Response Team

 10月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

BIND 9.6-ESV-R7-P4、9.6-ESV-R8、9.7.6-P4、9.7.7、9.8.3-P4、9.8.4、9.9.1-P4、9.9.2リリース(2012/10/09)

 BIND 9.6-ESV-R7-P4、9.6-ESV-R8、9.7.6-P4、9.7.7、9.8.3-P4、9.8.4、9.9.1-P4、9.9.2では、リソースレコード処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2012-5166)を解決しています。この問題は、特定のRDATAの組み合わせを読み込んだ後に、このリソースレコードに関連する問い合わせが発生すると、namedプロセスが無応答状態になるというものです。

 BIND 9.2.x~9.6.x、9.4-ESV~9.4-ESV-R5-P1、9.6-ESV~9.6-ESV-R7-P3、9.7.0~9.7.6-P3、9.8.0~9.8.3-P3、9.9.0~9.9.1-P3が稼働するコンテンツサーバー(権威DNSサーバー)ならびにキャッシュDNSサーバーに影響があります。なおISCでは、BIND 9.2、9.3、9.4、9.5のサポートは終了していることから、セキュリティ修正プログラムはリリースしないことを公表しています。

米シスコ製品に複数の脆弱性

■ASA 5500シリーズとASAサービスモジュール(2012/10/10)

 Cisco ASA(Adaptive Security Appliances)5500シリーズとCisco Catalyst 6500シリーズのASAサービスモジュールには、サービス拒否攻撃を許してしまう複数の脆弱性が存在します。脆弱性は、DHCPサーバーのパケット処理(CVE-2012-4643)、SSL VPNの認証処理(CVE-2012-4659)、SIPパケットのインスペクション処理(CVE-2012-4660)、DCE/RPC(Distributed Computing Environment/Remote Procedure Calls)パケットのインスペクション処理(CVE-2012-4661~CVE-2012-4663)に関する6件です。

■WebEx Recording Formatプレーヤー(2012/10/10)

 Web会議録の再生アプリケーションであるWebEx Recording Format(WRF)プレーヤーには、不正なWRFファイルにアクセスすると、プログラムを異常終了したり任意のコード実行を許したりしてしまう、計6件のバッファオーバーフローの脆弱性(CVE-2012-3936~CVE-2012-3941)が存在します。

■ファイアウォール・サービス・モジュール(2012/10/10)

 Cisco Catalyst 6500シリーズのスイッチとCisco 7600シリーズのルーター向けのファイアウォール・サービス・モジュールにはサービス拒否攻撃を許してしまう複数の脆弱性が存在します。脆弱性は、DCE/RPCパケットのインスペクション処理(CVE-2012-4661~CVE-2012-4663)に関する3件です。

Firefox 16.0.1、Firefox ESR 10.0.9、Thunderbird 16.0.1、Thunderbird ESR 10.0.9リリース(2012/10/11)

 10月8日にリリースされたFirefox 16/Thunderbird 16では、メモリー破損、メモリーの解放後使用(use-after-free)、領域外のメモリー参照(out-of-bounds read)、バッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性など、14件のセキュリティアドバイザリーに含まれる計24件の脆弱性を解決しています。Firefox ESR 10.0.8/Thunderbird ESR 10.0.8では、11件のセキュリティアドバイザリーに含まれる計21件の脆弱性を解決しています。

 10月11日、メモリー破損、メモリーの解放後使用(use-after-free)に起因し、任意のコード実行を許してしまう脆弱性など、2件のセキュリティアドバイザリーに含まれる計4件の脆弱性を解決したFirefox 16.0.1/Thunderbird 16.0.1がリリースされました。Firefox ESR 10.0.9/Thunderbird ESR 10.0.9では、1件のセキュリティアドバイザリーに含まれる計2件の脆弱性を解決しています。

Adobe Flash Player 11.4.402.287リリース:APSB12-22(2012/10/08)

 メモリー破損、オーバーフローに起因し、任意のコード実行を許してしまう脆弱性24件(CVE-2012-5248~CVE-2012-5272)を解決したAdobe Flash Player、Adobe AIRがリリースされました。リリースされたAdobe Flash Playerのバージョンは、Windows版(11.4.402.287)、Mac版(11.4.402.287)、Linux版(11.2.202.243)、Android 4.x版(11.1.115.20)、Android 3.x/2.x版(11.1.111.19)、Chrome版(11.4.31.110)です。Adobe AIRのバージョンは、Windows版(3.4.2710)、Mac版(3.4.2710)、SDK(含むAIR for iOS)版(3.4.2710)、Android版(3.4.2710)です。

 なお、2012年に入ってからのリリース回数は、バグ修正とセキュリティアップデートを含めて、計14回になります(図1)。

図1●Adobe Flash Playerのリリース回数
図1●Adobe Flash Playerのリリース回数

マイクロソフト2012年10月の月例セキュリティアップデート(2012/10/10)

 10月10日、月例セキュリティアップデートがリリースされました。また、Microsoft 1024ビット未満の暗号キーをブロックする更新プログラムの自動更新が開始されました。10月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、20件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格です。

 また、適切なタイムスタンプ属性なしに生成されたディジタル証明書に関連する問題を解決するために、MS12-054(Windows ネットワーク コンポーネントの脆弱性)、MS12-055(Windows カーネルモード ドライバーの脆弱性)、MS12-058(Microsoft Exchange Server WebReadyドキュメント表示の脆弱性)、KB2661254(証明書の鍵長の最小値に関する更新プログラム)の更新プログラムが再リリースされました。

Tomcat 7.0.32リリース(2012/10/09)

 Tomcat 7.0.32では、配備に関する新しいオプションのサポート、JSP処理の改善と、既存バージョンに存在するバグの修正を目的としたリリースです。Tomcat 7.0.31はリリースされていないため、7.0.32と7.0.31を合わせると、約10件のバグを修正しています。セキュリティアップデートは含まれていません。

Tomcat 5.5.36リリース(2012/10/10)

 Tomcat 5.5.36は、既存バージョンに存在するバグの修正を目的としたリリースで、約15件のバグを修正しています。セキュリティアップデートは含まれていません。なお、Tomcat 5.5.x系は、2012年9月30日にサポートを終了し、EOL(End-Of-Life)に入っていますので、6.0.x、7.0.x系にアップデートしていく必要があります。

制御システム系製品の脆弱性

■ウェリンテックのKingView:CVE番号割当(2012/10/09)

 製造現場の監視ならびに制御データの分析ソフトである、ウェリンテック(wellintech.com)のKingViewの続報です。2012年7月に報告されたパスワードの格納に適切な暗号アルゴリズムを使用していないことに起因する脆弱性にCVE番号が割り当てられました(CVE-2012-4899)。

■シーメンスのSIMATIC S7-1200 Controller(2012/10/09)

 シーメンス(siemens.com)のSIMATIC S7-1200 PLCには、Webアプリケーションモジュールにクロスサイトスクリプティングの脆弱性(CVE-2012-3040)が存在します。

■SinapsiのeSolar Light(2012/10/09)

 太陽光発電を監視するためのシステムであるSinapsi(sinapsitech.it)のeSolar Light Photovoltaicシステムモニターには、不正アクセス、情報漏洩、任意のコード実行などを許してしまう複数の脆弱性が存在します。報告されている問題は、アカウント情報がハードコーディングされている問題、SQLインジェクション、コマンドインジェクションの脆弱性、認証されたセッションへの介入に関する脆弱性、計4件です。

Cyber Security Bulletin SB12-282(2012/10/08)

 10月1日の週に報告された脆弱性の中から、IBMのTivoli Federated Identity Manager、ヒューレット・パッカードのHP Network Node Manager iの脆弱性を取り上げます(Vulnerability Summary for the Week of October 1, 2012)。

■IBM Tivoli Federated Identity Manager(2012/09/28)

 IDとリソースアクセスの管理ソフトであるTivoli Federated Identity Manager(TFIM)には、
署名検証の迂回を許してしまうXML処理上の脆弱性(CVE-2012-3314)が存在します。この脆弱性には、不正なSAML(Security Assertion Markup Language)メッセージを署名検証なしに受け入れてしまう、適切ではないノードや要素を使って検証してしまう、証明書のパス検証が不十分という問題が含まれています。

■HP Network Node Manager i(NNMi)(2012/10/03)

 ネットワーク管理ソフトのHP Network Node Manager i(NNMi)v9.20には、情報漏洩を許してしまうの脆弱性(CVE-2012-3267)が存在します。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。