Hitach Incident Response Team

 10月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 9、Java SE 6 Update 37リリース(2012/10/16)

 Java SE 7 Update 9には27件、Java SE 6 Update 37には21件のセキュリティアップデートが含まれています。このうちSE 7の26件、SE 6の20件は、認証操作なしでリモートからの攻撃を許してしまう脆弱性を解決するものです。影響を受けるサブコンポーネントは、2D、Beans、Concurrency、Deployment、Hotspot、JAX-WS、JMX、JSSE、Libraries、Networking、Security、Swingです。これまでのリリース回数と平均リリース間隔を見てみると、バージョンアップとともにリリース平均間隔が少しずつですが短くなっています(図1)。

 なお、Javaのリリースでは、定期アップデート(Critical Patch Update)の場合にはアップデート番号は奇数(7u1、7u3、7u5・・・)、定例外のアップデートの場合にはアップデート番号は偶数(7u2、7u4、7u6・・・)となっています。8月末の定例外のリリース7u7、6u35には、定期アップデート用に用意された番号が割り当てられています。このため、今回の定期アップデートでは、番号を一つ飛ばして7u9、6u37が割り当てられています。

図1●Java(JDK/JRE)リリース回数と平均リリース間隔
図1●Java(JDK/JRE)リリース回数と平均リリース間隔

Java for OS X、Java for Mac OS Xセキュリティアップデート(2012/10/16)

 Java SE 6 Update 37リリースに合わせて、セキュリティアップデートJava for Mac OS X 10.6 Update 11、Java for OS X 2012-006がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_37に更新し、21件の脆弱性を解決しています。

オラクル2012年10月の四半期セキュリティアップデート(2012/10/16)

 Critical Patch Update Advisory - October 2012には、Oracle Database Server系5件(1件)、Oracle Fusion Middleware系26件(13件)、Oracle Applications系29件(12件)[Oracle E-Business Suite系9件(6件)、Oracle Supply Chain Products Suite系9件(4件)、Oracle PeopleSoft系9件(1件)、Oracle Siebel CRM系2件(1件)]、Oracle Industry Applications系2件(1件)、Oracle Financial Services系13件(1件)、Oracle Sun Products Suite系18件(3件)、Oracle Linux and Virtualization系2件(1件)、Oracle MySQL系14件(2件)、計109件のセキュリティアップデートが含まれています。カッコ内の件数は、認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計34件となっています。

Tomcat 6.0.36リリース(2012/10/19)

 Tomcat 6.0.36では、application/x- www-form-urlencoded形式でのPUTリクエスト対応、APR/nativeコネクターでのすべてのSSLプロトコル組み合わせ対応、Apache Commons Pool 1.5.7ならびにJDT Core Batch Compiler 3.7.2へのアップグレードなどの改善とともに、約60件のバグを修正しています。

 なお、リリースのアナウンス分には、セキュリティとバグ修正(security and bug fixes)と記載されていますが、セキュリティの内容が明示されていません。セキュリティについては内容が明らかになった時点で再度報告する予定です。なお、Tomcat 6.0.36の変更履歴を眺めると、コネクターにおいてApache HTTPDのLimitRequestFieldsに相当するmaxHeaderCount機能を実装したなど、セキュリティ対策に有効な実装が追加されていることを確認できます。

PHP 5.4.8、PHP 5.3.18リリース(2012/10/18)

 PHP 5.4.8、PHP 5.3.18は、バグ修正を目的としたリリースです。Core、cURL、FPM(FastCGI Process Manager)、SOA(Service Oriented Architecture)、SPL(Standard PHP Library)など、約20件のバグを修正しています。

Squid 3.2.3リリース(2012/10/20)

 Squid 3.2.3は、NTLMとネゴシエーションによる認証処理に存在するバグ修正などを目的としたもので、セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■GE Intelligent PlatformsのProficy Real-Time Information Portal(2012/10/15)

 GE Intelligent Platforms(ge-ip.com)のProficy Real-Time Information Portalには、サービス拒否攻撃を許してしまう複数の脆弱性(CVE-2012-3010、CVE-2012-3021、CVE-2012-3026)が存在します。この問題は、ポート番号5159/TCPで稼働するサービスにおいて、入力データのチェックが適切ではないことに起因しています。Proficy Real-Time Information Portalは、接続性や分析結果をWebシステムとして統合するHMI/SCADAオートメーションソフトウエア製品です。

Cyber Security Bulletin SB12-289(2012/10/15)

 10月8日の週に報告された脆弱性の中から、IBM Lotus Notes Travelerの脆弱性を取り上げます(Vulnerability Summary for the Week of October 8, 2012)。

■IBM Lotus Notes Traveler(2012/10/03)

 メール、カレンダー、アドレス帳などのデータを、Lotus Dominoサーバーとスマートフォンとの間で同期させるIBM Lotus Notes Travelerには、URLリダイレクトの脆弱性(CVE-2012-4824)、クロスサイトスクリプティングの脆弱性(CVE-2012-4825、CVE-2012-5307)、クロスサイトリクエストフォージェリーの脆弱性(CVE-2012-5308)、ブルートフォース攻撃に対して脆弱であるという問題(CVE-2012-5309)が存在します。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。