Hitach Incident Response Team

 10月28日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Shockwave Player 11.6.8.638リリース:APSB12-23(2012/10/23)

 Shockwave Player 11.6.8.638では、バッファオーバーフロー、配列処理に起因する任意のコード実行を許してしまう脆弱性6件(CVE-2012-5273、CVE-2012-4172~CVE-2012-4176)を解決しています。前回のアップデートは2012年8月で、2012年のリリース回数は4回です(図1)。

図1●Adobe Shockwave Playerのリリース回数
図1●Adobe Shockwave Playerのリリース回数

Firefox 16.0.2、Firefox ESR 10.0.10リリース(2012/10/26)

 Firefox 16.0.2、Firefox ESR 10.0.10では、クロスサイトスクリプティング攻撃やクロスオリジンによる情報漏洩を許してしまうLocationオブジェクトに関する問題3件(CVE-2012-4194~CVE-2012-4196)を解決しています。2012年のリリース回数は13回です(図2)。

図2●Firefoxリリース回数と平均間隔
図2●Firefoxリリース回数と平均間隔

Samba 3.6.9リリース(2012/10/29)

 Samba 3.6.9は、バグ修正を目的としたリリースで、smbdのセグメンテーションフォルトなど、約40件のバグを修正しています。セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■KorenixのJetPort 5600(2012/10/23)

 4ポートのシリアルデバイスサーバーで、HTTPS/SSHを利用した管理が可能なKorenix(korenix.com)のJetPort 5600には、アカウント情報(root、guest、admin)がハードコーディングされている問題(CVE-2012-4577)が存在します。なお、この問題は、10月23日に発見者のWebサイトから脆弱性の詳細が公開されたため、ICS-CERTでは、同日アドバイザリーを発行しました。

Cyber Security Bulletin SB12-296(2012/10/22)

 10月15日の週に報告された脆弱性の中から、EMCのNetWorker Module for Microsoft Applicationsの脆弱性を取り上げます(Vulnerability Summary for the Week of October 15, 2012)。

■EMC NetWorker Module for Microsoft Applications(2012/10/10)

 統合型バックアップとリカバリー製品であるEMC NetWorkerのEMC NetWorker Module for Microsoft Applicationsには、不正なメッセージを受信した場合に、任意のコード実行や情報漏洩を許してしまう脆弱性(CVE-2012-2284、CVE-2012-2290)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。