Hitach Incident Response Team

 11月18日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Tomcat 5.5.36/6.0.36/7.0.30での脆弱性対策(2012/11/05)

 11月5日、Tomcat 5.5.36/6.0.36/7.0.30で解決した脆弱性の情報が掲載されました。

 10月10日にリリースされたTomcat 5.5.36では、5.5.0~5.5.35に存在するDIGEST認証の脆弱性(CVE-2012-5885~CVE-2012-5887)を解決しています。なお、DIGEST認証の脆弱性には、当初CVE-2012-3439が割り当てられていましたが、3件の脆弱性に分かれることから、それぞれにCVE番号(CVE-2012-5885~CVE-2012-5887)が割り当てられました。これに伴い、CVE-2012-3439の使用が停止となりました。

 10月19日にリリースされたTomcat 6.0.36では、6.0.0~6.0.35に存在するDIGEST認証の脆弱性(CVE-2012-5885~CVE-2012-5887)、ヘッダーサイズの上限チェックに関連して、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-2733)を解決しています。

 9月6日にリリースされたTomcat 7.0.30では、7.0.0~7.0.29に存在するDIGEST認証の脆弱性(CVE-2012-5885~CVE-2012-5887)を解決しています。

マイクロソフト2012年11月の月例セキュリティアップデート(2012/11/14)

 11月の月例セキュリティアップデートでは、6件のセキュリティ更新プログラムを公開し、19件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です。このうち、セキュリティ更新プログラム(MS12-074)では、マイクロソフト製品がDLL(ダイナミックリンクライブラリー)ファイルを読み込む際に、攻撃者が細工した外部DLLの読み込みを許してしまう問題が発生し得る(DLLプリロード攻撃の)脆弱性に対処しました。

日立製品に複数の脆弱性(2012/11/01)

 Hitachi Device Manager Software、JP1/Automatic Job Management System 3、JP1/Automatic Job Management System 2には、サービス拒否攻撃を許してしまう脆弱性が存在します。脆弱性そのものの特性を評価するCVSS基本評価値(AV:N/AC:L/Au:N/C:N/I:N/A:P)は、攻撃元区分=ネットワーク、攻撃条件の複雑さ=低、攻撃前の認証要否=不要、機密性・完全性への影響=なし、可用性への影響=部分的で、いずれも認証操作なしでリモートからの攻撃を許してしまう脆弱性です。

 なお、Hitachi Device Manager SoftwareはSAN/NAS環境に接続された異機種ストレージ装置のリソースを統合管理する製品で、JP1/Automatic Job Management Systemは定型的な業務を自動化するための製品です。

制御システム系製品の脆弱性

■ABBのAC500 PLCシリーズ(2012/10/31)

 ABB(abb.com)のAC500 PLCシリーズには、サービス拒否攻撃を許してしまう脆弱性(CVE-2011-5007)が存在します。この問題は、AC500 PLCシリーズが同梱している制御システム用パッケージ製品であるCoDeSys(Controller Development System)のスタックオーバーフローの脆弱性(CVE-2011-5007)に起因しています。影響を受ける製品は、AC500 PLCシリーズのうち、ファームウエアバージョン2.1.3で、Webサーバー機能が有効になっている1SAP130/1SAP140/1SAP150/1TNE968です。

Cyber Security Bulletin SB12-317(2012/11/12)

 11月5日の週に報告された脆弱性の中から、Google Chromeの脆弱性を取り上げます(Vulnerability Summary for the Week of November 5, 2012)。

■Google Chrome 23.0.1271.64リリース(2012/11/06)

 11月6日にリリースされたChrome 23(23.0.1271.64)では、GPUアクセラレーションに含まれるビデオエンコーディングなど機能面の改善を施すとともに、メモリー破損、領域外のメモリー参照(out-of-bounds read)、メモリーの解放後使用(use-after-free)に関する問題など、計15件の脆弱性(CVE-2012-5115~CVE-2012-5128)を解決しています。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ


『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。