チェックしておきたい脆弱性情報＜2012.12.25＞

　12月9日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Tomcat 6.0.36、Tomcat 7.0.32/7.0.30/7.0.28での脆弱性対策（2012/12/04）

　12月4日、Tomcat 6.0.36、Tomcat 7.0.32/7.0.30/7.0.28で解決した脆弱性の情報が掲載されました。

　10月19日にリリースされたTomcat 6.0.36では、6.0.0～6.0.35に存在するセキュリティチェック機能の迂回を許してしまう脆弱性（CVE-2012-3546）、クロスサイトリクエストフォージェリー対策フィルターの迂回を許してしまう脆弱性（CVE-2012-4431）、サービス拒否攻撃を許してしまう脆弱性（CVE-2012-4534）を解決しています。

　10月9日にリリースされたTomcat 7.0.32では、7.0.0～7.0.31に存在するクロスサイトリクエストフォージェリー対策フィルターの迂回を許してしまう脆弱性（CVE-2012-4431）を解決しています。

　9月6日にリリースされたTomcat 7.0.30では、7.0.0～7.0.29に存在するセキュリティチェック機能の迂回を許してしまう脆弱性（CVE-2012-3546）を解決しています。

　6月19日にリリースされたTomcat 7.0.28では、7.0.0～7.0.27に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2012-4534）を解決しています。

• Apache：Apache Tomcat 6.x vulnerabilities
• Apache：Apache Tomcat 7.x vulnerabilities

Firefox 17.0.1（2012/11/30）

　Firefox 17.0.1では、フォントに関する問題、非互換性を生じるユーザーエージェント記述の問題など、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。非互換性を生じるユーザーエージェント記述の問題では、Geckoに続くgeckotrailを17.0から2010010に修正しています（図1）。通常、デスクトップ版のgeckotrailとして固定値"20100101"が付与されています。

　また、Firefox 17.0からHTML5対応として、iframeのsandbox属性をサポートしています。iframeの中でsandbox属性を指定すると、そのiframeによって組み込まれるコンテンツに制限を加えることができます。

• Mozilla：Firefox リリースノート　バージョン 17.0.1
• Mozilla：Gecko user agent string reference

BIND 9.8.4-P1、BIND 9.9.2-P1リリース（2012/12/04）

　BIND 9.8.4-P1、BIND 9.9.2-P1では、DNS64機能に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2012-5688）を解決しています。DNS64機能は、名前解決に関するIPv4/IPv6の差異を吸収する機能です。DNS64を有効にした（named.confにおいて"dns64"を設定）、BIND 9.8.0～9.8.4、9.9.0～9.9.2に影響があります。デフォルトではDNS64は無効です。

• ISC：CVE-2012-5688 [JP]: DNS64を利用するBIND 9サーバーが細工されたクエリによってクラッシュする
• JPRS：BIND 9.8.x/9.9.xにおけるDNS64の実装上のバグによるnamedのサービス停止について

PostgreSQL 9.2.2、9.1.7、9.0.11、8.4.15、8.3.22リリース（2012/12/06）

　PostgreSQL 9.2.2、9.1.7、9.0.11、8.4.15、8.3.22は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。なお、PostgreSQL 8.3系は、2013年2月にサポートを終了し、EOL（End-Of-Life）に入ることを明らかにしています。

• PostgreSQL：PostgreSQL 9.2.2, 9.1.7, 9.0.11 and 8.4.15 released

制御システム系製品の脆弱性

■ロックウェルのコントローラー製品（2012/12/07）

　ロックウェル（rockwellautomation.com）のAllen-Bradley MicroLogix、SLC 500、PLC-5コントローラーには、サービス拒否攻撃を許してしまう脆弱性（CVE-2012-4690）が存在します。ポート番号2222/TCP、2222/UDP、44818/TCP、44818/UDPにおいて不正なパケットを受信した場合に脆弱性を悪用される可能性があります。

• ICS-CERT：ICSA-12-342-01: Rockwell Allen-Bradley MicroLogix, SLC 500, and PLC-5 Fault Generation Vulnerability

Cyber Security Bulletin SB12-338（2012/12/03）

　11月26日の週に報告された脆弱性の中から、EMCのSmarts Network Configuration ManagerとRSA NetWitness Informerの脆弱性を取り上げます（Vulnerability Summary for the Week of November 26, 2012）。

■EMC Smarts Network Configuration Manager（2012/11/26）

　ネットワーク機器の構成管理するEMC Smarts Network Configuration Managerには、認証操作なしでデータベースアクセスを許してしまう脆弱性（CVE-2012-4614）、ハードコーディングされた暗号鍵を用いて資格情報を格納する脆弱性（CVE-2012-4615）が存在します。

• 米EMC：ESA-2012-057: EMC Smarts Network Configuration Manager Multiple Vulnerabilities

■RSA NetWitness Informer（2012/11/30）

　RSA NetWitnessプラットフォームで収集した情報を提供するRSA NetWitness InformerのWebインタフェースには、クロスサイトリクエストフォージェリー（CSRF）の脆弱性（CVE-2012-4608）、クリックジャッキングに利用できる脆弱性（CVE-2012-4609）が存在します。

• 米EMC：ESA-2012-052: RSA NetWitness Informer Cross-Site Request Forgery and Click-jacking Vulnerabilities

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。