Hitach Incident Response Team

 12月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

D-rootサーバーのIPアドレス変更(2013/01/03)

 2012年12月14日、DNSルートサーバーの一つである、D.root-servers.netのIPv4アドレス変更予告がアナウンスされました。

 2013年1月3日、D.root-servers.netのIPv4アドレスが128.8.10.90=>199.7.91.13に変更されました(図1)。IPv6アドレス2001:500:2d::dに変更はありません。キャッシュDNSサーバーを運用している場合には、internic.netから新しいルートヒントファイルをダウンロードしてください。なお、D.root-servers.netの変更前IPv4アドレス128.8.10.90は、移行後も6カ月利用できるとのことです。

図1●D.root-servers.netのIPv4アドレス変更
図1●D.root-servers.netのIPv4アドレス変更

VMwareのセキュリティアップデート(VMSA)

■VMSA-2012-0017(2012/12/13)

 VMSA-2012-0017では、View Connection ServerとView Security Serverに存在し、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2012-5978)を解決しています。影響を受ける製品は、VMware View 5.xとVMware View 4.xです。

■VMSA-2012-0018(2012/12/20)

 VMSA-2012-0018では、vCSA(vCenter Server Appliance)とESXiに存在する脆弱性を解決しています。vCSAには、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2012-6324)と、XML処理に起因し、任意のファイルダウンロードを許してしまう脆弱性(CVE-2012-6325)が存在します。また、ESXiでは、glibcパッケージに存在する10件の脆弱性を解決するために、glibc-2.5-81.el5_8.1にアップデートします。

Squid cachemgr.cgiの脆弱性(2012/12/17)

 Squid 2.x、Squid 3.0.x、Squid 3.1~3.1.21、Squid 3.2~3.2.3、Squid 3.3.0.1のSquid cachemgr.cgiには、不正な要求を受信した場合にサービス拒否攻撃を許してしまう脆弱性が存在します。入力データの検証が適切ではないためです。この脆弱性はリソース消費を伴うため、サーバー自体がサービス拒否状態に陥る可能性があります。なお、この問題は、Squid 3.3.0.2、3.2.4、3.1.22で解決されています。

Samba 3.5.20リリース(2012/12/17)

 Samba 3.5.20はバグ修正を目的としたリリースで、"log level=10"を設定したときなどに発生するセグメンテーション違反、ACLのマスク設定など、6件のバグを修正しています。セキュリティアップデートは含まれていません。

PHP 5.4.10、PHP 5.3.20リリース(2012/12/20)

 PHP 5.4.10、PHP 5.3.20は、バグ修正を目的としたリリースです。PHP 5.4.10では、Apache2 Handler SAPI、Core、Date、FPM(FastCGI Process Manager)、Fileinfo、IMAP、JSON、MySQL、MySQLnd、Pdo_sqlite、Reflection、SOAP、Socketsなど、約20件のバグを修正しています。

 PHP 5.3.20では、Apache2 Handler SAPI、Core、Date、FPM、Fileinfo、IMAP、MySQLnd、Reflection、Zend Engineなど、約15件のバグを修正しています。また、PHP 5.3系は、2013年3月にEOL(End-Of-Life)に入ることを明らかにしています。

MySQL Community Server 5.1.67、5.5.29リリース(2012/12/21)

 MySQL Community Server 5.1.67、5.5.29では、InnoDB Storage Engineならびにレプリケーション処理などに存在する約20件のバグの修正を目的としたリリースです。セキュリティアップデートについては、明示されていません。また機能的な変更点として、MySQL 5.5系では、MySQL関係者の情報を表示するSHOW AUTHORS(MySQL 5.1.3で追加)、SHOW CONTRIBUTORS(MySQL 5.1.12で追加)ステートメントを廃止しており、MySQL 5.6系では、これらステートメントを削除していることを挙げています。

Struts 2.3.8リリース(2012/12/22)

 WebアプリケーションフレームワークStrutsのバージョン2.3.8がリリースされました。バージョン2.3.8は、15件のバグ修正と8件の改善などを目的としたリリースです。セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■RuggedComのRugged Operating System(ROS):CVE番号割当(2012/12/19)

 2012年8月に報告されたRuggedCom(rugged.com)のRugged Operating System(ROS)の続報です。RSA SSL秘密鍵がハードコーディングされているという問題にCVE番号(CVE-2012-4698)が割り当てられました。Rugged OSのバージョン3.11ならびにそれ以前、RX1000、RX1100シリーズのROX I OSファームウエア、RX5000、RX1500シリーズのROX II OSファームウエア、Win7000、Win7200、Win5100、Win5200で使用されているRuggedMaxOSファームウエアが影響を受けます。

■Carlo GavazziのEOS Box(2012/12/19)

 太陽光発電システム系の製品であるCarlo Gavazzi(gavazzi-automation.com、carlogavazzi.com)のEOS Boxには、PHPファイルにパスワードがハードコーディングされているという脆弱性(CVE-2012-6428)、SQLインジェクションの脆弱性(CVE-2012-6427)が存在します。

Cyber Security Bulletin SB12-352(2012/12/17)

 12月10日の週に報告された脆弱性の中から、Google Chromeの脆弱性を取り上げます(Vulnerability Summary for the Week of December 10, 2012)。■Google Chrome 23.0.1271.97リリース(2012/12/11)

 12月11日にリリースされたChrome 23.0.1271.97では、メモリーの解放後使用(use-after-free)、整数オーバーフロー、スタック破損など計6件の脆弱性(CVE-2012-5139~CVE-2012-5144)を解決しています。また12月17日には、オーディオ系のバグを修正したMac版Chrome 23.0.1271.101がリリースされました。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。