チェックしておきたい脆弱性情報＜2013.01.22＞

　1月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 11リリース（2013/01/13）

　Java SE 7 Update 11では、新たに発見された計2件の脆弱性（CVE-2013-0422、CVE-2012-3174）を解決しています。このうちCVE-2013-0422は、Exploit Kitと呼ばれている攻撃コードツールキット群で利用されており、Exploit Kitを用いた侵害活動も既に確認されています。なお、脆弱性の対策状況については、1月17日に、MITREから発信されたCVE-2013-0422の注意書きを参照してください（図1）。

　影響を受けるバージョンはJDK/JRE 7のみです。JDK/JRE 6系、5系、1.4.2系、Java SE Embedded JREには影響はありません。Webブラウザーで稼働するJava 環境に影響はありますが、サーバー側で稼働するJava環境、スタンドアロンのJavaデスクトップアプリケーション、組み込み向けJavaアプリケーションには影響はありません。

• オラクル：Oracle Security Alert for CVE-2013-0422
• オラクル：Java SE 7 Update 11リリースノート
• MITRE：CVE-2013-0422

米アドビ システムズ製品に複数の脆弱性

■Adobe Reader XI（11.0.1）、X（10.1.5）、9.5.3リリース：APSB13-02（2013/01/09）

　Windows版、Mac版 Adobe ReaderならびにAcrobatのバージョンXI（11.0.1）、X（10.1.5）、9.5.3 がリリースされました。これらの リリースでは、メモリー破損 7件、メモリーの解放後使用（use-after-free）、ヒープバッファオーバーフロー（2件）、スタックバッファオーバーフロー（2件）、前述以外のバッファオーバーフロー（5件）、整数オーバーフロー（2件）、ロジックエラー（5件）に起因する任意のコード実行を許してしまう脆弱性、アクセス権限の昇格ならびにセキュリティ機構の迂回を許してしまう脆弱性、計27件（CVE-2012-1530、CVE-2013-0601～CVE-2013-0627）を解決しています。

• 米アドビ システムズ：APSB13-02: Adobe ReaderおよびAcrobatに関するセキュリティアップデート公開

■Flash Player 11.5.502.146 リリース：APSB13-01（2013/01/09）

　バッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性（CVE-2013-0630）を解決したAdobe Flash Player 11.5.502.146、Linux版11.2.202.261 がリリースされました。

• 米アドビ システムズ：APSB13-01: Adobe Flash Player に関するセキュリティアップデート公開

マイクロソフト2013年1月の月例セキュリティアップデート（2013/01/08）

　1月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、12件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、セキュリティ機構の迂回です。また、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム（APSB13-01）対応がリリースされました。

• マイクロソフト：2013年1月のセキュリティ情報
• マイクロソフト：マイクロソフト セキュリティ アドバイザリー（2755801）: Internet Explorer 10上のAdobe Flash Playerの脆弱性用の更新プログラム

米シスコ製品に複数の脆弱性

■Cisco Unified IP Phones 7900シリーズ（2013/01/09）

　IP電話Cisco Unified IP Phones 7900シリーズには、ローカルの攻撃者による任意のコード実行を許してしまう脆弱性（CVE-2012-5445）が存在します。この問題は、入力に対する検証が適切ではないことに起因します。

• シスコ：cisco-sa-20130109-uipphone: Cisco Unified IP Phone Local Kernel System Call Input Validation Vulnerability

■Cisco Prime LAN Management（2013/01/09）

　ネットワークライフサイクル管理機能を提供するCisco Prime LAN Managementには、認証操作なしでリモートから管理者権限で任意のコマンド実行を許してしまう脆弱性（CVE-2012-6392）が存在します。この問題は、TCPポートで受信したコマンドに対する検証が適切ではないことに起因します。

• シスコ：cisco-sa-20130109-lms: Cisco Prime LAN Management Solution Command Execution Vulnerability

DHCP 4.1-ESV-R8、DHCP 4.2.5リリース（2013/01/09）

　DHCP 4.2.5は、DHCP 4.2.4-P1、DHCP 4.2.4-P2での脆弱性対策を取り込んだリリースです。脆弱性対策は、DHCPに存在するメモリーリーク問題（CVE-2012-3954：DHCP 4.2.4-P1）、不正なクライアント識別子によってサーバープロセスが無限ループに陥る問題（CVE-2012-3571：DHCP 4.2.4-P1）、不正なクライアント識別子を持つクライアントからのアクセスによってDHCPv6モードで動作するサーバーが異常終了する問題（CVE-2012-3570：DHCP 4.2.4-P1）、DHCPサーバーのDHCPv6のリース処理に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2012-3955：DHCP 4.2.4-P2）の4件です。

　DHCP 4.1-ESV-R8は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

• ISC：DHCP 4.1-ESV-R8 Release Notes
• ISC：DHCP 4.2.5 Release Notes