2月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Portable UPnP SDK(libupnp 1.6.18)リリース(2013/01/29)
UPnP(Universal Plug and Play)は、機器をネットワークに接続するだけで、ネットワーク上での機能の相互利用を実現するための仕様です。この仕様実装の一つであるlibupnpには、ネットワーク上の機器を検出するSSDP(Simple Service Discover Protocol)処理に任意のコード実行を許してしまう脆弱性が存在します。この問題は、バッファオーバーフローに起因し、libupnp 1.6.17並びにそれ以前のバージョンに影響があります。
発見者であるRapid7によれば、libupnpをベースとした実装が多数存在し、1500を越える製品に影響し、ベンダー数は200を越えるとしています。
- Vulnerability Note VU#922681: Portable SDK for UPnP Devices(libupnp)contains multiple buffer overflows in SSDP
- シスコ:cisco-sa-20130129-upnp: Portable SDK for UPnP Devices Contains Buffer Overflow Vulnerabilities
Java SE 7 Update 13、Java SE 6 Update 39リリース(2013/02/01)
Java SE 7 Update 13ではUpdate 11並びにそれ以前に存在する38件、Java SE 6 Update 39ではUpdate 38並びにそれ以前に存在する33件の脆弱性を解決しています。このほか、計50件のセキュリティアップデートには、5.0 Update 38並びにそれ以前に存在する21件、1.4.2_40並びにそれ以前に存在する15件、JavaFX 2.2.4並びにそれ以前に存在する13件の対策が含まれています。このうち49件は、認証操作なしでリモートからの攻撃を許してしまう脆弱性を解決するものです。
- オラクル:Oracle Java SE Critical Patch Update Advisory - February 2013
- オラクル:Java SE 7 Update 13リリースノート
- オラクル:Java SE 6 Update 39リリースノート
米アップル製品に複数の脆弱性
■iOS 6.1リリース(2013/01/28)
iOS 6.1では、Identity Services、International Components for Unicode、カーネル、セキュリティ、StoreKit、WebKit、WiFiコンポーネントに存在する約30件の脆弱性を解決しています。セキュリティコンポーネントでは、認証局TURKTRUSTから発行された中間CA証明書の失効が含まれています。
■Apple TV 5.2リリース(2013/01/28)
Apple TV 5.2では、ユーザーモードプロセスからのカーネルメモリーの一部へのアクセスを許してしまう脆弱性(CVE-2013-0964)、領域外のメモリー参照(out-of-bounds read)の原因となりサービス拒否攻撃を許してしまう脆弱性(CVE-2012-2619)を解決しています。
Samba 4.0.2、3.6.12、3.5.21リリース(2013/01/30)
Samba 4.0.2、3.6.12、3.5.21では、SWAT(Samba Web Administration Tool)に存在するクリックジャッキング問題(CVE-2013-0213)とクロスサイトリクエストフォージェリー問題(CVE-2013-0214)を解決しています。Samba 3.0.x~4.0.1に影響があります。クリックジャッキングは、悪質なサイトなどへのリンクをユーザーに疑わせずにクリックさせるために、リンクを隠すように上に重ねて正規ページを配置するもので(図1)、2008年頃に出始めた手法です。
- Samba:Incorrect permission checks when granting/removing privileges can compromise file server security.
- Samba:Incorrect permission checks when granting/removing privileges can compromise file server security.
- Samba:Samba 4.0.2 Available for Download
VMwareセキュリティアップデート:VMSA-2013-0001(2013/01/30)
VMwareセキュリティアップデートでは、vCenter Server、vSphere Client、ESXの認証サービスに存在する脆弱性(CVE-2013-1405)、ESX/ESXiに同梱されているサードパーティー製ライブラリーlibxml2に存在する脆弱性(CVE-2011-3102、CVE-2012-2807)、ESXサービスコンソールのBINDならびにlibxsltライブラリーパッケージに存在する脆弱性、計9件を解決しています。
Squid 3.2.7リリース(2013/02/01)
Squid 3.2.7は、バグ修正を目的としたもので、セキュリティアップデートは含まれていません。メモリーリークのバグなど約20件を修正しています。
日立製品に脆弱性(2013/01/28)
Cosminexusの運用管理機能に認証されていないユーザーに、運用管理ポータルの操作を許してしまう脆弱性が存在します。脆弱性を悪用された場合、業務アプリケーションの削除や入れ替えなどが発生する可能性があります。
Cyber Security Bulletin SB13-028(2013/01/28)
1月21日の週に報告された脆弱性の中から、EMCのAlphaStorの脆弱性を取り上げます(Vulnerability Summary for the Week of January 21, 2013)。
■EMC AlphaStor(2013/01/18)
バックアップとリカバリーのソフトウエア製品NetWorkerと連携して、テープ装置を管理するAlphaStor 4.0 build 800より前のバージョンには、任意のコマンド実行を許してしまう脆弱性(CVE-2013-0928、CVE-2013-0929)が存在します。脆弱性は、Device Manager(rrobotd.exe)のDCP(Drive Control Program)のコマンド処理と_vsnsprintf関数の書式文字列処理に起因しています。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
