Hitach Incident Response Team

 2月24日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズAdobe Reader XI(11.0.02)、X(10.1.6)、9.5.4リリース:APSB13-07(2013/02/21)

 Windows、Mac版Adobe Reader並びにAcrobatのバージョンXI(11.0.02)、X(10.1.6)、9.5.4がリリースされました。これらのリリースでは、メモリーの解放後使用(use-after-free)、バッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性(CVE-2013-0640、CVE-2013-0641)を解決しています。報告された脆弱性は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください(図1)。

図1●脆弱性(CVE-2013-0640、CVE-2013-0641)の対応経緯
図1●脆弱性(CVE-2013-0640、CVE-2013-0641)の対応経緯

Java SE 7 Update 15、Java SE 6 Update 41リリース(2013/02/19)

 Java SE 7 Update 15ではUpdate 13並びにそれ以前に存在する5件、Java SE 6 Update 41では Update 39並びにそれ以前に存在する3件の脆弱性を解決しています。これらのリリースは、2月1日の定例セキュリティアップデートの追加分という位置付けになります。

米アップルJava for OS X、Java for Mac OS Xセキュリティアップデート(2013/02/19)

 Java SE 6 Update 41リリースに合わせて、セキュリティアップデートJava for Mac OS X 10.6 Update 13、Java for OS X 2013-001がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_41に更新し、約30件の脆弱性を解決しています。

Firefox 19.0、ESR 17.0.3リリース(2013/02/19)

 Firefox 19.0では、メモリーの解放後使用(use-after-free)、メモリー破損、オーバーフロー、領域外のメモリー参照(out-of-bounds read)などに起因し、任意のコード実行を許してしまう脆弱性など、8件のセキュリティアドバイザリーに含まれる計14件の脆弱性を解決しています(図2)。

図2●Firefox 19.0、Thunderbird 17.0.3での対応
図2●Firefox 19.0、Thunderbird 17.0.3での対応

Thunderbird 17.0.3、ESR 17.0.3リリース(2013/02/19)

 Thunderbird 17.0.3では、メモリーの解放後使用(use-after-free)、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性脆弱性など、8件のセキュリティアドバイザリーに含まれる脆弱性を解決しています(図2)。

PHP 5.4.12、PHP 5.3.22リリース(2013/02/21)

 PHP 5.4.12、PHP 5.3.22は、バグ修正を目的としたリリースです。PHP 5.4.12では、Core、Date、FPM(FastCGI Process Manager)、Litespeed、sqlite3、PDO_OCI(PHP Data Objects用のOracle Call Interface)、PDO_sqliteで約20件のバグを修正しています。PHP 5.3.22では、Zend Engine、Core、Date、FPM、SPL(Standard PHP Library)で約5件のバグを修正しています。なお、5.3系は、2013年3月にEOL(End-Of-Life)に入ることから、5.4系へのアップグレードを推奨しています。

Tomcat 7.0.37リリース(2013/02/18)

 Tomcat 7.0.37は、Tomcat 7.0.35で提供しているJspCツールの不具合の改修、BIO(Blocking I/O)とNIO(Nonblocking I/O)コネクターでのSSL処理の改善、Apache Commons Daemon 1.0.13へのアップデートなど、既存バージョンに存在するバグの修正を目的としたリリースで、4件のバグを修正しています。リリース時点で、セキュリティアップデートの報告はありません。なお、バージョン7.0.36はリリースされていませんが、約20件のバグが修正されています。

BIND 10 1.0.0リリース(2013/02/22)

 BIND 10系のファーストリリース版であるBIND 10 1.0.0では、アーキクチャー全体を見直し、コンポーネントの独立性を高めて実装されています。

制御システム系製品の脆弱性

■3SのCoDeSys Gateway-Server(2013/02/19)

 3S(3s-software.com)の制御システム用パッケージ製品であるCoDeSys(Controller Development System)のGateway-Serverには、メモリーアクセスに関する脆弱性(CVE-2012-4707)、情報漏洩を許してしまうディレクトリートラバーサルの脆弱性(CVE-2012-4705)など、複数の脆弱性が存在します。このうち、メモリーアクセスに関する脆弱性(CVE-2012-4704)、ヒープオーバーフローの脆弱性(CVE-2012-4706)、スタックオーバーフローの脆弱性(CVE-2012-4708)については、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性であり、ポート番号1211/TCPで不正なパケットを受信した場合に影響を受ける可能性があります。

■ハネウェルのEBI、SymmetrE、CPO-M Station(2013/02/22)

 ハネウェル(honeywell.com)のビル運用管理システム製品であるEBI(Enterprise Buildings Integrator)、SymmetrE、CPO-M(ComfortPoint Open Manager)StationのActiveXコントロールには、入力データの検証不備に起因し、任意のコード実行を許してしまう脆弱性(CVE-2013-0108)が存在します。

日立製品に脆弱性(2013/02/22)

 稼働を統合的に管理することを目的とした製品であるHitachi Tuning Manager、JP1/Performance Management - Web Console、JP1/Performance Management - Manager Web Optionに、クロスサイトスクリプティングおよびクロスサイトリクエストフォージェリーの脆弱性が存在します。

 Cosminexus Developer's Kit for Javaを構成部品として使用しているCosminexus製品には、複数の脆弱性が存在します。脆弱性は、2月の定例セキュリティアップデートとその追加分であるJava SE 7 Update 13/ Update 15、Java SE 6 Update 39/Update 41で解決されたセキュリティ問題です。

Cyber Security Bulletin SB13-049(2013/02/18)

 2月11日の週に報告された脆弱性の中から、コンテンツ管理システムとして知られているJoomla!の脆弱性を取り上げます(Vulnerability Summary for the Week of February 11, 2013, 2013)。

■Joomla! - Core(2013/02/04)

 Joomla!のバージョン3.0.2並びにそれ以前には、符号化方法、未定義変数、コーディングエラーに起因し、情報漏洩を許してしまう複数の脆弱性(CVE-2013-1453~CVE-2013-1455)が存在します。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。