チェックしておきたい脆弱性情報＜2013.03.13＞

　3月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Adobe Flash Player 11.6.602.171リリース：APSB13-08（2013/02/26）

　Firefox版Flash Playerのサンドボックスに関する問題（CVE-2013-0643）、任意のコード実行を許してしまう脆弱性（CVE-2013-0648、CVE-2013-0504）を解決したAdobe Flash Player 11.6.602.171、Linux版 11.2.202.273がリリースされました（図1）。CVE-2013-0643、CVE-2013-0648については、不正なFlashファイルに誘導してリンクをクリックさせる侵害活動が報告されています。

　また、バージョン11.6.602.171に合わせて、米アップルからは、Safariで古いバージョンのFlash Playerを利用できないようにするXProtect.plistがリリースされました。OS X用のAdobe Flash Player Webプラグインは、XProtect.plistに従い、古いバージョンのFlash Player利用をブロックします。

• 米アドビ システムズ：APSB13-08: Adobe Flash Player に関するセキュリティアップデート公開
• 米アップル：OS X: Adobe Flash Player Web plug-in blocked

Apache HTTPサーバー 2.2.24、2.4.4リリース（2012/02/26）

　Apache HTTPサーバー 2.2.24、2.4.4では、mod_info、mod_status、mod_imagemap、mod_ldap、and mod_proxy_ftpモジュールでのクロスサイトスクリプティングの脆弱性（CVE-2012-3499）、mod_proxy_balancerモジュールでのクロスサイトスクリプティングの脆弱性（CVE-2012-4558）を解決しています。いずれの脆弱性も2.2.x系、2.4.x系に影響があるものです。

• Apache：Fixed in Apache httpd 2.2.24
• Apache：Fixed in Apache httpd 2.4.4

米シスコ製品に複数の脆弱性

■Prime Central for Hosted Collaboration Solution Assurance（2013/02/27）

　Cisco Prime Central for Hosted Collaboration Solution（HCS）Assuranceには、ポート番号9043/TCP、9443/TCPで不正なTLSメッセージを受信した場合にサービス拒否攻撃を許してしまう脆弱性（CVE-2013-1135）が存在します。Cisco Prime Central for HCS Assuranceは、複数の情報源からのデータを集約して表示するための製品です。

• シスコ：cisco-sa-20130227-hcs: Cisco Prime Central for Hosted Collaboration Solution Assurance Excessive CPU Utilization Vulnerability

■Unified Communications Manager（2013/02/27）

　IPテレフォニーのための呼処理の基盤であるUnified Communications Managerには、未使用のUDPポートで不正なパケットを受信した場合にサービス拒否攻撃を許してしまう脆弱性（CVE-2013-1133）、認証されていないリモートの攻撃者にLBM（Location Bandwidth Manager）のトランザクションレコードの操作を許してしまう脆弱性（CVE-2013-1134）が存在します。脆弱性を悪用して使用可能帯域幅を制御された場合、サービス拒否状態に陥る可能性があります。

• シスコ：cisco-sa-20130227-cucm: Cisco Unified Communications Manager Multiple Denial of Service Vulnerabilities

■Unified Presence Server（2013/02/27）

　在席状態や利用可能なコミュニケーション手段に関する情報を管理するUnified Presence Serverには、ポート番号5060/TCPで不正なSIP（Session Initiation Protocol）パケットを受信した場合にサービス拒否攻撃を許してしまう脆弱性（CVE-2013-1137）が存在します。

• シスコ：cisco-sa-20130227-cups: Cisco Unified Presence Server Denial of Service Vulnerability

Firefox 19.0.1リリース（2013/02/27）

　Firefox 19.0.1では、Windows 8環境下で特定のグラフィックスカードで不安定になる問題を修正しています。

• Mozilla：Firefox リリースノート:バージョン19.0.1 - 2013/02/27リリース

Squid 3.3.2、3.2.8リリース（2013/03/01）

　Squid 3.3.2、3.2.8は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。

• Squid：Squid 3.3.2 changes
• Squid：Squid 3.2.8 changes

Cyber Security Bulletin SB13-056（2013/02/25）

　2月18日の週に報告された脆弱性の中から、ヒューレット・パッカードのHP ArcSight Connector ApplianceとArcSight Loggerの脆弱性を取り上げます（Vulnerability Summary for the Week of February 18, 2013）。

■HP ArcSight Connector Appliance、ArcSight Logger（2013/02/14）

　ログ収集とログフォーマット変換のための仕組みであるHP ArcSight Connector ApplianceとArcSight Loggerには、情報漏洩を許してしまう脆弱性（CVE-2012-3286、CVE-2012-5198）、コマンドインジェクションによる任意のコマンド実行を許してしまう脆弱性（CVE-2012-5199）、クロスサイトスクリプティングの脆弱性（CVE-2012-2960）が存在します。

• HP：HPSBMU02836 SSRT101056 - HP ArcSight Connector Appliance and ArcSight Logger, Remote Disclosure of Information, Command Injection, Cross-Site Scripting（XSS）

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。