Hitach Incident Response Team

 2013年3月上旬から、Apache HTTPサーバーを対象として"Darkleech Apache Module"と呼ばれる不正なApacheモジュールの蔵置に関するインシデントが国内で多数報告されています。

■Apache HTTPサーバー
 不正なApache HTTPサーバーのモジュールはmod_*.soとしてインストールされます。これは、サーバーへのHTTPアクセスが発生した際、その応答データにiframeタグなどを挿入する機能を持ちます。この機能により、マルウエア感染サイトに誘導するページに改ざんされる可能性があります(図1)。

■クライアントPC
 "Darkleech Apache Module"によって改ざんされたページを閲覧すると、マルウエア感染サイトに誘導され、古いバージョンのAdobe Reader、Adobe Flash、Javaを使用している場合には、マルウエアに感染する可能性があります。

図1●不正なApacheモジュールによる誘導の流れ
[画像のクリックで拡大表示]

 ここからは、3月17日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Adobe Flash Player 11.6.602.180リリース:APSB13-09(2013/03/12)

 バッファオーバーフロー、メモリーの解放後使用(use-after-free)、整数オーバーフローに起因する任意のコード実行を許してしまう 4件の脆弱性(CVE-2013-0646、CVE-2013-0650、CVE-2013-1371、CVE-2013-1375)を解決した Adobe Flash Player 11.6.602.180、Linux 版 11.2.202.275、Adobe AIR 3.6.0.6090がリリースされました。

マイクロソフト2013年3月の月例セキュリティアップデート(2013/03/13)

 2月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、20件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です。また、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB13-09)対応がリリースされました。

米アップル製品に複数の脆弱性

■Safari 6.0.3リリース(2013/03/14)

 Safari 6.0.3では、WebKitコンポーネントに存在する脆弱性、計17件を解決しています。具体的には、不正なサイトにアクセスした際に任意のコード実行やサービス拒否攻撃を許してしまう脆弱性、クロスサイトスクリプティングの脆弱性などです。

■セキュリティアップデート2013-001(2013/03/14)

 Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7~v10.7.5、OS X Lion Server v10.7~v10.7.5、OS X Mountain Lion v10.8~v10.8.2のセキュリティアップデートがリリースされました。影響を受けるパーツは、Apache、CoreTypes、International Components for Unicode(ICU)、Identity Services、ImageIO、IOAcceleratorFamily、カーネル、ログインウインドウ、メッセージ、メッセージサーバー、PDFKit、Podcast プロデューササーバー、Podcast プロデューササーバー、PostgreSQL、プロファイルマネージャ、QuickTime、Ruby、セキュリティ、ソフトウエア・アップデート、Wikiサーバー、マルウエアの除去で、計21件の脆弱性を解決しています。

RealPlayer 16.0.1.18リリース(2013/03/15)

 Windows版RealPlayer 16.0.1.18、Mac版RealPlayer 12.0.1.1738では、Windows版RealPlayer 11.0~11.1、RealPlayer SP 1.0~1.1.5、RealPlayer 14.0.0~16.0.0.0、Mac版RealPlayer 12.0.0.1701のMP4ファイル再生処理に存在するヒープ オーバーフローに関する脆弱性(CVE-2013-1750)を解決しています。

Squid 3.3.3、3.2.9リリース(2013/03/12)

 Squid 3.3.3、3.2.9では、Accept-Languageヘッダー処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1839)を解決するとともに、認証関連のヘッダー処理などのバグを修正しています。脆弱性は、エラー応答する際の言語選択に関してループ状態が発生すると、サービスを提供できない状態に陥ってしまうというものです。影響を受けるバージョンは、Squid 3.2~3.2.8、Squid 3.3~3.3.2です。

Struts 2.3.12リリース(2013/03/06)

 WebアプリケーションフレームワークStrutsのバージョン2.3.12がリリースされました。バージョン2.3.12では、Struts 2.3.8 conventionプラグインがJBoss 5.1上のEAR(Enterprise ARchive)で動作しないという問題など、計34件のバグ修正と12件の改善などを目的としたリリースです。セキュリティアップデートは含まれていません。

Cyber Security Bulletin SB13-070(2013/03/13)

 3月4日の週に報告された脆弱性の中から、Wiresharkの脆弱性を取り上げます(Vulnerability Summary for the Week of March 4, 2013)。

■Wireshark 1.8.6, 1.6.14リリース(2013/03/06)

 Wireshark 1.8.6、1.6.14では、DTLS(Datagram Transport Layer Security)、RELOAD(REsource LOcation And Discovery)、FSCP(Fibre Channel Security Protocol)、CIMD(Computer Interface to Message Distribution)、ACN(Architecture for Control Networks)、AMQP(Advanced Message Queuing Protocol)、Mount、RTPS(Real-Time Publish-Subscribe)、RTPS2、MPLS(MultiProtocol Label Switching)
MS-MMS(Microsoft Media Server)、CSN.1(Concrete Syntax Notation 1)、HART/IP(Highway Addressable Remote Transducer over IP)、TCP処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2475~CVE-2013-2488)を解決しています。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。