Hitach Incident Response Team

 DNSサーバーがOpen DNS Resolverかどうかをチェックできるサイトの追加情報です。DNSInspect(http://www.dnsinspect.com/)では、Open DNS Resolverのチェックだけではなく、DNSサーバーのNSレコード、SOAレコード、MXレコードなどの状態をチェックした後、数値化して表示します(図1)。なお、Open DNS Resolverのチェックは、NSレコードの項目の一つであるAllow Recursive Queriesとなります。

図1●DNSInspectによるチェック結果の例
[画像のクリックで拡大表示]

 ここからは、4月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 20.0、ESR 17.0.5リリース(2013/04/02)

 Firefox 20.0では、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、11件のセキュリティアドバイザリーに含まれる計13件の脆弱性を解決しています(図2)。

図2●Firefox 20.0、Thunderbird 17.0.5での対応
図2●Firefox 20.0、Thunderbird 17.0.5での対応

Thunderbird 17.0.5、ESR 17.0.5リリース(2013/04/02)

 Thunderbird 17.0.5では、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、11件のセキュリティアドバイザリーに含まれる計10件の脆弱性を解決しています(図2)。

PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17リリース(2013/04/04)

 PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17では、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-1899)を解決しています。この問題は、"-"(ハイフン)で始まるデータベース名を含む不正な接続リクエストにより、CVE-2013-1899の脆弱性を悪用された場合、データベース内のファイルを損傷、破壊される可能性があります。

 このほかに、contrib/pgcrypto 関数により生成される乱数値の推測を許してしまう脆弱性(CVE-2013-1900)、権限のないユーザーがバックアップへの介入を許してしまう脆弱性(CVE-2013-1901)、LinuxおよびMac OS X用のインストーラーに存在する脆弱性(CVE-2013-1902、CVE-2013-1903)を解決しています。なお、PostgreSQL 8.3系は、2013年2月にサポートを終了し、EOL(End-Of-Life)に入っています。

VMwareセキュリティアップデート:VMSA-2013-0005(2013/04/04)

 VMwareセキュリティアップデートでは、VMware vFabric Postgreに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1899)、contrib/pgcrypto 関数により生成される乱数値の推測を許してしまう脆弱性(CVE-2013-1900)、権限のないユーザーによるバックアップへの介入を許してしまう脆弱性(CVE-2013-1901)を解決しています。この問題は、PostgreSQL 9.2.4、9.1.9、9.0.13、8.4.17リリースに合わせたセキュリティアップデートです。

Samba 3.6.0~3.6.5に脆弱性(2013/04/02)

 2013年4月2日、Samba 3.6.0~3.6.5に存在する脆弱性(CVE-2013-0454)の情報が掲載されました。この問題は、CIFS共有属性を適切に処理しないことに起因し、read only = noと設定しても、read only = yesと処理される可能性があるというものです。SMB2をサポートするSamba 3.6.0~3.6.5のみに存在し、2012年6月25日にリリースされたSamba 3.6.6で解決されています。