5月12日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
マイクロソフトInternet Explorer 8の脆弱性(2013/05/08)
2013年4月30日、米労働省のSite Exposure Matricesサイトが侵害され、脆弱性を攻撃する仕掛けが蔵置されました。攻撃手法は、攻撃対象組織の利用者が誘導Webサイトを閲覧するのを待ち受けるWatering Hole Attack(水飲み場攻撃)であると言われています。
当初、この脆弱性は、2013年1月に対策されたInternet Explorerの脆弱性(MS13-008、CVE-2012-4792)と思われていましたが、5月3日、この侵害活動に関連し、Internet Explorer 8に存在する新たな脆弱性(CVE-2013-1347)として、マイクロソフトからセキュリティアドバイザリーが発行されました。なお、Internet Explorer 8に存在する新たな脆弱性(CVE-2013-1347)については、5月の月例セキュリティアップデートMS13-038で解決されています(図1)。
米シスコCisco Unified Customer Voice Portal(2013/05/08)
電話でのセルフサービスを提供するCisco Unified Customer Voice Portalには、SIP INVITEパケット処理(CVE-2013-1220)、Tomcat Webアプリケーション(CVE-2013-1221)、Tomcat Web管理コンポーネント(CVE-2013-1222)、ログビューア(CVE-2013-1223)、リソースマネージャコンポーネント(CVE-2013-1224)、XMLエンティティ拡張処理(CVE-2013-1225)に脆弱性が存在します。脆弱性による影響は、サービス拒否攻撃、アクセス権限の昇格、任意のコード実行、情報漏洩、システムファイルの改ざんなどです。
Tomcat 7.0.40リリース(2013/05/09)
Tomcat 7.0.40では、7.0.0~7.0.39に存在する情報漏洩を許してしまう脆弱性(CVE-2013-2071)を解決しています。この問題は、直前のアクセスに関する情報が漏れてしまうもので、非同期処理のためのAsyncListenersを使用しているアプリケーションで発生する可能性が高いとしています。この問題は、2012年11月に事象として報告された後、2013年4月2日にバグとして処理を開始し、4月23日に脆弱性問題として認知され、5月10日、公開に至りました。
Tomcat 6.0.37での脆弱性対策(2013/05/10)
5月10日、Tomcat 6.0.37で解決した脆弱性の情報が掲載されました。
5月3日にリリースされたTomcat 6.0.37では、6.0.21~6.0.36に存在するセッションハイジャックを許してしまう脆弱性(CVE-2013-2067)、6.0.0~6.0.36に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2012-3544)を解決しています。サービス拒否攻撃は、転送エンコーディングとしてチャンク形式が使用された場合の処理に関連します。
PHP 5.4.15、PHP 5.3.25リリース(2013/05/09)
PHP 5.4.15、PHP 5.3.25は、バグ修正を目的としたリリースです。PHP 5.4.15では、Core、Zipで6件のバグを修正し、同梱されているlibmagicを5.14にアップデートします。PHP 5.3.25では、Core、Zipで5件のバグを修正しています。
Samba 3.6.15リリース(2013/05/08)
Samba 3.6.15は、Winbindの異常終了など、バグ修正を目的としたリリースで、4件のバグを修正しています。セキュリティアップデートは含まれていません。
