Hitach Incident Response Team

 5月26日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップル QuickTime 7.7.4リリース(2013/05/22)

 QuickTime 7.7.4では、TeXML、H.263、H.264、MP3、Sorenson、JPEG、QTIFファイル処理に存在する計12件の問題を解決しています。脆弱性は、メモリー破損に起因して任意のコード実行やサービス拒否攻撃を許してしまう脆弱性3件、バッファオーバーフローに起因して任意のコード実行やサービス拒否攻撃を許してしまう脆弱性9件です。

Struts 2.3.14.1リリース(2013/05/22)

 WebアプリケーションフレームワークStrutsのバージョン2.3.14.1がリリースされました。このバージョンでは、任意のコマンド実行を許してしまう複数の脆弱性(CVE-2013-1965、CVE-2013-1966)を解決しています。いずれも、OGNL(Object Graph Navigation Language)が関係することから、OGNLの処理をデフォルト無効としました。CVE-2013-1965はOGNLの処理に起因するもので、Showcaseアプリケーションに存在する問題です。CVE-2013-1966はURLやAタグに記載されるincludeParams属性の処理に起因しています。

米シスコTelePresence Supervisor MSE 8050(2013/05/15)

 ビデオ会議向けのメディアサービスエンジンのシステム管理を支援するCisco TelePresence Supervisor MSE 8050には、TCPコネクションの確立処理に関連して、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-1236)が存在します。TCPコネクションの確立処理が終了する場合に、この脆弱性の影響を受けるとしています。

OpenSSH 6.2p2リリース(2013/05/16)

 OpenSSH 6.2p2は、ssh、sshdに存在するバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、identityファイルのエラー処理、セッション切断処理のバグや機能改善が施されています。

Samba 4.0.6リリース(2013/05/21)

 Samba 4.0.6では、Windows 8クライアントがsync処理をした場合に発生するsmbdの異常終了、Windows 2008からのログイン時のパスワード処理で発生する異常終了など、約30件のバグを修正しています。セキュリティアップデートは含まれていません。

Squid 3.3.5リリース(2013/05/20)

 Squid 3.3.5は、証明書の処理、SSL処理などのバグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■三菱電機のMX:CVE番号割当(2013/05/20)

 2013年4月に報告された三菱電機(mitsubishielectric.co.jp)のFactory Automation分野の製品で、パソコンとシーケンサーの通信を実装するためのMXコンポーネントの続報です。Active Xコントロールのバッファオーバーフローの脆弱性(CVE-2013-3075)にCVE番号が割り当てられました。

■3SのCoDeSys Gateway(2013/05/20)

 3S(3s-software.com)の制御システム用パッケージ製品であるCoDeSys(Controller Development System)のGatewayには、メモリーの解放後使用(use-after-free)に起因するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2781)が存在します。

日立製品の脆弱性

■TELstaff(2013/05/17)

 アラーム通知を管理するTELstaffシリーズ、JP1/Integrated Management - TELstaff Alarm Viewには、不正なメッセージを受信した場合に、管理者権限で任意のコマンド実行を許してしまう脆弱性が存在します。

Cyber Security Bulletin SB13-140(2013/05/20)

 5月13日の週に報告された脆弱性の中から、IBMのアプリケーションプロキシーサーバーであるSterling Secure Proxy、IBM Notesの脆弱性を取り上げます(Vulnerability Summary for the Week of May 13, 2013)。

■IBM Sterling Secure Proxy(2013/05/03)

 IBM Sterling Secure Proxy 3.4.1、3.4.0、3.3.0.1、3.2.0には、なりすまし(CVE-2013-0518)、情報漏洩(CVE-2013-0519、CVE-2013-0520)を許してしまう脆弱性が存在します。

■IBM Notes(2013/05/06)

 IBM Notes 8.5.x, 9.0には、PNGファイル処理にバッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性(CVE-2013-2977)が存在します。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。