Hitach Incident Response Team

 6月2日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

BIND 9.9.3、9.8.5、BIND 9.6-ESV-R9リリース(2013/05/29)

 BIND 9.9.3、BIND 9.8.5では、DNS64とRPZ(Response Policy Zones)の双方が有効になっていて、さらに特定の条件で競合した場合に、サービス拒否攻撃を許してしまう脆弱性(CVE-2012-5689)、libdnsライブラリー(CVE-2013-2266)、DNS64機能(CVE-2012-5688)に存在するサービス拒否攻撃を許してしまう脆弱性を解決しています。いずれも、BIND 9.9.2-P2、BIND 9.8.4-P2までに対策されてきた脆弱性です。また、これらのバージョンには、check-spfという新しい設定オプションが用意されました。

 BIND 9.6-ESV-R9では、BIND 9.6-ESV-R7、BIND 9.6-ESV-R8までに対策されてきたサービス拒否攻撃を許してしまう脆弱性(CVE-2012-3817、CVE-2012-1667)を解決しています。

Struts 2.3.14.2リリース(2013/05/26)

 WebアプリケーションフレームワークStrutsのバージョン2.3.14.1での脆弱性(CVE-2013-1966)対策が不完全であることから、バージョン2.3.14.2がリリースされました。このバージョンでは、任意のコマンド実行を許してしまう脆弱性(CVE-2013-2115、CVE-2013-1966)を解決しています。脆弱性(CVE-2013-1966)は、URLやAタグに記載されるincludeParams属性の処理に起因するもので、Struts 2.0.0~2.3.14.1に影響します。

ModSecurity 2.7.4リリース(2013/05/27)

 オープンソースのWebアプリケーションファイアウォールであるModSecurityからバージョン2.7.4がリリースされました。このバージョンでは、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2765)を解決しています。この問題は、Content-Typeが指定されておらず、SecRequestBodyInMemoryLimitよりも大きなサイズのデータを受信した場合に発生するとしています。

VMwareセキュリティアップデート:VMSA-2013-0007(2013/05/30)

 VMwareセキュリティアップデートでは、ESXに同梱されているサードパーティー製sudoを1.7.2p1-14.el5_8.3にアップデートし、アクセス制御機構の迂回(CVE-2012-2337)や任意のファイルの上書き(CVE-2012-3440)を許してしまう脆弱性を解決します。

Red Hat Enterprise Linux Server(v. 6)(2013/05/30)

 tomcat6、gnutls、libtirpcのセキュリティアップデートがリリースされました。

 tomcat6(RHSA-2013:0869-1)では、アクセス権限の昇格を許してしまう脆弱性(CVE-2013-1976)、DIGEST認証の脆弱性(CVE-2013-2051)を解決しています。gnutls(RHSA-2013:0883-1)では、GnuTLSのCBCモード処理で、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2116)を解決しています。libtirpc(RHSA-2013:0884-1)では、RPC要求を処理するlibtirpcに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1950)を解決しています。