チェックしておきたい脆弱性情報＜2013.06.17＞

　6月9日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Struts 2.3.14.3リリース（2013/06/03）

　WebアプリケーションフレームワークStrutsのバージョン2.3.14.3がリリースされました。このバージョンでは、ワイルドカードを使ったnameマッピング（例：）とOGNL（Object Graph Navigation Language）による処理（例：/example/{1}.jsp）とを組み合わせた場合に発生し得る任意のコード実行を許してしまう脆弱性（CVE-2013-2135、CVE-2013-2134）を解決しています。Struts 2.0.0～2.3.14.2に影響します。バージョン2.2.x以降のリリース回数と脆弱性対策を図1に示します。図中の■はOGNLが関連する脆弱性となっています。

• Apache Struts：Version Notes 2.3.14.3
• Apache Struts：A vulnerability introduced by wildcard matching mechanism or double evaluation of OGNL Expression allows remote command execution.

BIND 9.9.3-P1、BIND 9.8.5-P1、BIND 9.6-ESV-R9-P1リリース（2013/06/04）

　BIND 9.9.3-P1、BIND 9.8.5-P1、BIND 9.6-ESV-R9-P1では、9.9.3、9.8.5、9.6-ESV-R9に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-3919）を解決しています。この問題は、リソースレコードに対する不正な問い合わせが引き金となって、エラーを引き起こしnamedプロセスが異常終了するというものです。

　またISCでは、BIND 9に影響を与える脆弱性の対応表を公開しています。対策の際の参考にしてみてください。ここでは、BIND 9.8.xの対応表を提示します（表 1）。

• ISC：BIND 9 Security Vulnerability Matrix
• ISC：CVE-2013-3919: A recursive resolver can be crashed by a query for a malformed zone
• JPRS：BIND 9.xの脆弱性（DNSサービスの停止）について

米アップル製品

■Safari 6.0.5リリース（2013/06/04）

　Safari 6.0.5では、不正なサイトにアクセスした際に、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性、クロスサイトスクリプティングなど、WebKitコンポーネントに存在する計26件の脆弱性を解決しています。

• 米アップル：Safari 6.0.5のセキュリティコンテンツについて

■セキュリティアップデート2013-002（2013/06/04）

　Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7～v10.7.5、OS X Lion Server v10.7～v10.7.5、OS X Mountain Lion v10.8～v10.8.3のセキュリティアップデートがリリースされました。影響を受けるパーツは、CFNetwork、CoreAnimation、CoreMedia Playback、CUPS、ディレクトリーサービス、ディスク管理、OpenSSL、QuickDraw Manager、QuickTime、Ruby、SMBで、計33件の脆弱性を解決しています。

• 米アップル：OS X Mountain Lion v10.8.4およびセキュリティアップデート2013-002のセキュリティコンテンツについて

PHP 5.4.16、PHP 5.3.26リリース（2013/06/06）

　PHP 5.4.16、PHP 5.3.26では、任意のコード実行を許してしまう脆弱性（CVE-2013-2110）を解決しています。この問題は、quoted_printable_encode関数に存在し、ヒープオーバーフローに起因しています。

　また、PHP 5.4.16では、Core、Calendar、Fileinfo、FPM、MySQLi、Phar、SNMP、Streams、Zend Engineで13件のバグを修正しています。PHP 5.3.26では、Core、Calendar、FPM、MySQLi、Phar、Streams、Zend Engineで5件のバグを修正しています。

• PHP：PHP 5.4.16 and PHP 5.3.26 released!
• PHP：PHP 5 ChangeLog

MySQL Community Server 5.6.12、5.5.32、5.1.70リリース（2013/06/03）

　MySQL Community Server 5.6.12、5.5.32、5.1.70がリリースされました。これらのバージョンでは、InnoDB Storage Engine、パーティショニング、レプリケーション処理などに存在するバグ修正を目的としたリリースです。また、バージョン5.6.12、5.5.32では、mysql_upgradeにおいて動作環境の確認を行うバージョンチェックがデフォルトで動作するとしています。

• MySQL：Changes in MySQL 5.6.12（2013-06-03）
• MySQL：Changes in MySQL 5.5.32（2013-06-03）
• MySQL：Changes in MySQL 5.1.70（2013-06-03）

Red Hat Enterprise Linux Server（v. 6）（2013/06/03）

　3D用のグラフィックスライブラリーmesa、仮想化環境を提供するqemu-kvmのセキュリティアップデートがリリースされました。

　mesa（RHSA-2013:0897）では任意のコード実行を許してしまう脆弱性（CVE-2013-1872、CVE-2013-1993）、qemu-kvm（RHSA-2013:0896）ではアクセス権限の昇格を許してしまう脆弱性（CVE-2013-2007）を解決しています。

• Red Hat：Red Hat Enterprise Linux Server（v. 6）Security Advisories

Cyber Security Bulletin SB13-154（2013/06/03）

　5月27日の週に報告された脆弱性の中から、オープンソースのeラーニングプラットフォームであるMoodleの脆弱性を取り上げます（Vulnerability Summary for the Week of May 27, 2013）。

■Moodle（2013/05/21）

　eラーニングプラットフォームであるMoodleには、ZIPファイル処理時のアクセス制御不備の問題（CVE-2013-2079）、Gradebook、ブログコメントなどを介して情報漏洩を許してしまう問題（CVE-2013-2080、CVE-2013-2081、CVE-2013-2082）、フィルターリング機構の迂回を許してしまう問題（CVE-2013-2083）が存在します。

• Moodle：MSA-13-0020: Capability issue in Assignment
• Moodle：MSA-13-0021: Potential information leak in Gradebook
• Moodle：MSA-13-0022: Information leak in hub registration
• Moodle：MSA-13-0023: Permission issue in blog comments
• Moodle：MSA-13-0024: Form filtering issue

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。