Hitach Incident Response Team

 6月16日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 25リリース(2013/04/16)

 Java SE 7 Update 25では、Update 21並びにそれ以前に存在する38件の脆弱性を解決しています。影響を受けるコンポーネントは、JavadocとJREの2D、AWT、CORBA、Deployment、ホットスポット、JDBC、JMX、ライブラリー、ネットワーク、シリアライズ、サービスアビリティ、サウンドです。クライアントとサーバーに影響のある脆弱性は4件で、該当するコンポーネントはJMX、ライブラリー、ネットワークです。

米アドビ システムズ Adobe Flash Player 11.7.700.224リリース:APSB13-16(2013/06/12)

 メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2013-3343)を解決したAdobe Flash Player 11.7.700.224、Mac版11.7.700.225、Linux版11.2.202.291、Adobe AIR 3.7.0.2090がリリースされました。

マイクロソフト2013年6月の月例セキュリティアップデート(2013/06/12)

 6月の月例セキュリティアップデートでは、5件のセキュリティ更新プログラムを公開し、23件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です。また、月例セキュリティアップデートと合わせて、ルート証明書の更新、証明書信頼リスト(CTL)に関連したディジタル証明書の処理を改善するための更新プログラム、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB13-16)対応がリリースされました。

VMwareセキュリティアップデート:VMSA-2013-0008(2013/06/11)

 VMwareセキュリティアップデートでは、vCenter Chargeback Managerのファイルアップロード処理に起因し、任意のコード実行を許してしまう脆弱性(CVE-2013-3520)を解決しています。vCenter Chargeback Managerは、仮想マシンの動作に基づいたコストモデルを作成する製品です。

Tomcat 7.0.41リリース(2013/06/10)

 Tomcat 7.0.41では、バグ修正のほか、CORS(Cross-Origin Resource Sharing)を実装したサーブレットフィルター、アンチリソースロック機能、Antタスクのdeployコマンドでのバージョン属性のサポートなどの機能強化が施されています。リリース時点で、セキュリティアップデートの報告はありません。

Red Hat Enterprise Linux Server(v. 6)(2013/06/12)

 ケルベロス認証機構バージョン5(krb5)とカーネルのセキュリティアップデート(RHSA-2013:0942、RHSA-2013:0911)がリリースされました。

 krb5では、サービス拒否攻撃を許してしまう脆弱性(CVE-2002-2443)を解決しています。この問題は、kadmindのパスワードサービス処理において、ネットワークパケットの検証が適切でないために、パケットの転送が繰り返されることに起因します。また、カーネルでは、KVM(Kernel-based Virtual Machine)に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1935)とアクセス権限の昇格を許してしまう脆弱性(CVE-2013-1943)、Virtual Ethernet Tunnel driver(veth)に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2017)を解決しています。

制御システム系製品の脆弱性

■医療機器(2013/06/13)

 約40組織、300以上の医療機器に、パスワードがハードコーディングされているという脆弱性が存在するという報告です。影響を受ける医療機器は、外科および麻酔機器、人工呼吸器、薬剤注入ポンプ、体外式除細動器、患者モニター、および実験室や分析機器などです。影響が多岐に及ぶことから、ICS-CERTでは、FDA(Food and Drug Administration;アメリカ食品医薬品局)と連携して、この問題に対応しているとしています。

■IOServerのDNP3ドライバー(2013/06/10)

 IOServer(ioserver.com)のDNP3ドライバーには、ポート番号20000/TCPで不正なTCPパケットを受信した場合に、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2783)が存在します。この問題は、入力パケットの検証が適切でないために、ループ処理状態に陥ってしまうことに起因します。DNP3(Distributed Network Protocol)は、電力および水道施設などで使用される通信プロトコルです。

Cyber Security Bulletin SB13-161(2013/06/10)

 6月3日の週に報告された脆弱性の中から、Google ChromeとHP Data Protectorの脆弱性を取り上げます(Vulnerability Summary for the Week of June 3, 2013)。

■Google Chrome 27.0.1453.116リリース(2013/06/18)

 6月4日リリースされたChrome 27.0.1453.110では、5件のメモリーの解放後使用(use-after-free)、2件のメモリー破損など、計11件の脆弱性(CVE-2013-2854~CVE-2013-2864)を解決しています。

 6月11日、Chrome 27では、Windows版、Mac版のAdobe Flash Playerを11.7.700.225に更新しました。6月17日には、Linux版のChrome 28.0.1500.45がリリースされました。

 6月18日、Adobe Flash Playerのプラグインに存在するクリックジャッキング問題(CVE-2013-2866)を対策したWindows版、Mac版、Linux版Chrome 27.0.1453.116がリリースされました。このバージョンでは、セキュリティ問題以外に、Flashムービーの再生、レンダリング、セレクトボックスに関するバグを対策しています。

■HP Data Protector(2013/06/03)

 データ、アプリケーションなどのバックアップおよびリカバリーを自動化するHP Data Protector v7.00/ v7.01、v6.20/v6.21には、リモートから任意のコード実行を許してしまう12件の脆弱性(CVE-2013-2324~CVE-2013-2335)が存在します。この問題は、crs.exeが固定長のバッファに、確認なしに入力データを格納していくため、不正なデータを受信した場合にオーバーフローが発生する可能性があります。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。