Hitach Incident Response Team

 6月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アップルJava for OS X、Java for Mac OS Xセキュリティアップデート(2013/04/18)

 Java SEの6月セキュリティアップデートに合わせて、セキュリティアップデートJava for OS X 2013-004、Java for Mac OS X 10.6 Update 16がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_51に更新して、34件の脆弱性を解決しています。

米シスコTelePresence TC並びにTEソフトウエア(2013/06/19)

 Cisco TelePresence TCソフトウエアには、SIP(Session Initiation Protocol)パケットの検証処理が不十分なためにサービス拒否攻撃を許してしまう脆弱性(CVE-2013-3377、CVE-2013-3378)と、ファイアウォールのルール実装面の不備により管理者権限でのアクセスを許してしまう脆弱性(CVE-2013-3379)が存在します。同様に、Cisco TelePresence TEソフトウエアには、SIPパケット処理に関するサービス拒否攻撃を許してしまう脆弱性が存在します。

 Cisco TelePresence TCあるいはTEソフトウエアがインストールされているビデオ会議向け製品群であるCisco TelePresence MX、System EX、Integrator C、Profiles、Quick Setシリーズ、Cisco IP Video Phone E20が、この脆弱性の影響を受けます。

PHP 5.5.0リリース(2013/06/20)

 PHP 5.5.0では、パスワードの作成や検証用API、finallyキーワード、OPcacheエクステンション導入などの機能強化が施されています。その一方で、Windows XPおよびWindows Server 2003がサポート対象外となりました。

 バグ修正については、Core、Apache2 Handler SAPI、Calendar、CLI server、CURL、DateTime、dba、Filter、Fileinfo、FPM、GD、hash、国際化、mbstring、MCrypt、mysql、mysqli、mysqlnd、PCRE、PDO、PDO_DBlib、PDO_pgsql、PDO_mysql、pgsql、Phar、readline、Reflection、Sockets、SPL、SNMP、SOAP、Streams、Tokenizer、Zipで約100件を修正しています。

Samba 3.6.16リリース(2013/06/19)

 Samba 3.6.16は、Windows 8クライアントがsync処理をした場合に発生するsmbdの異常終了など、10件のバグを修正しています。セキュリティアップデートは含まれていません。

Struts 2.3.15リリース(2013/06/22)

 WebアプリケーションフレームワークStrutsのバージョン2.3.15がリリースされました。バージョン2.3.15では、26件のバグ修正と16件の改善を施しています。改善の中には、2.3.14.1、2.3.14.2、2.3.14.3で解決した脆弱性(CVE-2013-1965、CVE-2013-1966、CVE-2013-2115、CVE-2013-2135、CVE-2013-2134)が含まれています。

 CVE-2013-1965はOGNL(Object Graph Navigation Language)の処理に起因するもので、Showcaseアプリケーションに存在する問題です。CVE-2013-1966はURLやAタグに記載されるincludeParams属性の処理に起因しています。脆弱性(CVE-2013-2135、CVE-2013-2134)はワイルドカードを使ったnameマッピングとOGNLによる処理とを組み合わせた場合に発生し得る問題です。CVE-2013-2115については、その詳細が明らかにされていません。

 再掲となりますが、4月5日、Strutsのバージョン1がEOL(End-Of-Life)対象となることがプレスリリースとして発表されています。

Red Hat Enterprise Linux Server(v. 6)(2013/06/20)

 Tomcat 6とJava 7ベースのOpenJDKのセキュリティアップデート(RHSA-2013:0964、RHSA-2013:0957)がリリースされました。

 Tomcat 6では、6.0.21~6.0.36に存在するセッションハイジャックを許してしまう脆弱性(CVE-2013-2067)を解決しています。Javaのオープンソースの実装OpenJDKでは、Java SEの6月セキュリティアップデートに合わせて、JavadocとJREの2D、AWT、CORBA、ホットスポット、JDBC、JMX、ライブラリー、ネットワーク、シリアライズ、サービスアビリティ、サウンドのコンポーネントに存在する29件の脆弱性を解決しています。

制御システム系製品の脆弱性

■シーメンスのSCALANCE(2013/06/18)

 2013年5月にICSA-13-149-01として報告されたシーメンス(siemens.com)のSCALANCE(スケーランス)のX200シリーズの続報です。ただし、脆弱性(CVE-2013-3633、CVE-2013-3634)の内容そのものについては、2013年5月に報告されたICSA-13-149-01から大きな変更はありません。

■シーメンスのWinCC(2013/06/18)

 シーメンス(siemens.com)のSCADAシステム用HMI製品であるSIMATIC WinCC 7.2並びにそれ以前、SIMATIC PCS7 V8.0 SP1並びにそれ以前には、SQLインジェクションの脆弱性(CVE-2013-3957)、Web Navigatorアプリケーションのアクセスに関連し、ハードコーディングされたパスワードの脆弱性(CVE-2013-3958)、有効なNetBIOSユーザー名の特定を許してしまう脆弱性(CVE-2013-3959)が存在します。

■シーメンスのCOMOS(2013/06/18)

 シーメンス(siemens.com)のCOMOSクライアントライブラリーには、データベースへの不正なアクセスと改ざんを許してしまう脆弱性(CVE-2013-3927)が存在します。COMOSは、産業プラントのライフサイクル全体の資産管理をサポートする製品です。

日立製品の脆弱性

■Cosminexus製品(2013/06/21)

 Cosminexus Developer's Kit for Javaを構成部品として使用しているCosminexus製品には、複数の脆弱性が存在します。脆弱性は、6月のJava定例セキュリティアップデートであるJava SE 7 Update 25、Java SE 6 Update 51で解決されたセキュリティ問題です。

Cyber Security Bulletin SB13-168(2013/06/17)

 6月10日の週に報告された脆弱性の中から、Red HatのApache HTTP Serverの脆弱性を取り上げます(Vulnerability Summary for the Week of June 10, 2013)。

■Red HatのApache HTTP Server(2013/06/10)

 報告されている脆弱性(CVE-2013-1862)は、Apache HTTP Serverのmod_rewriteモジュールに存在する任意のコマンド実行を許してしまう脆弱性です。この問題は、mod_rewriteモジュールがターミナルを制御するエスケープシーケンスをログファイルにそのまま出力することに起因します。このため、不正なHTTP要求が記録されたログファイルをターミナルエミュレータで参照すると、任意のコマンドが実行される可能性があるというものです。

 脆弱性(CVE-2013-1862)については、クロスサイトスクリプティングの脆弱性(CVE-2012-3499、CVE-2012-4558)とともに、Apache HTTPサーバーのセキュリティアップデート(RHSA-2013:0815)で解決されています。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。