チェックしておきたい脆弱性情報＜2013.07.17＞

　6月30日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 22.0、ESR 17.0.7リリース（2013/06/25）

　Firefox 22.0では、メモリーの解放後使用（use-after-free）、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、14件のセキュリティアドバイザリーに含まれる計17件の脆弱性を解決しています（図1）。

• Mozilla：Firefoxセキュリティアドバイザリー
• Mozilla：Firefox ESRセキュリティアドバイザリー

Thunderbird 17.0.7、ESR 17.0.7リリース（2013/06/25）

　Thunderbird 17.0.7では、メモリーの解放後使用、メモリー破損などに起因し、任意のコード実行を許してしまう脆弱性など、8件のセキュリティアドバイザリーに含まれる計10件の脆弱性を解決しています。

• Mozilla：Thunderbirdセキュリティアドバイザリー
• Mozilla：Thunderbird ESRセキュリティアドバイザリー

米シスコ製品に複数の脆弱性

■Emailセキュリティアプライアンス（ESA）（2013/06/26）

　Emailセキュリティアプライアンス（ESA）用のCisco IronPort AsyncOSソフトウエアには、コマンドインジェクションを許してしまう脆弱性（CVE-2013-3384）、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-3386、CVE-2013-3385）が存在します。

　コマンドインジェクションについては、入力を適切に処理していないことに起因し、不正なURLを受信した場合に脆弱性を悪用されてしまう可能性があります。サービス拒否攻撃の脆弱性（CVE-2013-3386）については、ポート番号82/TCPあるいは、83/TCPで稼働するISQ（IronPort Spam Quarantine）機能のTCP接続処理に脆弱性が存在し、大量の接続が発生した場合に異常終了する可能性があります。また、脆弱性（CVE-2013-3385）については、Webベースの管理GUIのHTTPとHTTPS接続処理に脆弱性が存在し、複数のアクセスが発生した場合にプロセスが応答不能状態に陥る可能性があります。

• シスコ：cisco-sa-20130626-esa: Multiple Vulnerabilities in Cisco Email Security Appliance

■Webセキュリティアプライアンス（WSA）（2013/06/26）

　Webセキュリティアプライアンス（WSA）用のCisco IronPort AsyncOSソフトウエアには、コマンドインジェクションを許してしまう脆弱性（CVE-2013-3383、CVE-2013-3384）と、Webベースの管理GUIにサービス拒否攻撃を許してしまう脆弱性（CVE-2013-3385）が存在します。いずれも、ポート番号8080/TCPあるいは8443/TCPで稼働するWebインタフェースで不正なURLを受信した場合に、脆弱性を悪用されてしまう可能性があります。

• シスコ：cisco-sa-20130626-wsa: Multiple Vulnerabilities in Cisco Web Security Appliance

■コンテンツセキュリティマネージメントアプライアンス（SMA）（2013/06/26）

　コンテンツセキュリティマネージメントアプライアンス（SMA）用のCisco IronPort AsyncOSソフトウエアには、コマンドインジェクションを許してしまう脆弱性（CVE-2013-3384）、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-3386、CVE-2013-3385）が存在します。

• シスコ：cisco-sa-20130626-sma: Multiple Vulnerabilities in Cisco Content Security Management Appliance

■ASA Next-Generation Firewall（NGFW）（2013/06/26）

　Cisco ASA（Adaptive Security Appliances）プラットフォームを拡張するアドオンサービスモジュールであるASA Next-Generation Firewall（NGFW）には、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-3382）が存在します。この問題は、組立てられたパケットの解析処理に存在し、トラフィックを拒否するポリシーに当てはまるフラグメント化されたIPv4あるいはIPv6パケットを受信した場合に、脆弱性を悪用される可能性があります。

• シスコ：cisco-sa-20130626-ngfw: Cisco ASA Next-Generation Firewall Fragmented Traffic Denial of Service Vulnerability

Ruby 2.0.0-p247、Ruby 1.9.3-p448、Ruby 1.8.7-p374リリース（2013/06/27）

　Ruby 2.0.0-p247、Ruby 1.9.3-p448、Ruby 1.8.7-p374では、拡張ライブラリーOpenSSLに存在する脆弱性（CVE-2013-4073）を解決しています。この問題は、ドメイン名にNULL文字（"\x00"と表記）を含むX.509証明書の取り扱いに関するものです。ドメイン名を先頭から読み始め、NULL文字が出現したところで処理を終了してしまうため、証明書に記載されたドメイン名と検証したドメイン名とが異なってしまうことになります。また、Ruby 1.8.7については、2013年7月以降サポート対象外となり、EOL（End-Of-Life）の状態となります。

• Ruby：OpenSSLクライアントにおけるホスト名検証バイパス脆弱性（CVE-2013-4073）
• Ruby：Ruby 2.0.0-p247リリース
• Ruby：Ruby 1.9.3-p448リリース
• Ruby：Ruby 1.8.7-p374リリース
• 【CSIRTメモ】チェックしておきたい脆弱性情報＜2009年11月17日＞
• Ruby：Ruby 1.8.7 は引退しました

Red Hat Enterprise Linux Server（v. 6）（2013/06/25）

　Thunderbird、Firefoxと複数プロトコルをサポートするファイルダウンロードツールcURLのセキュリティアップデート（RHSA-2013:0982、RHSA-2013:0981、RHSA-2013:0983）がリリースされました。

　Thunderbirdのセキュリティアップデート（RHSA-2013:0982）はバージョン17.0.7で解決された脆弱性10件、Firefoxのセキュリティアップデート（RHSA-2013:0981）はバージョン22.0で解決された脆弱性10件に対応しています。cURL（CVE-2013-2174）では、ヒープバッファオーバーフローに起因し、サービス拒否攻撃や任意のコード実行を許してしまう脆弱性を解決しています。この問題は、libcurlのcurl_easy_unescape関数に存在します。

• Red Hat：Red Hat Enterprise Linux Server（v. 6）Security Advisories

制御システム系製品の脆弱性

　ICS-CERTから第2四半期の活動報告が公表されました。この報告によれば、ICS-CERTでは、2012年の重要インフラ分野において198件のサイバーインシデント対応を支援したとしています。このうち41%がエネルギー分野です。また、2013年上半期（2012年10月1日～2013年5月末）についてみてみると、サイバーインシデント対応の支援件数は200件を越えています。このうちエネルギー分野が53%（111件）、重要製造業分野が17%（32件）となっています（図2）。その多くは、Watering Hole Attack（水飲み場攻撃）、SQLインジェクション、スピアフィッシング攻撃によるものであると報告しています。

• ICS-CERT：Monthly Monitor（ICS-MM201306）: April-June 2013

Cyber Security Bulletin SB13-175（2013/06/24）

　6月17日の週に報告された脆弱性の中から、ヒューレット・パッカードのHP Service Manager、IBMのSterling Control Center、Data Studio Web Consoleの脆弱性を取り上げます（Vulnerability Summary for the Week of June 17, 2013）。

■HP Service Manager、HP Service Center（2013/06/10）

　ITサービスサポート管理ツールである、HP Service Manager、HP Service Centerには、複数の脆弱性（CVE-2013-2336、CVE-2013-2337）が存在します。脆弱性の影響は、情報漏洩並びに、クロスサイトスクリプティングです。

• HP：HPSBMU02884 - HP Service Manager and HP ServiceCenter, Cross Site Scripting（XSS）and Disclosure of Information

■IBM Sterling Control Center（2013/06/13）

　ファイル転送環境全体を管理するSterling Control Centerの5.2系、5.3系、5.4系には、複数の脆弱性（CVE-2013-2968、CVE-2013-2969）が存在します。脆弱性（CVE-2013-2968）は、行末尾文字を含まないサイズの大きいファイルを読み込んだ際に、サービス拒否状態に陥る可能性があるというものです。脆弱性（CVE-2013-2969）はクロスサイトスクリプティング問題です。

• IBM：Security Bulletin: IBM Sterling Control Center has various vulnerabilities（CVE-2013-2968 and CVE-2013-2969）

■IBM Data Studio Web Console（2013/06/11）

　DB2の運用管理系GUIツールであるData StudioのWeb Consoleバージョン3.1.0、3.1.1には、クロスサイトリクエストフォージェリーの脆弱性（CVE-2013-2980）とディレクトリートラバーサルの脆弱性（CVE-2013-2981）が存在します。

• IBM：Security Bulletin: Security Bulletin: IBM Data Studio Web Console is vulnerable to cross-site request forgery, caused by improper validation of browser request headers.
• IBM：Security Bulletin: Security Bulletin: IBM Data Studio Web Console is susceptible to a "Directory Traversal Arbitrary File Download" vulnerability.

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。