チェックしておきたい脆弱性情報＜2013.07.22＞

　7月14日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

米アドビ システムズ製品に複数の脆弱性

■Adobe Flash Player 11.8.800.94リリース：APSB13-17（2013/07/09）

　バッファオーバーフロー、整数オーバーフロー、メモリー破損に起因する任意のコード実行を許してしまう脆弱性（CVE-2013-3344、CVE-2013-3347、CVE-2013-3345）を解決したAdobe Flash Player 11.8.800.94、Linux版11.2.202.297がリリースされました。

• 米アドビ システムズ：APSB13-17: Adobe Flash Playerに関するセキュリティアップデート公開

■Adobe Shockwave Player 12.0.3.133リリース：APSB13-18（2013/07/09）

　Adobe Shockwave Player 12.0.3.133では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性（CVE-2013-3348）を解決しています。

• 米アドビ システムズ：APSB13-18: Adobe Shockwave Playerに関するセキュリティアップデート公開

■ColdFusionに脆弱性：APSB13-19（2013/07/09）

　Windows、Mac、UNIX版ColdFusion 10には、WebSocketsを使用してColdFusion Componentsの公開メソッドの実行を許してしまう脆弱性（CVE-2013-3350）が存在します。また、JRun上のColdFusion 9.0、9.0.1、9.0.2には、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-3349）が存在します。

• 米アドビ システムズ：APSB13-19: ColdFusionに関するセキュリティアップデート公開

マイクロソフト2013年7月の月例セキュリティアップデート（2013/07/10）

　7月の月例セキュリティアップデートでは、7件のセキュリティ更新プログラムを公開し、36件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です。また、月例セキュリティアップデートと合わせて、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム（APSB13-17）対応がリリースされました。

　7月の月例セキュリティアップデートまでに報告された2013年のセキュリティ問題は計182件で、脆弱性による影響の内訳は、図1の通りです。

• マイクロソフト：2013年7月のセキュリティ情報
• マイクロソフト：マイクロソフト セキュリティ アドバイザリー（2755801）: Internet Explorer 10上のAdobe Flash Playerの脆弱性用の更新プログラム

PHP 5.3.27リリース（2013/07/11）

　PHP 5.3がEOL（End-Of-Life）対象となったことが発表されました。

　今回リリースされたPHP 5.3.27では、Core、DateTime、PDO_firebird、PDO_pgsql、Pgsql、SPLでのセグメンテーション違反、異常終了などの10件のバグを修正しています。また、xml_parse_into_struct関数に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-4113）を解決しています。この問題は、任意のコード実行を許してしまう可能性も示唆されているものです。深くネストしたXMLファイルを処理する際に、バッファオーバーフローが発生するというもので、ネストの上限を越えた場合に、エラーとして扱うよう対策されています。

• PHP：PHP 5.3.27 Released - PHP 5.3 Reaching End of Life

HP StoreVirtual Storage（2013/07/09）

　仮想化共有ストレージの機能を提供するHP StoreVirtual Storageに、ドキュメントには記載されていないHPSupport用のアクセス設定が施されているという問題指摘です（CVE-2013-2352）。HP StoreVirtual StorageのOSには、LeftHand OSが使用されており、LeftHand OSのバージョン10.5、並びにそれ以前に影響があるとしています。

• HP：HPSBST02896 - HP StoreVirtual Storage, Remote Unauthorized Access

Apache HTTPサーバー2.2.25リリース（2013/07/09）

　Apache HTTPサーバー2.2.25では、mod_davモジュールでのサービス拒否攻撃を許してしまう脆弱性（CVE-2013-1896）とmod_rewriteモジュールでの任意のコマンド実行を許してしまう脆弱性（CVE-2013-1862）を解決しています。

　脆弱性（CVE-2013-1896）は、mod_davモジュールがDAV（Distributed Authoring and Versioning）の対象となるURIかどうかを判定する処理の不備に起因します。DAVの対象ではないURIを含むMERGE要求を処理する際にセグメンテーション違反が発生し、脆弱性の影響を受けることになります。脆弱性（CVE-2013-1862）は、mod_rewriteモジュールがターミナルを制御するエスケープシーケンスをログファイルにそのまま出力することに起因します。

　このほかに、core、mod_setenvif、mod_ssl/proxy、mod_ssl、mod_proxy_balancer、mod_authnz_ldap、htdigest、mod_davでのバグを修正しています。

• Apache：Changes with Apache 2.2.25

Apache HTTPサーバー2.0.65リリース（2013/07/09）

　バージョン2.0.65が、Apache HTTPサーバー2.0系の最終リリースであることが発表されました。

　今回リリースされたApache HTTPサーバー2.0.65では、mod_rewriteモジュールでの任意のコマンド実行を許してしまう脆弱性（CVE-2013-1862）、エラー処理とmod_proxyモジュールでの情報漏洩（CVE-2012-0053、CVE-2011-3368）、scoreboardモジュールでのサービス拒否攻撃を許してしまう脆弱性（CVE-2012-0031）、サービス拒否攻撃を許してしまうRangeヘッダー処理に関する脆弱性（CVE-2011-3192）、mod_setenvifモジュールでのアクセス権限の昇格（CVE-2011-3607）の計6件を解決しています。

　このほかに、core、mod_rewrite、htdigest、mod_ssl、mod_includeでのバグを修正しています。

• Apache：Changes with Apache 2.0.65

Squid 3.3.7、Squid 3.2.12リリース（2013/07/11）

　Squid 3.3.7、Squid 3.2.12では、HTTP要求の処理に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-4115）を解決しています。脆弱性は、HTTP要求のHostヘッダーに格納されるホスト名の長さに関するもので、バッファオーバーフローを引き起こします。このため、ホスト名の長さが上限を越えた場合に、エラーとして扱うよう対策されています。影響を受けるバージョンは、Squid 3.2～3.2.11、Squid 3.3～3.3.6です。

• Squid：SQUID-2013:2, Buffer overflow in HTTP request handling
• Squid：Squid 3.3.7 changes
• Squid：Squid 3.2.12 changes

Red Hat Enterprise Linux Server（v.6）（2013/07/12）

　PHP 5.3.27のリリースに合わせて、phpのセキュリティアップデート（RHSA-2013:1049）がリリースされました。このアップデートでは、xml_parse_into_struct関数に存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-4113）を解決しています。

• Red Hat：Red Hat Enterprise Linux Server（v.6）Security Advisories

制御システム系製品の脆弱性

■QNX製品（2013/07/08）

　QNX（qnx.com）のphrelay、phwindows、phdittoには、スタックベースのバッファオーバーフローの脆弱性（CVE-2013-2687）、入力サイズを確認することなしにバッファコピー操作する問題（CVE-2013-2688）が存在します。ポート番号4868/UDPにおいて、不正なパケットを受信した場合に、サービス拒否攻撃か、任意のコード実行を許してしまう可能性があります。

　phrelayはphwindowsやphdittoクライアントとのリモート接続をサポートするコマンドです。phdittoはQNXリアルタイムOS上で稼働するGUI環境Photonにアクセスするためのコマンドで、phwindowsはWindowsベースの接続ツールです。

• ICS-CERT：ICSA-13-189-01: QNX Multiple Vulnerabilities

■トライアングルリサーチのNano 10 PLC（2013/07/08）

　トライアングルリサーチ（triplc.com）のNano 10 PLCには、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-2784）が存在します。この問題は、受信したModbus/TCPパケットの検証処理が適切ではないことに起因し、ポート番号502/TCPにて不正なパケットを受信した場合に、サービス拒否状態に陥る可能性があります。Nano 10 PLCは、Ethernetを搭載した機器組み込み用PLCです。

• ICS-CERT：ICSA-13-189-02: Triangle Research Nano 10 PLC Denial of Service

Cyber Security Bulletin SB13-189（2013/07/08）

　7月1日の週に報告された脆弱性の中から、IBMのIMSエンタープライズスイートSOAP Gateway の脆弱性を取り上げます（Vulnerability Summary for the Week of July 1, 2013）。

■IBM IMSエンタープライズスイート（2013/06/21）

　IBM IMSエンタープライズスイートSOAP Gatewayには、任意のコマンド実行を許してしまう脆弱性（CVE-2013-3003）、SSLの暗号に関する脆弱性（CVE-2013-0169）、Java Runtime Environment（JRE）のJSSEの処理において、可用性に影響を与える脆弱性（CVE-2013-0440）、機密性と完全性に影響を与える脆弱性（CVE-2013-0443）、計4件が存在します。

　IBM IMS（Information Management System）は、トランザクションとデータベースの管理システムです。IBM IMSエンタープライズスイートSOAP Gatewayは、ビジネスロジックを変更する必要なしにSOAPを使用してIMS環境の外部と通信できるようにする製品です。

• IBM：Security Bulletin: Multiple vulnerabilities exist in the SOAP Gateway component of IMS Enterprise Suite（CVE-2013-0440, CVE-2013-0443, CVE-2013-0169, CVE-2013-3003）

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。