7月7日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
米アップルセキュリティアップデート2013-003(2013/07/02)
Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8.4のセキュリティアップデートがリリースされました。影響を受けるパーツはQuickTimeで、動画系ファイル処理にバッファオーバーフローに起因する任意のコード実行を許してしまう脆弱性(CVE-2013-1018、CVE-2013-1019、CVE-2013-1022)が存在します。
HP StoreOnce D2Dバックアップシステム(2013/06/26)
ディスクベースのバックアップシステムであるHP StoreOnce D2Dに、HPSupport用のユーザーアカウントとパスワードが設定されているという問題指摘です(CVE-2013-2342)。ソフトウエアバージョン3.0.0以降、該当するアカウントとパスワードが削除されているとしています。
Samba 4.0.7リリース(2013/07/02)
Samba 4.0.7では、MSファイルを開く、編集する、コピーする際に異常終了が発生する問題、LDAP系の組み込みデータベースldbでmail=のフィルターを利用した際に異常終了が発生する問題、winbind4でのメモリーの解放後使用(use-after-free)に関する問題など、23件のバグを修正しています。セキュリティアップデートは含まれていません。
Tomcat 7.0.42リリース(2013/07/05)
Tomcat 7.0.42では、AccessLogValveでの処理時間に関するログ出力の拡張、7.0.39で作り込んでしまったJNDI Realmでの問題の解決、Javadocによる脆弱性(CVE-2013-1571)が顕在化しないようにするなど、機能強化とともにバグ修正されています。リリース時点で、セキュリティアップデートの報告はありません。
AccessLogValveは、Tomcatのアクセスログを出力するための設定です。これまでは、すべての応答データを送出し終わるまでの処理時間のログ出力(pattern="%D")がサポートされていました。今回、Time-To-First-Byteと呼ばれる、最初の応答データを送信するまでの処理時間のログ出力(pattern="%F")がサポートされました。
PHP 5.4.17リリース(2013/07/04)
PHP 5.4.17では、Core、DateTime、FPM(FastCGI Process Manager)、PDO(PHP Data Objects)、PDO_DBlib、PDO_firebird、PDO_mysql、PDO_pgsql、pgsql、Readline、SPL(Standard PHP Library)でのセグメンテーション違反、異常終了などの約20件のバグを修正しています。セキュリティアップデートは含まれていません。
Squid 3.3.6リリース(2013/06/30)
Squid 3.3.6は、SSL処理でハングアップしてしまう問題、ICAP(internet content adaptation protocol)のログ機能が有効な場合に発生するセグメンテーション違反などのバグ修正を目的としたリリースで、約20件を修正しています。セキュリティアップデートは含まれていません。
Red Hat Enterprise Linux Server(v. 6)(2013/07/03)
Java SEの6月セキュリティアップデートに合わせて、java-1.6.0-openjdkのセキュリティアップデート(RHSA-2013:1014)がリリースされました。このアップデートでは、JREの2D、AWT、CORBA、ホットスポット、JMX、ライブラリー、ネットワーク、シリアライズ、サービスアビリティ、サウンドのコンポーネントに影響を与える25件の脆弱性を解決しています。
制御システム系製品の脆弱性
■アルストムグリッドのS1 AgileとS1 Studio(2013/07/03)
アルストムグリッドは、アルストムグループ(alstom.com)の送電事業を担当する組織です。S1 Studioは、送電関連の保護リレー装置MiCOMの設定や保守用の管理ツールで、S1 AgileはS1 Studioの後継です。
アルストムグリッドのS1 AgileとS1 Studioには、アクセス制御不備の問題(CVE-2013-2786)が存在します。この問題は、認証された管理者以外の実行ファイルへのアクセスを制限していないために、システムにアクセスできる攻撃者であれば、実行ファイルの入れ換えが可能となるというものです。
■モンローエレクトロニクスのR189SE One-NetSE、DASDEC(2013/07/03)
R189SE One-NetSE、DASDECは、ラジオ放送、テレビ分野向けの緊急警報システムです。また、モンローエレクトロニクス(monroe-electronics.com)は、この分野の強化のため、2009年にDigital Alert Systems(digitalalertsystems.com)を傘下に置きました。
モンローエレクトロニクスのR189SE One-NetSE、Digital Alert SystemsのDASDEC-IとDASDEC-IIのファームウエアイメージは、管理者権限でリモートからログインする際に必要となるSSHの秘密鍵が設定された状態で公開されています(CVE-2013-0137)。このため、攻撃者がファームウエアイメージからSSHの秘密鍵を入手した場合、管理者権限でログインされてしまう可能性があります。
日立製品の脆弱性
■Cosminexus製品(2013/07/05)
CosminexusのインプロセスHTTPサーバー機能には、不正なチャンク形式のHTTP要求の受信によりサービス拒否攻撃を許してしまう脆弱性(CVE-2012-3544)が存在します。この問題は、2013年5月3日にリリースされたTomcat 6.0.37で解決した脆弱性です。
Cyber Security Bulletin SB13-182(2013/07/01)
6月24日の週に報告された脆弱性の中から、キャノンプリンターの脆弱性を取り上げます(Vulnerability Summary for the Week of June 24, 2013)。
■キャノンプリンターMG3100(2013/06/18)
キャノンプリンターMG3100、MG5300、MG6100、MP495、MX340、MX870、MX890、MX920、MX922プリンターには3件の脆弱性が存在します。
脆弱性(CVE-2013-4613)は、管理用インタフェースのデフォルト設定が「パスワード設定なし」となっているという問題です。脆弱性(CVE-2013-4614)は、WEP/WPA/WPA2の事前共有鍵がHTML上に平文で記載されているという指摘です。発見者の報告によれば、設定画面上では事前共有鍵の値が『●●●』でマスクされていますが、HTML上ではvalue=に値が記載されているとしています。脆弱性(CVE-2013-4615)は、パラメーターLAN_TXT24に不正な値が設定されたHTTP要求を受信した場合に、プリンターが応答しなくなるという、サービス拒否攻撃を許してしまうという問題です。パラメーターチェックについては、クライアント側のJavascriptで実施していますが、発見者はサーバー側で実施すべきとしています。
なお、脆弱性(CVE-2013-4614)についてですが、この指摘から想定される類似の事例として、管理パスワードの設定変更画面などが考えられます(図1)。脆弱性(CVE-2013-4614)を、脆弱性(CVE-2013-4613)と組み合わせで考えるのか、単独で考えるのかによって適用範囲も異なりますが、プリンターなどの機器設定画面のセキュリティにも目が向けられていることを意識させられる事例といえます。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
