Hitach Incident Response Team

 7月21日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

オラクル2013年7月の四半期セキュリティアップデート(2013/07/16)

 Critical Patch Update - July 2013には、Database Server系6件、Fusion Middleware系21件、Enterprise Manager Grid Control系2件、E-Business Suite系7件、Supply Chain Products Suite系4件、PeopleSoft Products系10件、Industry Applications系1件、Oracle and Sun Systems Products Suite系16件、Visualization系2件、MySQL系18件、Hyperion系1件、iLearning系1件、計89件のセキュリティアップデートが含まれています(図1)。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計45件となっています。

図1●製品系列別の四半期セキュリティアップデート件数の推移
[画像のクリックで拡大表示]

Struts 2.3.15.1リリース(2013/07/16)

 WebアプリケーションフレームワークStrutsのバージョン2.3.15.1がリリースされました。このバージョンでは、任意のコマンド実行を許してしまう脆弱性(CVE-2013-2251)と任意のURLへのリダイレクトを許してしまう脆弱性(CVE-2013-2248)を解決しています。Struts 2.0.0~2.3.15に影響します。

 報告された脆弱性(CVE-2013-2251)は既に侵害活動に利用されていますので、速やかにセキュリティアップデートを実施してください(図2)。

図2●脆弱性(CVE-2013-2251)の対応経緯
図2●脆弱性(CVE-2013-2251)の対応経緯

米シスコ製品に複数の脆弱性

■Intrusion Prevention System(2013/07/17)

 侵入防御システム(IPS:Intrusion Prevention System)ソフトウエアには、サービス拒否攻撃を許してしまう複数の脆弱性が存在します。この問題は、IPSソフトウエアにおけるIPパケットとフラグメント化されたトラフィックの処理(CVE-2013-1243、CVE-2013-1218)、IPS NME(Network Module Enhanced)におけるIPパケットの処理(CVE-2013-3410)、IDSM-2(Intrusion Detection System)におけるTCPパケットの処理(CVE-2013-3411)が適切ではないことに起因し、不正なパケットを受信した場合に、サービス拒否状態に陥る可能性があります。

■Unified Communications Manager(2013/07/17)

 IPテレフォニーのための呼処理の基盤であるUnified Communications Managerには、SQLインジェクション(CVE-2013-3404、CVE-2013-3412)、コマンドインジェクション(CVE-2013-3402)、
ハードコーディングされた暗号鍵、アクセス権限の昇格(CVE-2013-3403、CVE-2013-3433、CVE-2013-3434)の脆弱性が存在します。これらを組み合わせることにより、システムそのものの制御を許してしまう可能性があります。

Squid 3.3.8、Squid 3.2.13リリース(2013/07/13)

 Squid 3.3.8、Squid 3.2.13では、HTTP要求の処理に存在する脆弱性(CVE-2013-4123)を解決しています。脆弱性は、HTTP要求のHostヘッダーに格納されるホスト名に続くポート番号に関するもので、サービス拒否攻撃を許してしまいます。このため、ポート番号が1以上65535以下であるかの確認を追加しています。影響を受けるバージョンは、Squid 3.2~3.2.12、Squid 3.3~3.3.7です。

PHP 5.5.1リリース(2013/07/18)

 PHP 5.5.1では、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-4113)を解決しています。xml_parse_into_struct関数に存在する脆弱性で、深くネストしたXMLファイルを処理する際に、バッファオーバーフローが発生するというものです。5.3系では、7月11日にリリースされたPHP 5.3.27で解決されています。

 また、PHP 5.5.1では、Core、OPcache、CGI、CLIサーバー、時刻、画像処理、国際化、OCI8(Oracle Call Interface)、PDO、Pgsql、Phar、セッション、ソケット、SPL(Standard PHP Library)、CGI/FastCGI SAPIで約20件のバグを修正しています。

Red Hat Enterprise Linux Server(v.6)(2013/07/16)

 Rubyとカーネルのセキュリティアップデート(RHSA-2013:1090、RHSA-2013:1051)がリリースされました。

 Rubyでは、拡張ライブラリーOpenSSLに存在する脆弱性(CVE-2013-4073)を解決しています。この問題は、ドメイン名にNULL文字を含むX.509証明書の取り扱いに関するものです。また、カーネルでは、IPv4 TCP/IPとext3ファイルシステムの処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2128、CVE-2013-1848)、書式文字列やNULLポインターに起因するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2852、CVE-2013-3301)、情報漏洩を許してしまう7件の脆弱性を解決しています。

Cyber Security Bulletin SB13-196(2013/07/15)

 7月8日の週に報告された脆弱性の中から、Google Chromeと遠隔からハードウエアの状態監視や操作を行うためのシステム管理インタフェースIPMIの脆弱性を取り上げます(Vulnerability Summary for the Week of July 8, 2013)。

■Google Chrome 28.0.1500.72リリース(2013/07/12)

 7月9日にリリースされたChrome 28.0.1500.71では、3件のメモリーの解放後使用(use-after-free)、4件の領域外のメモリー参照(out-of-bounds read)など、計16件の脆弱性(CVE-2013-2853、CVE-2013-2867~CVE-2013-2879)を解決するとともに、Adobe Flash Playerを11.8.800.97に更新しています。7月12日、バグ修正を実施したWindows版のChrome 28.0.1500.72がリリースされました。

■US-CERT:TA13-207A: IPMI TechAlert(2013/07/26)

 7月26日、US-CERTからIPMI(Intelligent Platform Management Interface)に対する注意喚起が発行されました。IPMIは、ベースボード管理コントローラー(BMC:Baseboard Management Controller)を通じて遠隔からハードウエアの状態監視や操作を行うためのシステム管理インタフェースです。この注意喚起によれば、IPMI稼働システムでは、「アクセス元を制限する」「強いパスワードを使う」「暗号化通信を使う」「認証機構を使う」「廃棄する際にはパスワード情報を削除する」という対策を推奨しています。

 この注意喚起と同時期に、cipher suite 0を使用することで認証迂回が可能になるという3件の脆弱性(CVE-2013-4782、CVE-2013-4783、CVE-2013-4784)が報告されています。脆弱性(CVE-2013-4782)では、Supermicro BMCの実装にcipher suite 0と任意のパスワードを使用することで、認証迂回と任意のIPMIコマンド実行を許してしまうことを指摘しています。脆弱性(CVE-2013-4783)ではDell iDRAC 6 BMCの実装に、脆弱性(CVE-2013-4784)ではHP Integrated Lights-Out(iLO)BMCの実装に、同様の問題が存在することを指摘しています。

 cipher suiteは暗号化機能のセットで、IPMI V2.0では15種類の組み合わせが規定されています。0は「認証なし、改ざん検知なし、暗号なし」、1は「認証にRAKP-HMAC-SHA1を使用」、2では「認証にRAKP-HMAC-SHA1、改ざん検知にHMAC-SHA1-96」を使用します。すなわち、cipher suite 0を選択することで認証なしを使用できるので、実質的に認証機構を迂回できてしまうわけです。


寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。