製品やOSS(オープンソースソフトウエア)には、たいてい、サポート終了(EOS: End of Support、EOL: End-Of-Life)の時期が設定されます。チェックしておきたい脆弱性情報でも、サポート終了情報について紹介していますが、どうしても脆弱性情報の中に埋もれてしまいます。ここでは、2013年にサポート終了となる情報を集めて紹介します。
■Adobe Reader
Adobe Reader 9/Acrobat 9のサポートは2013年6月26日に終了しました。
■Apache HTTPサーバー
2013年7月9日、バージョン2.0.65が、Apache HTTPサーバー2.0系の最終リリースであることが発表されました。
■Apache Struts
2013年4月5日、Strutsのバージョン1がEOL対象となることが発表されました。
■Java SE
Java SE 6 の公式アップデートは2013年2月で終了しています。また、2013年6月10日に更新された「Java 6の最新バージョンはどこで入手できますか」のページにおいて、パブリックダウンロードサイトにJava SE 6のアップデートを公開しないこと、Java 6の6u45を含むそれ以前のリリースはすべてOracle Technology NetworkのJavaアーカイブに移動されたこと、それらのリリースは今後も入手可能であるがアップデートはされないことが示されました。
■PHP
2013年7月11日、PHP 5.3.27のリリースとともに、PHP 5.3系がEOL対象となったことが発表されました。
■PostgreSQL
2013年2月7日、PostgreSQL 8.3.23のリリースとともに、PostgreSQL 8.3系がEOL対象となったことが発表されました。
■Ruby
2013年6月27日、Ruby 1.8.7-p374のリリースとともに、Ruby 1.8.7については、2013年7月以降サポート対象外となることが発表されました。
ここからは、7月28日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
Apache HTTPサーバー2.4.6リリース(2013/07/22)
Apache HTTPサーバー2.4.5では、mod_davモジュールでのサービス拒否攻撃を許してしまう脆弱性(CVE-2013-1896)とmod_session_dbdモジュールでのセッション管理に関する脆弱性(CVE-2013-2249)を解決しています。このほかにcore、mod_auth_basic、mod_cache、mod_deflate、mod_include、mod_lbmethod_heartbeat、mod_log_config、mod_lua、mod_macro、mod_proxy、mod_remoteip、mod_setenvif、mod_sslモジュールなどのバグを修正しています。ただし、リリース上バージョン2.4.5は欠番となっています。
7月22日、バージョン2.4.5の修正に加えて、"httpd -S"でのnamevhost重複出力のバグを修正したApache HTTPサーバー2.4.6がリリースされました。
BIND 9.9.3-P2、BIND 9.8.5-P2リリース(2013/07/26)
BIND 9.9.3-P2、BIND 9.8.5-P2では、BIND 9.7.0以降のすべてのバージョンに存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-4854)を解決しています。この問題は、リソースレコードに対する不正な問い合わせが引き金となってnamedプロセスが異常終了するというものです。コンテンツサーバー(権威DNSサーバー)並びにキャッシュDNSサーバーに影響があります。またISCでは、BIND 9に影響を与える脆弱性の対応表を公開しています(表 1)。
なお、BIND 9.7系は2012年11月にサポート終了対象となっていることから、ISCではセキュリティ修正プログラムはリリースしないことを公表しています。
- ISC:BIND 9 Security Vulnerability Matrix
- ISC:CVE-2013-4854 [JP]: 特別に細工されたクエリーによってBINDが異常終了する
- JPRS:BIND 9.xの脆弱性(DNSサービスの停止)について
米シスコCisco Video Surveillance Manager(2013/07/24)
ビデオ監視の運用を支援するCisco Video Surveillance Managerには、ディレクトリートラバーサルによる情報漏洩を許してしまう脆弱性(CVE-2013-3429)、認証操作なしで設定や監視ページなどの重要な情報へのアクセスを許してしまう脆弱性(CVE-2013-3430、CVE-2013-3431)が存在します。
Red Hat Enterprise Linux Server(v.6)(2013/07/22)
仮想化環境を提供するqemu-kvmのセキュリティアップデート(RHSA-2013:1100)がリリースされました。
qemu-kvmでは、QemuのGuest Agentにアクセス権限の昇格を許してしまう脆弱性(CVE-2013-2231)を解決しています。この問題は、ディレクトリーを検索する処理に関するものです。検索対象となっているディレクトリーの権限設定によっては、ローカルのユーザーがWindowsのシステム権限でプログラムを実行できてしまう可能性があります。
日立製品の脆弱性
■JP1/IT Desktop Management製品(2013/07/26)
JP1/IT Desktop Management - Manager、Job Management Partner 1/IT Desktop Management - Manager、Hitachi IT Operations Directorにはアクセス権限の昇格を許してしまう脆弱性が存在します。
- 日立:HS13-017: JP1/IT Desktop Management - Manager、Hitachi IT Operations Directorにおける権限昇格の脆弱性(CVSS:AV:N/AC:M/Au:S/C:N/I:P/A:N)
Cyber Security Bulletin SB13-203(2013/07/22)
7月15日の週に報告された脆弱性の中から、Google Glassの脆弱性を取り上げます(Vulnerability Summary for the Week of July 15, 2013)。
■Google Glass(2013/07/24)
利用環境の変化によって、既存技術が新たな攻撃経路の一つになることを意識させられる脆弱性の事例です。
Google Glassには、QRコードを適切に制限しないために、設定を変更されたり、任意のWebサイトへの誘導を許してしまう脆弱性(CVE-2013-4872)が存在します。この問題は、不正なQRコードを読み取った場合に、その指示に従って自動的に処理を進めてしまうことに起因します。報告によれば、Google Glassでは、Wi-Fiアクセスポイントの再設定にQRコードを利用でき、これを悪用すると、不正なQRコードを撮影させることで、不正なWi-Fiアクセスポイントに知らないうちに接続してしまう可能性があります
- JVNDB-2013-003456: Google Glassにおける設定を変更される脆弱性(CVE-2013-4872)
- Google Glass、QRフォトボムのパッチ後にもWi-Fi乗っ取りに対する脆弱性が残る
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
