8月4日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
VMwareセキュリティアップデート:VMSA-2013-0009(2013/07/31)
VMwareセキュリティアップデートでは、ESXとESXiに同梱されているサードパーティー製ライブラリーOpenSSL、libxml2、GnuTLS並びに、サービスコンソールのカーネルに存在する複数の脆弱性を解決しています。
OpenSSLでは、SSL、TLS、DTLS(Datagram Transport Layer Security)のCBC(Cipher Block Chaining)モード処理に存在する情報漏洩を許してしまう脆弱性(CVE-2013-0169)とOCSP(Online Certificate Status Protocol)処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0166)を解決しています。また、libxml2ではエンティティ参照の処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-0338)、GnuTLSではCBCモード処理でサービス拒否攻撃を許してしまう脆弱性(CVE-2013-2116)、サービスコンソールのカーネルでは、msr_open関数(CVE-2013-0268)とptrace機能(CVE-2013-0871)に存在する脆弱性を解決しています。
OSPFを実装しているネットワーク製品(2013/08/01)
経路制御プロトコルOpen Shortest Path First(OSPF)のLink State Advertisement(LSA)処理の実装に、経路制御の妨害を許してしまう脆弱性(CVE-2013-0149)が存在します。この問題は、ルーターの接続情報を伝搬するOSPFパケット(LS Type=Router-LSA)の処理に起因し、不正なOSPFパケットを受信した場合に、経路制御テーブルが改ざんされてしまう可能性があります。OSPFを実装しているシスコ製品、ジュニパーネットワークス製品、ヤマハRTシリーズが影響を受けます。
米シスコ製品に複数の脆弱性
■OSPFを実装しているシスコ製品(2013/08/01)
経路制御プロトコルOpen Shortest Path First(OSPF)のLink State Advertisement(LSA)処理の実装に、経路制御の妨害を許してしまう脆弱性(CVE-2013-0149)が存在します。シスコ製品では、OSPFを実装しているCisco IOS、Cisco IOS XE、Cisco NX-OS、Cisco Adaptive Security Appliance(ASA)、Cisco ASA Service Module(ASA-SM)、Cisco Pix Firewall、Cisco Firewall Services Module(FWSM)、Cisco ASR 5000ば影響を受けます。
■Cisco Wide Area Application Services(WAAS)(2013/07/31)
Cisco Wide Area Application Services(WAAS)が中央管理モードで設定されている場合に、リモートから認証なしに、任意のコード実行を許してしまう脆弱性(CVE-2013-3443)が存在します。WAASは、プライベートおよび仮想プライベートクラウド環境下でWANの最適化やアプリケーションの高速化を強化する製品です。
■コンテンツネットワーク製品とビデオ配信製品(2013/07/31)
コンテンツネットワーク製品とビデオ配信製品が中央管理モードで設定されている場合に、リモートから認証なしに、任意のコード実行を許してしまう脆弱性(CVE-2013-3444)が存在します。
影響を受ける製品は、Cisco Wide Area Application Services(WAAS)、Cisco Application and Content Networking System(ACNS)、Cisco Enterprise Content Delivery System(ECDS)、Cisco Internet Streamer Content Delivery System(CDS-IS)、インターネットストリーマ向けCisco VideoScape Delivery System(VDS-IS)、Cisco Videoscape Distribution Suite Service Broker(VDS-SB)、Cisco Videoscape Distribution Suite Optimization Engine(VDS-OE)、Cisco VideoScape Delivery System Origin Server(VDS-OS)です。
ModSecurity 2.7.5リリース(2013/07/30)
オープンソースのWebアプリケーションファイアウォールであるModSecurityからバージョン2.7.5がリリースされました。このバージョンでは、3件の改善とともに、utf8toUnicode処理、URL正規化処理、NGINXに関連するバグ修正2件など、計5件のバグを修正しています。セキュリティアップデートは含まれていません。
MySQL Community Server 5.6.13、5.5.33、5.1.71リリース(2013/08/01)
MySQL Community Server 5.6.13、5.5.33、5.1.71がリリースされました。これらのバージョンでは、InnoDB Storage Engine、パーティショニング、レプリケーション処理などに存在するバグ修正を目的としたリリースです。
バージョン5.6.13、5.5.33では、Windows環境でインストールする際に、MySQL Enterprise Backupをバージョン3.8.1から3.8.2にアップグレードできないため、3.8.1をアンインストールした後、3.8.2をインストールするように指示しています。
- MySQL:Changes in MySQL 5.6.13(2013-07-31)
- MySQL:Changes in MySQL 5.5.33(2013-07-31)
- MySQL:Changes in MySQL 5.1.71(2013-08-01)
Red Hat Enterprise Linux Server(v.6)(2013/07/30)
LDAPv3に準拠した389ディレクトリーサーバーとBINDのセキュリティアップデート(RHSA-2013:1119、RHSA-2013:1114)がリリースされました。
389ディレクトリーサーバーでは、エンティティ属性へのアクセスを適切に制限しないため、一連の検索の中で、本来取得できない属性値の入手を許してしまう脆弱性(CVE-2013-2219)を解決しています。またBINDでは、リソースレコードに対する不正な問い合わせが引き金となってnamedプロセスが異常終了する脆弱性(CVE-2013-4854)を解決しています。この脆弱性は、7月26日にリリースされたBIND 9.9.3-P2、BIND 9.8.5-P2で解決されたものです。
制御システム系製品の脆弱性
■GE Intelligent PlatformsのProficy HMI/SCADA CIMPLICITY WebView(2013/07/30)
GE Intelligent Platforms(ge-ip.com)の監視制御ソフトウエアProficy HMI/SCADA CIMPLICITYのWebViewには、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2785)が存在します。脆弱性はCIMPLICITYの組み込みWebサーバーにおいて入力データの検証が適切ではないことに起因します。WebViewはインターネット、イントラネット経由でCIMPLICITYにアクセスするためのWebインタフェースです。
■シーメンスのSCALANCE(2013/08/01)
シーメンス(siemens.com)のSCALANCE(スケーランス)W-7xxシリーズには、複数の脆弱性が存在します。脆弱性(CVE-2013-4651)は、Web管理インタフェースとの通信にハードコーディングされたSSL証明書を使用しているために中間者攻撃を許してしまう問題です。脆弱性(CVE-2013-4652)は、リモートから認証なしに、コマンドライン管理インタフェースのアクセスを許してしまう問題で、システムそのものの制御を許してしまう可能性があります。SSH(22/TCP)とTelnet(23/TCP)を利用している場合に影響を受けます。
■シーメンスのWinCC TIAポータル(2013/08/01)
シーメンス(siemens.com)の統合エンジニアリングフレームワーク製品であるSIMATIC WinCC TIA(Totally Integrated Automation)ポータルには、クロスサイトリクエストフォージェリーの脆弱性(CVE-2013-4911)、URLを細工することにより、不正なサイトに誘導することを許してしまうURLリダイレクションの脆弱性(CVE-2013-4912)が存在します。
■IOServerのマスタステーションDNP3ドライバー(2013/06/10)
IOServer(ioserver.com)のマスタステーションのDNP3ドライバーには、ポート番号20000/TCPで不正なTCPパケットを受信した場合に、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2790)が存在します。この問題は、入力パケットの検証が適切でないために、ループ処理状態に陥ってしまうことに起因します。ループ処理状態に陥った場合には、マニュアルでの復旧操作が必要となります。DNP3(Distributed Network Protocol)は、電力および水道施設などで使用される通信プロトコルです。
Cyber Security Bulletin SB13-210(2013/07/29)
7月22日の週に報告された脆弱性の中から、マカフィーのMcAfee ePolicy Orchestratorの脆弱性を取り上げます(Vulnerability Summary for the Week of July 22, 2013)。
■McAfee ePolicy Orchestrator(ePO)(2013/07/22)
McAfee ePolicy Orchestrator(ePO)は、ウイルス対策ポリシーをベースに、ネットワーク上のマカフィー製品を集中管理するプログラムです。
ePOについては、2013年5月に、SQLインジェクションの脆弱性(CVE-2013-0140)、ディレクトリートラバーサルの脆弱性(CVE-2013-0141)の存在が明らかとなりました。7月には、US-CERTからePOの脆弱性が攻撃対象となっていることを注意喚起するTA13-193A: Exploit Tool Targets Vulnerabilities in McAfee ePolicy Orchestrator(ePO)が発行されています。
今回報告された脆弱性は、複数のSQLインジェクションの脆弱性(CVE-2013-4882)、複数のクロスサイトスクリプティングの脆弱性(CVE-2013-4883)です。SQLインジェクションの脆弱性は、2013年5月に報告された脆弱性とは異なるものです。また、マカフィーからの報告によれば、脆弱性(CVE-2013-4883)は、2013年6月にNATO(北大西洋条約機構)から報告された問題であるとしています。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。