8月18日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
マイクロソフト2013年8月の月例セキュリティアップデート(2013/08/14)
8月の月例セキュリティアップデートでは、8件のセキュリティ更新プログラムを公開し、23件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩、セキュリティ機構の迂回です。
また、月例セキュリティアップデートと合わせて、MD5ハッシュアルゴリズムの処理に関する更新プログラムがリリースされました。この更新プログラムは、弱い証明書暗号化アルゴリズムの管理施策の一つです。この更新プログラムを適用することにより、証明書に関連するレジストリWeakMd5ThirdPartyFlags(MD5の取り扱いに関する設定)、WeakMd5ThirdPartySha256Allow(引き続き動作することを許可する証明書の一覧)、WeakMd5ThirdPartyAfterTime(対象となる時期)が追加されます。Certutil -getregコマンドを使うことで、その内容を確認できます(図1)。なお、更新プログラムは、Windows Vista/7/8、Windows Server 2008/2012、Windows RTが対象で、2014年2月12日からMicrosoft Updateによる自動更新となります。
- マイクロソフト:2013年8月のセキュリティ情報
- マイクロソフト:マイクロソフト セキュリティ アドバイザリー(2862973): マイクロソフト ルート証明書プログラムでのMD5ハッシュアルゴリズム廃止用の更新プログラム
PHP 5.4.19、PHP 5.5.3リリース(2013/08/22)
8月15日、PHP 5.4.18がリリースされました。PHP 5.4.18では、xml_parse_into_struct関数に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-4113)、subjectAltNameにNULL文字を含むX.509証明書の取り扱いに関するOpenSSLモジュールの脆弱性(CVE-2013-4248)を解決しています。翌8月16日にリリースされたPHP 5.5.2では、OpenSSLモジュールの脆弱性(CVE-2013-4248)とWebセッションのハイジャックを許してしまう脆弱性(CVE-2011-4718)を解決しています。
8月22日、OpenSSLモジュールの脆弱性(CVE-2013-4248)の対策パッチに存在するバグを修正したPHP 5.4.19、PHP 5.5.3リリースされました。
- PHP:PHP 5.4.19 and PHP 5.5.3 Released!
- PHP:PHP 5.5.2 Released!
- PHP:PHP 5.4.18 Released!
- PHP:PHP 5 ChangeLog
Firefox 23.0.1リリース(2013/08/16)
Firefox 23.0.1では、H.264でエンコードされた動画の再生、プロファイルディレクトリーのパスにアスキー文字以外が含まれている場合のスペルチェック、WebRTC利用時の雑音に関するバグを修正しています。WebRTC(Web Real-Time Communication)は、ブラウザー上でプラグインなしにリアルタイムコミュニケーションを実現するためのAPIです。Firefox 20でサポートしました。
Samba 3.6.18リリース(2013/08/14)
Samba 3.6.18は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。
Red Hat Enterprise Linux Server(v.6)(2013/08/13)
Apache HTTP Serverのセキュリティアップデート(RHSA-2013:1156)がリリースされました。
脆弱性(CVE-2013-1896)は、mod_davモジュールがDAV(Distributed Authoring and Versioning)の対象となるURIかどうかを判定する処理の不備に起因し、サービス拒否攻撃を許してしまうものです。httpdバージョン2.2.25、2.4.5で解決されています。
制御システム系製品の脆弱性
■AdvantechのWebaccess:CVE番号割当(2013/08/13)
2013年1月19日に報告されたAdvantech(advantech.com)のリモート制御および管理機能を提供するAdvantech Webaccess HMI/SCADA製品の続報です。クロスサイトスクリプティングの脆弱性(CVE-2013-2299)にCVE番号が割り当てられました。
- ICS-CERT:ICSA-13-225-01: Advantech WebAccess Cross-Site Scripting
- ICS-CERT:ICS-ALERT-13-009-01: Advantech Webaccess Cross Site Scripting Vulnerability
■OSIsoftのPI IEEE C37.118インタフェース(2013/08/13)
OSIsoft(osisoft.com)のPI IEEE C37.118インタフェースには、不正なC37.118パケットを受信した際に、サービス拒否を許してしまう脆弱性(CVE-2013-2800、CVE-2013-2801)が存在します。脆弱性は、無効なメモリーアドレスの参照やメモリー浪費に起因しています。
IEEE C37.118は、電圧位相計測装置(PMU:Phasor Measurement Unit)に関する総合的な仕様です。PI IEEE C37.118インタフェースは、PMUやフェーザーデータコンセントレーター(PDC:Phasor Data Concentrator)からデータを収集し、PIサーバーにデータを格納する製品です。
■Kepware TechnologiesのDNPマスタドライバー(2013/08/14)
Kepware Technologies(kepware.com)のKEPServerEXコミュニケーションプラットフォーム用DNPマスタドライバーには、不正なパケットを受信した際に、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2789)が存在します。脆弱性は、ポート番号20000/TCPで稼働するDNPマスタードライバーにおいて入力データの検証が適切ではないことに起因します。DNPマスタードライバーは、電力および水道施設などで使用される通信プロトコルであるDNP3(Distributed Network Protocol)を取り扱う製品です。
Cyber Security Bulletin SB13-224(2013/08/12)
8月5日の週に報告された脆弱性の中から、データバックアップ製品であるシマンテックのBackup Execの脆弱性を取り上げます(Vulnerability Summary for the Week of August 5, 2013)。
■シマンテックBackup Exec
データバックアップ製品であるシマンテックのBackup Execには、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2013-4575)、アクセス権限の昇格を許してしまう脆弱性(CVE-2013-4677)、情報漏洩を許してしまう脆弱性(CVE-2013-4678)、クロスサイトスクリプティングの脆弱性(CVE-2013-4676)が存在します。このうち、脆弱性(CVE-2013-4575)は、Linuxエージェントとともに出荷されているユーティリティープログラムに存在し、ヒープオーバーフローに起因する問題です。
Hitachi Incident Response Team
チーフコーディネーションデザイナ
『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。
