Hitach Incident Response Team

 9月15日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2013年9月の月例セキュリティアップデート(2013/09/11)

 9月の月例セキュリティアップデートでは、13件のセキュリティ更新プログラムを公開し、47件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です(図1)。また、月例セキュリティアップデートと合わせて、Windows 8およびWindows Server 2012上のInternet Explorer 10用のAdobe Flash Player更新プログラム(APSB13-21)対応がリリースされました。

図1●脆弱性による影響(9月の月例セキュリティアップデート)
図1●脆弱性による影響(9月の月例セキュリティアップデート)

米アドビ システムズ製品に複数の脆弱性

■Adobe Flash Player 11.8.800.168 リリース:APSB13-21(2013/09/10)

 メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2013-3361、CVE-2013-3362、CVE-2013-3363、CVE-2013-5324)を解決した Adobe Flash Player 11.8.800.168 がリリースされました。

■Adobe Reader XI(11.0.04)、X(10.1.8)リリース:APSB13-22(2013/09/10)

 Windows、Mac版Adobe Reader並びにAcrobatのバージョンXI(11.0.04)、X(10.1.8)がリリースされました。これらのリリースでは、メモリー破損、整数アンダーフロー、スタックオーバーフローに起因する任意のコード実行を許してしまう脆弱性(CVE-2013-3351~CVE-2013-3358)8件を解決しています。なお、Adobe Reader 9.0 のサポートは、2013年6月26日で終了しています。

■Adobe Shockwave Player 12.0.4.144 リリース:APSB13-23(2013/09/10)

 Adobe Shockwave Player 12.0.4.144では、メモリー破損に起因する任意のコード実行を許してしまう脆弱性(CVE-2013-3359、CVE-2013-3360)を解決しています。

米アップル製品

■Safari 5.1.10リリース(2013/09/12)

 Safari 5.1.10では、JavaScriptCoreに存在する、任意のコード実行やサービス拒否攻撃を許してしまう脆弱性(CVE-2012-374、CVE-2013-0997)を解決しています。

■セキュリティアップデート2013-004(2013/09/12)

 Mac OS X 10.6.8、Mac OS X Server 10.6.8、OS X Lion v10.7.5、OS X Lion Server v10.7.5、OS X Mountain Lion v10.8~v10.8.4のセキュリティアップデートがリリースされました。影響を受けるパーツは、Apache、Bind、証明書信頼ポリシー、ClamAV、CoreGraphics、ImageIO、インストーラ、IPSec、Kernel、モバイルデバイス管理、OpenSSL、PHP、PostgreSQL、電源管理、QuickTime、スクリーンロック、sudoで、計31件の脆弱性を解決しています。

OpenSSH 6.3、OpenSSH 6.3p1リリース(2013/09/13)

 OpenSSH 6.3、OpenSSH 6.3p1は、ssh、sshdに存在するバグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、ユーザー認証ログフォーマットを定型化するため、ユーザー名、リモートホスト/ポート番号、利用プロトコル、認証用の鍵の種類、認証用の鍵のフィンガープリントを同一行に記録するなどの機能強化が施されています(図2)。

図2●OpenSSHのユーザー認証ログ
図2●OpenSSHのユーザー認証ログ

PostgreSQL 9.3リリース(2013/09/09)

 PostgreSQL 9.3は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。このバージョンでは、外部データベースとの連携機能(外部データベースへの書き込みなど)、信頼性と可用性の向上(高速フェールオーバーなど)、開発者指向の機能強化(正規表現によるインデックス処理など)が施されています。

Squid 3.3.9リリース(2013/09/10)

 Squid 3.3.9は、証明書を2回送付する処理、myportnameに関するアクセス制御でセグメンテーション違反が発生する問題などのバグ修正、Windows環境下での機能改善を目的としたリリースで、セキュリティアップデートは含まれていません。

制御システム系製品の脆弱性

■SUBNETソリューションズのSubSTATIONサーバー(2013/09/09)

 SUBNETソリューションズ(subnet.com)のSubSTATIONサーバーには、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-2788)が存在します。SubSTATIONサーバーは、変電設備向けにデータ集約、プロトコル変換、自動化、イベントファイル収集などの運用管理を提供する製品です。この問題は、SubSTATIONサーバーのDNP3スレーブサービスにおける入力データの検証が適切ではないことに起因します。

■シーメンスのSCALANCE(2013/09/11)

 シーメンス(siemens.com)の産業用スイッチングハブSCALANCE(スケーランス)のX200シリーズには、Webセッションのハイジャックを許してしまう脆弱性(CVE-2013-5709)が存在します。認証処理での乱数生成エントロピーが十分ではないことに起因します。

■ウェリンテックのKingView(2013/09/13)

 製造現場の監視並びに制御データの分析ソフトであるウェリンテック(wellintech.com)のKingViewのActiveXコントロール(KChartXY.ocx、SuperGrid.ocx)には、任意のファイルへの上書きを許してしまう脆弱性が存在します。入力データの検証が適切ではないことに起因します。

Cyber Security Bulletin SB13-252(2013/09/09)

 9月2日の週に報告された脆弱性の中から、EMCのAlphaStor、RSA Archer GRCの脆弱性を取り上げます(Vulnerability Summary for the Week of September 2, 2013)。

■RSA Archer GRC(2013/09/03)

 ガバナンス・リスク・コンプライアンスを支援するRSA Archer GRC 5.4プラットフォームには、アクセス制限を迂回し、ログインを許してしまう脆弱性(CVE-2013-3276)、任意のWebサイトへの誘導が可能なオープンリダイレクトの脆弱性(CVE-2013-3277)が存在します。このプラットフォームに存在する脆弱性により、RSA Archer version 5.xが影響を受けます。

寺田 真敏
Hitachi Incident Response Team
チーフコーディネーションデザイナ

『 HIRT(Hitachi Incident Response Team)とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。