チェックしておきたい脆弱性情報＜2013.10.25＞

　10月13日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

マイクロソフト2013年10月の月例セキュリティアップデート（2013/10/09）

　10月の月例セキュリティアップデートでは、8件のセキュリティ更新プログラムを公開し、27件のセキュリティ問題を解決しています。脆弱性による影響は、任意のコード実行、サービス拒否、アクセス権限の昇格、情報漏洩です（図1）。このうち、セキュリティ更新プログラム（MS13-080）では、Internet Explorerに存在する新たな脆弱性（CVE-2013-3893）に対処しました。この脆弱性は、2013年9月中旬に報告された侵害活動で利用されたものです（図2）。

• マイクロソフト：2013年10月のセキュリティ情報
• マイクロソフト：マイクロソフト セキュリティ アドバイザリー（2887505）: Internet Explorer の脆弱性により、リモートでコードが実行される

米アドビ システムズ製品に複数の脆弱性

■Adobe Reader XI（11.0.05）リリース：APSB13-25（2013/10/08）

　Windows版Adobe Reader並びにAcrobatのバージョンXI（11.0.05）がリリースされました。このリリースでは、バージョン11.0.04で作り込まれてしまったJavascriptセキュリティコントロールに影響する問題（CVE-2013-5325）を解決しています。Windows版X（10.1.8）以前のバージョン、およびMac版には影響はありません。

• 米アドビ システムズ：APSB13-25: Adobe ReaderおよびAcrobatに関するセキュリティアップデート公開

■RoboHelp 10に脆弱性：APSB13-24（2013/10/08）

　Windows版RoboHelp 10には、メモリー破損に起因する任意のコード実行を許してしまう脆弱性（CVE-2013- 5327）が存在します。RoboHelpは、マルチチャネルおよびマルチデバイスパブリッシングを実現する文書作成支援ツールです。

• 米アドビ システムズ：APSB13-24: RoboHelpに関するセキュリティアップデート公開

■Adobe Flash Player 11.9.900.117リリース（2013/10/08）

　Windows版とMac版でAdobe Flash Player 11.9.900.117がリリースされました。なお、10月8日時点で、アップデートに関する詳細な情報は公開されていません。

• 米アドビ システムズ：最新バージョンに関する情報
• 米アドビ システムズ：Flash Player Help / Archived Flash Player versions

米シスコ製品に複数の脆弱性

■ファイアウォールサービスモジュール（2013/10/11）

　Cisco Catalyst 6500シリーズのスイッチとCisco 7600シリーズのルーター向けのファイアウォールサービスモジュール（FWSM）には、コマンド実行を許してしまう脆弱性（CVE-2013-5506）とサービス拒否攻撃を許してしまう脆弱性（CVE-2013-5508）が存在します。

　脆弱性CVE-2013-5506は、特定の管理コマンドの認可保護が不十分なことに起因します。脆弱性CVE-2013-5508は、SQL*Netインスペクションエンジンがセグメント化されたTransparent Network Substrate（TNS）パケットを適切に処理しないことに起因し、不正なTNSパケットを受信した場合に、影響を受ける可能性があります。

• シスコ：cisco-sa-20131009-fwsm: Multiple Vulnerabilities in Cisco Firewall Services Module Software

■Cisco ASA（Adaptive Security Appliances）（2013/10/09）

　Cisco ASA（Adaptive Security Appliances）には、サービス拒否攻撃を許してしまう複数の脆弱性と認証機構の迂回を許してしまう複数の脆弱性が存在します。

　サービス拒否攻撃を許してしまう脆弱性は、IPsec VPNのパケット処理（CVE-2013-5507）、SQL*Netインスペクションエンジンのパケット処理（CVE-2013-5508）、HTTPディープパケットインスペクション処理（CVE-2013-5512）、DNSインスペクション処理（CVE-2013-5513）、AnyConnect SSL VPNクライアント接続処理（CVE-2013-3415）、クライアントレスSSL VPN処理（CVE-2013-5515）に関するものです。

　認証機構の迂回を許してしまう脆弱性は、SSL証明書の検証処理（CVE-2013-5509）、リモートアクセスVPN機能の認証処理（CVE-2013-5510）、Cisco Adaptive Security Device Management（ASDM）を介したリモート管理の認証処理（CVE-2013-5511）に関するものです。

• シスコ：cisco-sa-20131009-asa: Multiple Vulnerabilities in Cisco ASA Software

Samba 4.0.10、4.1.0リリース（2013/10/11）

　Samba 4.0.10では、NetBIOSに関連してsambaプロセスのCPU利用率が100%になる問題、異常終了後に共有モードをクリーンアップしない問題、DENY ACE設定時のPOSIX ACLマッピングに発生する問題など計28件のバグを修正しています。セキュリティアップデートは含まれていません。

　Samba 4.1.0では、SMB2とSMB3をサポートするクライアントツール、SMB3での暗号通信、ディレクトリーデータベースのレプリケーション、サーバー側でのコピー処理、Btrfs VFSモジュールの改良などの機能強化が施されています。

• Samba：Samba 4.1.0 Available for Download
• Samba：Samba 4.0.10 Available for Download

PostgreSQL 9.3.1、9.2.5、9.1.10、9.0.14、8.4.18リリース（2013/10/10）

　PostgreSQL 9.3.1、9.2.5、9.1.10、9.0.14、8.4.18は、バグの修正を目的としたリリースで、セキュリティアップデートは含まれていません。これらのバージョンでは、メモリーリーク、SSLデッドロックバグなどを修正しています。

• PostgreSQL：PostgreSQL 2013-10-10 Update Release

Red Hat Enterprise Linux Server（v.6）（2013/10/10）

　libtar、xinetdのセキュリティアップデート（RHSA-2013:1418、RHSA-2013:1409）がリリースされました。

　tarアーカイブを作成／復元するライブラリーlibtarでは、サービス拒否攻撃や任意のコード実行を許してしまう可能性のあるヒープベースのバッファオーバーフローの脆弱性（CVE-2013-4397）を解決しています。また、スーバーデーモンとも呼ばれ、ネットワークサービスを管理するxinetdでは、tcpmux-serverサービスが有効になっている場合に、アクセス権限の昇格を許してしまう脆弱性（CVE-2013-4342）を解決しています。

• Red Hat：Red Hat Enterprise Linux Server（v.6）Security Advisories

日立製品の脆弱性

　統合システム運用管理製品でストレージ管理を支援するJP1/VERITAS Backup Execには、Linuxエージェントのユーティリティーにおけるヒープオーバーフローの脆弱性（CVE-2013-4575）、管理コンソールにおけるクロスサイトスクリプティングの問題（CVE-2013-4676）、バックアップデータのストレージファイルの脆弱な許可設定の問題（CVE-2013-4677）、NDMP（Network Data Management Protocol）処理に情報漏洩を許してしまう脆弱性（CVE-2013-4678）が存在します。

• 日立：HS13-024: JP1/VERITAS Backup Execにおける複数の問題（CVSS:AV:A/AC:L/Au:N/C:C/I:C/A:C）

制御システム系製品の脆弱性

■WonderwareのInTouch（2013/10/09）

　Wonderware（wonderware.com）のInTouch HMI（Human Machine Interface）には、サービス拒否攻撃を許してしまう脆弱性（CVE-2012-4709）が存在します。この問題は、外部に置かれたXMLファイルを呼び出す処理に関係することから、XML External Entity問題とも呼ばれています。InTouchは、SCADAシステム用HMI（Human Machine Interface）パッケージです。Wonderwareは英Invensysグループ（invensys.com）のプログラマブルロジックコントローラーのビジネス部門です。

• ICS-CERT：ICSA-13-276-01: Invensys Wonderware InTouch Improper Input Validation Vulnerability

■アルストムのe-terracontrol（2013/10/09）

　アルストム（alstom.com）のe-terracontrolには、サービス拒否攻撃を許してしまう脆弱性（CVE-2013-2787）が存在します。この問題は、DNP3マスタードライバーにおいて入力データの検証が適切ではないことに起因します。e-terracontrolは、変電所の監視、産業用電力管理向けのSCADAサーバーです。

• ICS-CERT：ICSA-13-282-01: Alstom e-Terracontrol DNP3 Master Improper Input Validation

Cyber Security Bulletin SB13-280（2013/10/07）

　9月30日の週に報告された脆弱性の中から、Google Chromeの脆弱性を取り上げます（Vulnerability Summary for the Week of September 30, 2013）。

■Google Chrome 30.0.1599.69リリース（2013/10/03）

　9月18日にリリースされたWindows/Mac/Linux版29.0.1547.76は、バグの修正を目的としたリリースです。

　10月1日、Chrome 30（30.0.1599.66）がリリースされました。このリリースでは、9件の（CVE-2013-2909～CVE-2013-2914、CVE-2013-2918、CVE-2013-2921、CVE-2013-2922）のメモリーの解放後使用（use-after-free）、3件（CVE-2013-2907、CVE-2013-2917、CVE-2013-2920）の領域外のメモリー参照（out-of-bounds read）、3件のアドバスバーでのなりすましを許してしまう脆弱性（CVE-2013-2908、CVE-2013-2915、CVE-2013-2916）など、計50件の脆弱性を解決しています。10月3日には、フリーズしてしまうバグ、特定のゲームやGPUにおいて動作が遅くなるバグを修正したWindows/Mac版Chrome 30.0.1599.69がリリースされました。

• Google：Stable Channel Update（30.0.1599.69）
• Google：Stable Channel Update（30.0.1599.66）
• Google：Stable Channel Update（29.0.1547.76）

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。