Hitach Incident Response Team

 10月20日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Java SE 7 Update 45リリース(2013/10/16)

 Java SE 7 Update 45には、JRockit、JavaFX、JavaSE、JavaSE Embeddedコンポーネントに関する計51件のセキュリティアップデートが含まれています。Java SE 6u60並びにそれ以前が影響を受ける脆弱性は39件、Java SE 7u40並びにそれ以前が影響を受ける脆弱性は50件です。認証操作が不要でリモートからの攻撃を許してしまう脆弱性の件数で、計50件となっています。

 また、Java SE 7 Update 45では、セキュリティ機能の強化として、「セキュリティ・プロンプトの復元」、「Javaアプリケーションを認可なく再配布することに対する保護」が図られています。再配布することに対する保護では、JARのマニフェスト属性に適切な設定がなされていない場合、ダイアログ上に警告が表示されるようになりました(図1)。

図1●JARのマニフェスト属性に適切な設定がなされていない場合のダイアログ(上段:Java SE 7 Update 45、下段:Java SE 7 Update 40)

米アップルJava for OS X、Java for Mac OS Xセキュリティアップデート(2013/10/15)

 Java SEの10月セキュリティアップデートに合わせて、セキュリティアップデートJava for OS X 2013-005、Java for Mac OS X 10.6 Update 17がリリースされました。このアップデートでは、Java 1.6をバージョン1.6.0_65に更新し、37件の脆弱性を解決しています。

Apache Struts 2コンポーネントを実装した製品

■オラクルOracle FLEXCUBE Private Banking、MySQL Enterprise Monitor(2013/10/16)

 Oracle FLEXCUBE Private Banking、MySQL Enterprise Monitorでは、Apache Strutsをバージョン2.3.15.1に更新し、任意のOGNLコードを実行される脆弱性(CVE-2013-2134、CVE-2013-2135)、任意のコマンド実行を許してしまう脆弱性(CVE-2013-2251)、任意のURLへのリダイレクトを許してしまう脆弱性(CVE-2013-2248)を解決しています。

Red Hat Enterprise Linux Server(v. 6)(2013/10/15)

 Ruby用のパッケージ管理システム(rubygems)、カーネルとXウィンドウ(xorg-x11)サーバーのセキュリティアップデート(RHSA-2013:1441、RHSA-2013:1436、RHSA-2013:1426)がリリースされました。

 rubygemsでは、SSL通信の検証(CVE-2012-2126)、HTTPSからHTTPへのリダイレクトによる機密性のダウングレード(CVE-2012-2125)、サービス拒否攻撃を許してしまう脆弱性(CVE-2013-4287)を解決しています。カーネルでは、IPv6処理に存在するサービス拒否攻撃を許してしまう脆弱性(CVE-2013-4162)、カーネルデバイスマッパーサブシステムに存在する情報漏洩を許してしまう脆弱性(CVE-2013-4299)を解決しています。また、xorg-x11では、メモリーの解放後使用(use-after-free)に起因し、サービス拒否攻撃あるいは任意のコード実行を許してしまう脆弱性(CVE-2013-4396)を解決しています。

制御システム系製品の脆弱性

 10月9日以降、ICS-CERTのアドバイザリーに、米国家サイバーセキュリティ・通信統合センター(NCCIC:National Cybersecurity and Communications Integration Center)が併記されるようになりました(図2)。米NCCICは、2009年に国土安全保障省に設置され、政府のサイバーセキュリティ関連機関の業務を統合し、24時間態勢の警戒監視センターとしての役割を有した組織です。

図2●NCCIC/ICS-CERT連名の例

■米シスコのASAとFWSM(2013/10/16)

 10月9日、米シスコからセキュリティアプライアンス製品である適応型セキュリティアプライアンス(ASA)とファイアウォールサービスモジュール(FWSM)のセキュリティアドバイザリーが発行されました。ASAには、サービス拒否攻撃を許してしまう複数の脆弱性と認証機構の迂回を許してしまう複数の脆弱性、FWSMには、サービス拒否攻撃を許してしまう脆弱性とコマンド実行を許してしまう脆弱性が存在します。

 10月16日、ICS-CERTでは、これらの製品が制御システムのネットワークでも利用されていることから注意喚起を発行しました。

■DNP3を実装する製品(2013/10/16)

 2013年に入ってから、電力および水道施設などで使用される通信プロトコルDNP3(Distributed Network Protocol)を実装する製品に、入力データの検証が適切ではないことに起因するサービス拒否攻撃を許してしまう脆弱性が多数報告されています。

ICSA-13-282-01:アルストムのe-terracontrol(2013/10/09)
ICSA-13-252-01:SUBNETソリューションズのSubSTATIONサーバー(2013/09/09)
ICSA-13-213-04:MatrikonOPCのSCADA DNP3 OPCサーバー(2013/08/29)
ICSA-13-240-01:Triangle MicroWorksのSCADA Data Gateway(2013/08/28)
ICSA-13-234-02:Software ToolboxのTop Server(2013/08/22)
ICSA-13-226-01:Kepware TechnologiesのDNPマスタドライバー(2013/08/14)
ICSA-13-219-01:SchweitzerのRTAC(2013/08/07)
ICSA-13-213-03:IOServerのマスタステーションDNP3ドライバー(2013/06/10)
ICSA-13-161-01:IOServerのDNP3ドライバー(2013/06/10)

 10月16日、ICS-CERTでは、このような状況を踏まえDNP3を実装する製品に関する注意喚起を発行しました。

Cyber Security Bulletin SB13-287(2013/10/14)

 10月7日の週に報告された脆弱性の中から、HP FutureSmartファームウエアを搭載したプリンターの脆弱性を取り上げます(Vulnerability Summary for the Week of October 7, 2013)。

■HP FutureSmartファームウエアを搭載したプリンター(2013/10/03)

 HP FutureSmartファームウエアを搭載したプリンターであるHP Color LaserJet M775 MFP、LaserJet MFP M725、Color LaserJet MFP M575、HP LaserJet MFP M525、HP LaserJet M4555 MFP、Color LaserJet CM4540 MFPシリーズには、PDF文書を適切に暗号化しないことに起因し、情報漏洩を許してしまう脆弱性(CVE-2013-4828)、スキャンした任意の文書画像の参照を許してしまう脆弱性(CVE-2013-4829)が存在します。

  • HP:HPSBPI02892 - Certain HP FutureSmart MFP, Weak PDF Encryption, Local Disclosure of Information

    • 寺田 真敏
    Hitachi Incident Response Team
    チーフコーディネーションデザイナ

    『 HIRT(Hitachi Incident Response Team)とは 』
    HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。