チェックしておきたい脆弱性情報＜2013.11.11＞

　11月3日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。

Firefox 25.0、ESR 24.1、ESR 17.0.10リリース（2013/10/29）

　Firefox 25.0では、バッファオーバーフローに起因し、任意のコード実行を許してしまう脆弱性、メモリー破損、メモリーの解放後使用（use-after-free）などに起因し、サービス拒否攻撃を許してしまう脆弱性など、10件のセキュリティアドバイザリーに含まれる計15件の脆弱性を解決しています（図1）。

• Mozilla：Firefoxセキュリティアドバイザリー
• Mozilla：Firefox ESRセキュリティアドバイザリー

Thunderbird 24.1、ESR 17.0.10リリース（2013/10/29）

　Thunderbird 24.1では、任意のコード実行を許してしまう脆弱性、サービス拒否攻撃を許してしまう脆弱性など、9件のセキュリティアドバイザリーに含まれる計14件の脆弱性を解決しています。

• Mozilla：Thunderbirdセキュリティアドバイザリー
• Mozilla：Thunderbird ESRセキュリティアドバイザリー

米アップル製品

■iTunes 11.1.2リリース（2013/10/22）

　iTunes 11.1.2では、動画ファイル処理に存在する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性1件、iTunes Storeアクセスにおいて中間者攻撃を許してしまう脆弱性16件、libxmlとlibxsltに存在する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性7件、計24件を解決しています。

• 米アップル：iTunes 11.1.2のセキュリティコンテンツについて

■Apple Remote Desktop 3.7、3.5.4リリース（2013/10/22）

　Apple Remote Desktop 3.7では、VNC（Virtual Network Computing）による接続の際に「データが暗号化されない」場合にも警告表示されないという問題（CVE-2013-5136）、書式文字列に起因する任意のコード実行を許してしまう脆弱性（CVE-2013-5135）を解決しています。また、Apple Remote Desktop 3.5.4では、書式文字列に起因する脆弱性（CVE-2013-5135）を解決しています。

• 米アップル：Apple Remote Desktop 3.7のセキュリティコンテンツについて
• 米アップル：Apple Remote Desktop 3.5.4のセキュリティコンテンツについて

■OS X Server v3.0リリース（2013/10/22）

　OS X Server v3.0では、Profile Managerに存在するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-0269）とRuby on Railsに起因する脆弱性（CVE-2013-1854～CVE-2013-1857）、FreeRADIUSに存在するサービス拒否攻撃、任意のコード実行を許してしまう脆弱性（CVE-2012-3547）、適切な証明書を用いて認証されない可能性（CVE-2013-5143）を解決しています。

• 米アップル：OS X Server v3.0のセキュリティコンテンツについて

■Keynote 6.0リリース（2013/10/22）

　Keynote 6.0では、プレゼンテーションモードでスリープ状態に入ってしまうと、スクリーンロックが機能しないという問題（CVE-2013-5148）を解決しています。

• 米アップル：Keynote 6.0のセキュリティコンテンツについて

■OS X Mavericks v10.9リリース（2013/10/22）

OS X Mavericks v10.9では、App Sandbox、アプリケーションファイアウォール、Bluetooth、CFNetwork、コンソール、CoreGraphics、curl、dyld、IOKitUser、IOSerialFamily、カーネル、Kext Management、LaunchServices、Libc、メール、OpenLDAP、perl、電源管理、python、ruby、スクリーンロック、Screen Sharing Server、セキュリティ、syslog、USBに存在する計55件の脆弱性を解決しています。

• 米アップル：OS X Mavericks v10.9のセキュリティコンテンツについて

■Safari 6.1リリース（2013/10/22）

　Safari 6.1では、XMLファイル処理でのメモリー破損に起因する任意のコード実行やサービス拒否攻撃を許してしまう脆弱性（CVE-2013-1036）、WebKitコンポーネントに存在する脆弱性、計22件を解決しています。

• 米アップル：Safari 6.1のセキュリティコンテンツについて

■iOS 7.0.3リリース（2013/10/22）

　iOS 7.0.3では、パスコードロックに関連する脆弱性（CVE-2013-5144、CVE-2013-5162、CVE-2013-5164）を解決してします。脆弱性2件は物理的に機器にアクセスできることが前提となります。

• 米アップル：iOS 7.0.3のセキュリティコンテンツについて

米シスコIOS XEに複数の脆弱性（2013/10/30）

　Cisco ASR 1000シリーズのアグリゲーションサービスルーターに搭載されているCisco IOS XEソフトウエアには、サービス拒否攻撃を許してしまう複数の脆弱性が存在します。

　報告されている脆弱性は、Zone-Based Firewall機能でのICMPエラーパケット処理の問題（CVE-2013-5543）、ネットワークアドレス変換設定がされているPPTP（Point to Point Tunneling Protocol）パケットのインスペクション処理の問題（CVE-2013-5545）、ネットワークアドレス変換あるいは、PPTPアプリケーションゲートウェイ設定されている場合に発生するTCP分割パケットの組み立て処理の問題（CVE-2013-5546）、不正なEoGRE（Ethernet over GRE）パケット処理の問題（CVE-2013-5547）です。

• シスコ：cisco-sa-20131030-asr1000: Multiple Vulnerabilities in Cisco IOS XE Software for 1000 Series Aggregation Services Routers

NSD 4.0.0リリース（2013/10/29）

　DNSコンテンツサーバー（権威DNSサーバー）の一つであるNSD（Name Server Daemon）のバージョン4.0.0がリリースされました。バージョン4.0.0では、再起動を必要とせずに設定変更を反映でき、性能が向上により多くのゾーンを取り扱え、libeventのサポートにより1000以上のTCP接続を扱えるなど、バージョン3に比べて多くの機能が改善されています。

• NLnet Labs：NSD 4.0.0

WordPress 3.7.1リリース（2013/10/29）

　WordPress 3.7.1では、バージョン3.7のバグ修正を目的としたリリースで、セキュリティアップデートは含まれていません。一部のプラグイン使用時に発生していた致命的なエラーの解決、検索時に表示される警告処理など計11件のバグが修正されています。

• WordPress：Version 3.7.1

Red Hat Enterprise Linux Server（v.6）（2013/10/29）

　Firefox、Thunderbird並びに、デスクトップの仮想化を実現するサーバー機能spice-server、postgresqlのセキュリティアップデート（RHSA-2013:1476、RHSA-2013:1480、RHSA-2013:1473、RHSA-2013:1475）がリリースされました。

　Firefox、Thunderbirdの脆弱性は、Firefox 17.0.10 ESR、Thunderbird 17.0.10 ESRで解決されたものです。spice-serverでは、データ復号処理のreds_handle_ticket関数に存在するスタックベースのバッファオーバーフローによるサービス拒否攻撃を許してしまう脆弱性（CVE-2013-4282）を解決しています。

　Postgresqlのセキュリティアップデートは、PostgreSQL 8.4.16で解決したヒープベースの領域外のメモリー参照（out-of-bounds read）に起因するサービス拒否攻撃を許してしまう脆弱性（CVE-2013-0255）と、PostgreSQL 8.4.17で解決したcontrib/pgcrypto関数により生成される乱数値の推測を許してしまう脆弱性（CVE-2013-1900）です。

• Red Hat：Red Hat Enterprise Linux Server（v. 6）Security Advisories

制御システム系製品の脆弱性

■NordexのNC2（2013/10/31）

　Nordex（nordex-online.com）の風力発電用SCADA/HMI製品であるNordex Control 2（NC2）Wind Farm Portalには、クロスサイトスクリプティングの脆弱性が存在します。この問題は、10月18日に、発見者のWebサイトから公開され、脆弱性対策データベースOSVDBに報告されたものです。

• ICS-CERT：ICS-ALERT-13-304-01: Nordex NC2 Cross-Site Scripting Vulnerability

Cyber Security Bulletin SB13-301（2013/10/28）

　10月21日の週に報告された脆弱性の中から、IBMのWebSphere DataPowerの脆弱性を取り上げます（Vulnerability Summary for the Week of October 21, 2013）。

■IBMのWebSphere DataPower（2013/10/18）

　XML処理とセキュリティ機能に特化したアプライアンス製品であるWebSphere DataPower XC10には、認証操作が不要でリモートから管理者権限での操作を許してしまう脆弱性（CVE-2013-5428）、ログオフ処理が適切ではないことに起因する脆弱性（CVE-2013-5446）が存在します。

IBM：Security Bulletin: WebSphere DataPower XC10 Appliance Vulnerabilities in Administrative Access and Web Logoff（CVE-2013-5428, CVE-2013-5446）

---

『 HIRT（Hitachi Incident Response Team）とは 』
HIRTは、日立グループのCSIRT連絡窓口であり、脆弱性対策、インシデント対応に関して、日立グループ内外との調整を行う技術専門チームです。脆弱性対策とはセキュリティに関する脆弱性を除去するための活動、インシデント対応とは発生している侵害活動を回避するための活動です。HIRTでは、日立の製品やサービスのセキュリティ向上に関する活動に力を入れており、製品の脆弱性対策情報の発信やCSIRT活動の成果を活かした技術者育成を行っています。